风险与挑战并存,航空网络安全战略已然“起航”
发布时间:
2020-08-13
来源:
作者:
访问量:
149
编者按:民用航空行业作为至关重要的基础设施领域,其主要特点是各个活动部门之间高度相互依赖,与相关信息系统互联互通,依赖网络技术来提高航空运输的安全性和效率。故航空领域的机场、航空公司、空中交通管制(ATC)中心、供应商甚至乘客都可能成为潜在的网络攻击面。全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露、代码库泄漏有关的安全风险。因此,航空网络安全风险的管理充满挑战。对此,国际民航组织确定了关于航空网络安全战略的愿景,即“民航部门能够抵御网络攻击,并在全球范围内保持安全和可信,同时继续进行创新和发展”。该战略将通过七个支柱框架来实现,即国际合作、治理、有效的法律法规、网络安全政策、信息共享、事件管理和应急计划、能力建设,培训和网络安全文化。
技术和网络系统已成为现代社会的重要组成部分。尽管有网络技术的好处,但不安全感仍然存在。这些可能会影响所有系统和基础架构。除此之外,随着全球系统之间日益相互关联,网络攻击的威胁很可能产生跨国影响。
民用航空主要依赖于网络技术,该技术用于提高航空运输的安全性和效率。但是,随着航空业数字化的日益发展,系统的互连性和对技术的依赖导致了新风险的出现。航空业正在使用基于计算机的互连系统,该系统横跨空中导航系统、机载飞机控制和通信系统、机场地面系统、飞行信息系统、安全检查以及许多其他日常使用的技术、这些技术在日常和所有与航空有关的业务中都有使用。
航空网络威胁态势
航空数字的攻击面持续增长,管理风险和深入了解风险仍然很困难。随着机器学习和5G电信等新兴技术的广泛采用,包括垂直电动起降(eVTOL)和自动驾驶飞机,航空网络安全风险管理变得越来越复杂。这将不可避免地增加可能受到网络攻击影响的航空参与者的数量。
攻击面的增加会影响航空部门的所有组成部分:机场、航空公司、空中交通管制(ATC)中心、供应商、甚至乘客。为了阐明当前的航空安全状况,ImmuniWeb 对世界上一些最大的机场进行了有关网络安全、合规性和隐私的研究。研究结果表明,“全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露、代码库泄漏有关的安全风险”。 唯一获得最高评分的国际机场是阿姆斯特丹的史基浦机场、芬兰赫尔辛基的万塔机场、和爱尔兰的都柏林机场。
机场的官方网站存在以下问题:
l 过时的网络软件(97%);
l 已知和可利用的漏洞(24%);
l 不符合GDPR(76%);
l 不符合PCI DSS(73%);
l 没有SSL加密或使用过时的SSL版本3(24%)。
此外,对36个官方机场智能手机应用程序的测试发现,移动应用程序100%包含漏洞,每个应用程序平均检测到15个安全或隐私问题。
在2019年7月,DHS / CISA发布了关于CAN总线网络实施不安全的警告,该协议允许飞机、汽车和其他机器中的各种设备相互通信。该漏洞可能允许不良行为者向飞机注入虚假数据。据CISA称,通过物理接入CAN总线系统,攻击者可以改变许多飞机的测量数据,包括发动机遥测读数、罗盘和海拔数据、高度和空速。
过去,机场曾遭受过勒索软件攻击,黑客窃取了建筑计划和敏感的安全协议,进行了DDoS攻击,甚至在登机口显示器上造成了数据泄漏事件。
最终,在对许多空中交通管理系统进行渗透测试之后,欧洲空中交通管制局(EUROCONTROL)发现其大多数主体都很脆弱。根据其研究报告,高级管理人员、技术人员和系统设计师需要摆脱“他们的系统可以在网络攻击中幸存下来,因为过去什么都没发生”的幻想。EUROCONTROL在报告中总结表示,“现在的挑战在于使航空系统/服务逐渐变得越来越具有网络弹性,同时保持安全性和成本效益。”
应对网络弹性的挑战
航空在美国和欧盟都被认为是至关重要的基础设施。航空业的一个关键特征是各个活动部门(机场、空中航行服务、航空公司等)之间的高度相互依赖性,以及与相关系统(维护服务、网络连接服务、燃料分配系统等)的互连互通。在该价值链中任何一点的事件都可能在其他领域造成严重后果。
在2020年会议期间,世界经济论坛(WEF)敦促考虑在航空业中出现的新兴网络安全挑战,正如其在“ 提高航空业的网络弹性:行业分析 ”报告中所述。该报告的调查结果表明,航空业可能会遇到与其他行业一样的网络风险,这些风险是随着数字化和连通性水平不断提高而出现的。
国际航空运输协会(IATA)在一篇文章中表示, “技术和数字化不仅带来许多优势,而且还带来了在复杂的国际运营中(来自机场、飞机运营商、空中交通管理和供应链)发现和管理网络漏洞的挑战所带来的风险。”
这种复杂性使航空业容易受到隐藏的网络风险和不断增长的威胁的影响。根据大西洋理事会(Atlantic Council)的最新报告,对于许多网络威胁行为者来说,航空业是一个有吸引力的目标。其动机多种多样,从经济利益到破坏,再到与人为错误有关的无意动机的伤害。
由于其复杂性,对航空部门的网络攻击可能更难以检测和控制,并可能产生级联效应,从而导致经济损失、工业中断,并在某些情况下造成人员伤亡。如果缺乏适当的网络安全性和应变措施以及能力,此类网络攻击的影响可能会很严重。
大西洋理事会关于航空网络安全的最新报告称,航空网络安全风险的管理仍然充满挑战。报告指出了若干需要解决的挑战。
第一组挑战:涉及试图将航空网络安全集成到飞行安全、安保和企业IT中的问题,所有这些都受制于完善的治理和问责框架。
第二组挑战:与航空供应商和客户的网络安全态势有关。据大西洋理事会称,许多供应商发现很难将最佳实践融入采购中。在就适当的网络安全风险管理和透明度达成共识方面也存在困难。
信息共享是另一个领域,仍有很多工作要做。管理航空网络安全需要从对风险的清晰明了的理解中做出明智的选择。信息共享与通过独立评估或在航空利益相关者之间达成协议来确定航空网络安全风险的客观性密切相关。
尽管航空部门通过其设计和培训实践来严格地预测、减轻和客观地调查故障,但是将网络安全纳入该部门的文化仍然是一项挑战。很少有操作培训(飞行员、空中交通管制员等)来识别或管理航空网络安全事件。
最后,尽管航空运营具有内在的弹性,但大规模破坏性攻击将证明难以管理。对数据完整性的攻击将破坏航空运营人进行安全运行的能力。解决这些问题,就需要付出更多的努力来理解从正常操作和程序到事故后和事件管理的所有内容的网络安全方面。
世界经济论坛(World Economic Forum)针对航空网络弹性的分析总结道,“当今的航空业正在实现一个未来:无人驾驶飞机将包裹运送到家门口,每天通勤意味着飞越交通。随着行业和政府共同制定强有力的政策法规,行业公认标准将让我们更接近未来。”
网络安全策略与标准
航空网络安全应在全球范围内发挥主导作用。随着国家、地区和组织机构为改善航空网络安全性所做的努力,在法规和最佳实践的范围内增加复杂性的风险越来越大。所有地区都应拥有改进工具,任何新的标准体系都必须在复杂的全球供应和运营链中得到统一。
国际民航组ICAO织从能力建设的角度来宣传这一点,口号是“不让任何国家掉队”。国际民航组织大会第四十届会议于2019年10月通过了第一项与航空有关的网络安全战略,阐明了以下愿景。
“ 国际民航组织对全球网络安全的愿景是,民航部门能够抵御网络攻击,并在全球范围内保持安全和可信,同时继续进行创新和发展。”
国际民航组织的愿景强调了该部门面临的主要挑战。在促进增长和创新的同时,弹性的重要性与安全和维护信任的需求并驾齐驱。
国际民航组织发布的第一份《航空网络安全战略》是建立全球一致性的关键的第一步。此外,欧洲航空网络安全战略协调平台战略的发布,与英国航空网络安全战略等国家努力一道,在区域层面上迈出了重要一步。
从航空网络安全标准的角度来看,欧洲航空安全局(EASA)和美国(FAA)都在开展大量活动。自2019年底以来,飞机、航空系统、发动机等能够获得适航性认证的唯一方法是遵守最近更新的DO-326和ED-202。这些新法规在管理网络安全风险的方法上要更加详细和全面。
此外,美国国土安全部(DHS)与美国空军(USAF)合作的一项新计划将加强对飞机网络安全性的审查。随着《美国国家航空安全战略》的发布,由CISA,国防部和美国运输部共同主持的航空网络安全倡议(ACI)旨在“降低网络安全风险,提高网络弹性,支持国家航空生态系统的安全、安全和高效运行”,通过对飞机进行脆弱性评估,以更好地了解和减轻风险。
展望未来
随着国际民航组织《网络安全战略》的发布,人们对航空网络安全如何在全球范围内推进有了新的愿景。为了连贯洞察、理解和管理航空网络安全风险,并带来迅速、全球一致和有效的变革,我们强烈鼓励所有航空利益相关者,包括国家、国际机构、监管机构、制造商和服务提供商,采取一致行动,支持国际民航组织新的网络安全战略。该战略的目标将通过一系列原则、措施和行动来实现,包含在以下七个支柱组成的框架中:
l 国际合作;
l 治理;
l 有效的法律法规;
l 网络安全政策;
l 信息共享;
l 事件管理和应急计划;
l 能力建设,培训和网络安全文化。
尽管已经取得了进展,但在深入了解航空网络安全风险和全球管理航空网络安全风险方面,仍然存在重大挑战。为了更好地应对这些网络安全挑战,文化变革需要强有力的领导力和时间。必须采取措施加速这一改进过程,提高透明度和信任度,并发展客观性和协作性。
航空网络安全没有单一的解决方案,它将需要不同利益相关者之间的积极合作。伴随着所有这些努力,必须记住,航空业是全球性的行业。改善航空网络安全将是一个长期的过程,要降低全球性系统性风险,让所有利益相关者参与至关重要。
参考资源:
【1】 https://www.tripwire.com/state-of-security/security-data-protection/civil-aviation-cybersecurity/
【2】 https://www.icao.int/cybersecurity/Pages/Cybersecurity-Strategy.aspx
天地和兴,航空网络安全,关键信息基础设施,安全战略
下一条:
相关资讯
