Næste gang du langsomt slentrer ned ad en flygang, så tænk på det utrolige arbejde, der har ført dig dertil, lige fra flyteknik til operatører, der holder over 5,000 fly i luften ad gangen; luftfartsindustrien står over for ufattelige udfordringer.
I de sidste par årtier har de haft endnu en ting at kæmpe med: cybersikkerhedstrusler. Sidste måned så vi nogle eksempler på, hvad der sker, når ubudne gæster får adgang til deres systemer.
Tre cyberangreb på én måned
I starten af juni indså Westjet, et af Canadas mest populære flyselskaber, for første gang, at der var noget galt i deres systemer. Virksomheden var blevet ramt af en cyberhændelse, som havde forhindret brugere i at logge ind på deres hjemmeside og mobilapp.
Westjet var hurtige til at løse problemet, som beskrevet i sin rådgivningsside i løbet af de næste par dage. Dette var dog ikke en isoleret hændelse. Flyselskabet var et af tre, der blev ramt af angreb. Qantas og Hawaiian Airlines blev også ramt.
Hawaiian Airlines opdagede sit eget brud den 23. juni og afslørede det tre dage senere via en kortfattet besked på sin hjemmeside. Flyveplanen var operationel, og gæsternes rejser blev ikke påvirket, sagde de.
Så var det Australiens tur. Deres Qantas-flyselskab oplevede usædvanlig aktivitet på en tredjepartsplatform, der bruges af deres kontaktcenter. Angriberen formåede at stjæle kundernes navne, adresser, telefonnumre, fødselsdatoer og bonusnumre.
Den 2. juli, Qantas erklærede at den havde serviceregistreringer for seks millioner kunder på platformen og forventede, at andelen af stjålne data ville være "betydelig". Tyvene slap dog ikke afsted med betalingsoplysninger, tilføjede den.
Disse angreb ser ud til at være koordinerede. Scattered Spider, trusselsgruppen, der også formodes at være ansvarlig for angrebene på MGM Grand Casino og, for nylig, Marks & Spencerhavde rettet sin opmærksomhed mod luftfartssektoren, advarede FBI.
Ifølge Bureauet kompromitterer den kriminelle gruppe medarbejderkonti ved at besøge helpdeske og udgive sig for at være medarbejdere eller leverandører, hvorved de overtaler operatører til at give dem adgang til kontoen. Derefter overtaler de ofte disse operatører til at tilføje MFA-adgang til kontiene og dermed låse de legitime brugere ude. Kilder indikerede, at flyangrebene syntes at være denne gruppes værk.
Et årti med digital turbulens
Det er ikke første gang, at et flyselskab har været udsat for et cyberangreb. I 2015 blev det polske flyselskab LOT udsat for lider under et DDoS-angreb der forhindrede den i at udstede flyveplaner, hvilket efterlod 1,400 passagerer strandet og 20 flyvninger aflyst.
Tre år senere overfaldt angriberne British Airways ved at kompromittere en BA-netværkskonto udstedt til en medarbejder hos fragthåndteringsvirksomheden Swissport. Manglende MFA gjorde det muligt for angriberne at kompromittere kontoen og udnytte en sårbarhed i Citrix for at få adgang til det bredere BA-netværk. Derfra fik de adgang til legitimationsoplysninger på en Windows-domæneadministratorkonto gemt i almindelig tekst. Angriberen, Magecart, plantede JavaScript på flyselskabets hjemmeside og Stole betalingskortoplysningerne for 380,000 kunder. BA slap med en bøde på 20 millioner pund, nedsat fra 183 millioner pund.
Hændelser som disse er hyppige nok til at have udslettet luftfartsindustriens skrivebøger. Virksomheden inden for sikkerhedsstyringssoftware, Security Scorecard giver sektoren et 'B' i cybersikkerhed. Det er ikke en dumpekarakter, siger organisationen, men det gør virksomheder i denne sektor næsten tre gange mere tilbøjelige til at blive udsat for et brud end dem i A-bedømte sektorer.
Regulatorer lægger mærke til det
Det er ikke så mærkeligt, i betragtning af den enorme angrebsflade for de fleste flyselskaber. Det er ikke kun administrative systemer, der er et mål. Operative systemer, lige fra udstyr i lufthavnen til udstyr ombord på fly, er også truet.
De fleste sikkerhedsbrud inden for luftfart er administrative og fokuserer på passager- og betalingsoplysninger snarere end selve flyene. Tingene ville dog blive langt mere alvorlige, hvis nogen skulle målrette operationel teknologi på fly under flyvning. Indtil videre har sådanne hacks for det meste været proof-of-concept-tests. Tilsynsmyndighederne træffer dog stadig forebyggende foranstaltninger. FAA foreslåede nye regler sidste år for at beskytte flysystemer.
Den amerikanske transportsikkerhedsadministration (TSA) pålagt nye cybersikkerhedsregler for lufthavns- og luftfartøjsoperatører i 2023, herunder krav til netværkssegmentering. EU offentliggjort Gennemførelsesforordning (EU) 2023/203 (del IS) i oktober 2022, som beskriver regler for identifikation og håndtering af sikkerhedsrisici i luftfartsorganisationer. Denne træder i kraft i år.
Opbygning af robuste luftfartsoperationer
Hvad kan luftfartsselskaber gøre for at beskytte sig mod den voksende cyberrisiko? Selvom de regulatoriske standarder er sektorspecifikke, har regulatorer i nogle tilfælde gjort en indsats for at overlap med ISO 27001Selvom luftfartsbrancheorganisationer muligvis skal udføre yderligere arbejde for at opfylde specifikke luftfartssikkerhedskrav, der er beskrevet i del IS, er de ikke desto mindre "i overensstemmelse med og i overensstemmelse med ISO-IEC 27001, " efter EU's Luftfartssikkerhedsagentur (EASA).
De sikkerhedsforanstaltninger, som luftfartsselskaber skal indføre, er ikke raketvidenskab. TSA's fokus er på politikker for netværkssegmentering og adgangskontrol for at forhindre ubudne gæster i at bryde ind i dit netværk. Advarsler om at opdatere software dukker også op. Anbefalinger som disse er endnu mere almindelige end toiletkøer på en langdistanceflyvning.
Ligesom det er ufravigeligt at indføre gode cybersikkerhedspraksisser på luftfartsnetværk. Det er slemt nok at få stjålet passagerkontidata, men uden effektiv beskyttelse kan resultaterne af et mere samordnet angreb fra en operatør drevet af noget andet end profit være langt, langt værre.
