2020航空业网络安全:应对挑战
航空业向其对手呈现的数字攻击面以这种方式继续增长,以至于既难以管理风险,也无法获得对其的洞察力。随着机器学习和第五代(5G)电信等新兴技术的广泛采用-以及垂直电动起降(eVTOL),自动驾驶飞机和更多空间的使用,航空网络安全风险管理正变得越来越复杂。
还记得航运巨头马士基在2017 年遭受NotPetya破坏程序感染时遭受了近10亿美元的损失,马士基甚至不是那次袭击的目标。航空业会发生同样的事情吗?
终于可以,航空业已经开始意识到这一点。在马士基(Maersk)袭击中,生意受到打击,而不只是船只。正如安全研究人员克里斯·库贝卡(Chris Kubeka)上个月报道的那样,航空网络安全风险扩展到空中飞机。
过去的十年里,航空业也收获了数字化的好处。随着飞机效率的提高和 新技术促进了乘客体验的改善,我们必须承认相应的新风险,包括从未解决过的社会和技术漏洞。2017年,大西洋理事会发布了报告:《航空网络安全-寻找升力,最小化阻力》。该报告提高了人们对网络安全状况的认识在航空业中,引发了关于网络安全与航空技术的公众对话。这为航空界召集保护旅客的活动。从那时起,很明显,识别和缓解航空中的网络空间漏洞将需要该生态系统中所有利益相关者的认同。两年过去了,Thales很荣幸能够继续支持大西洋理事会以及这一旨在绘制地图的重要举措。关于这个多元化行业的网络安全的观点,并强调了利益相关者之间日益增长的协作需求。
最终,航空网络安全还没有万灵丹,而面对航空网络风险将需要采取全球性的方法,跨安全性,安全性,网络安全性和企业IT工作。该报告及其随附的全球调查大西洋理事会将增进我们对航空网络风险的整体了解,并推动整个航空界的有意义的参与航空界。扩大调查航空网络安全性的利益相关者社区的努力将提高我们的集体安全性,安全和弹性。当谈到旅行者的信任时,我们所有人的实力都与我们当中最脆弱的人们一样强大。它只有通过相互理解和合作,我们才能继续相互挑战,成长和提高。
大西洋理事会近日发布了关于航空网络安全2019最新报告显示,现代飞机是“在全球范围内飞行的”飞行数据中心,但是航空业对如何保护旅客免受网络安全风险知之甚少。他们利用全球调查以及针对性的访谈和专家研讨会,探讨了航空网络安全的各种挑战。
现在,在没有完全了解风险的情况下,没有缓解该风险的技术专长,并且没有足够的财务或监管激励措施,该行业正步入未来,并希望当他们弄清楚问题时不会发生任何不好的事情。
如果航空业似乎不准备迎接这一挑战,那么新的报告将深入了解阻碍其发展的因素。
走向数字化的风险和回报
航空业已经超越安全领域,以获取快速数字化带来的效率提升,现在,它正担负起责任,意识到安全问题随时可能再次受到打击,其后果包括陆基系统中断,恶意软件感染飞机,甚至在极不可能的范围内,一次影响数百或数千架飞机。
某些人可能会说将模拟信号抛在脑后是一个错误。但是,大西洋理事会的航空网络安全专家皮特·库珀(Pete Cooper)告诉公民社会组织(CSO)指出,向数字化转变带来的效率提升不可低估,他指出飞机安全性随着更精细的数据收集而得到了改善。他说:“例如,如果来自系统的数据意味着您根据其实际使用寿命而不是任意日期/时间对其进行服务,则可以大大减少工程停机时间。” “此外,如果该系统数据突然显示出较高的磨损率(例如),那么这意味着可以根据情况将其提早进行检查。”
他指出,增加的数据收集还可以提高飞行路线的效率,减少飞行时间,减少燃油消耗和减少二氧化碳排放等。
但是,另一方面,也有可能发生灾难性的网络安全事件。与模拟安全问题(例如零件磨损或程序错误导致飞行员错误)不同,安全问题(例如它们损坏的软件)会扩展。只需一个漏洞即可使另一个Petya或NotPetya发生。
飞行安全与飞行网络安全
飞行仍然是最安全的旅行方式之一,这在很大程度上归功于不断努力改善航空安全。航空文化规范奖励并激励了举报文化,最低级的机修工如果注意到潜在的安全问题,可以举一个红旗,阻止喷气机起飞。
与经常报告安全漏洞的问题形成鲜明对比的是,羞耻,指责和不合格是常态。该报告强调了这个问题,并写道:“在整个网络安全领域中,可以讨论关于讨论网络安全漏洞和超越敏感漏洞的挑战的污名仍然存在。”
可蠕虫利用或后门软件更新(例如启动Petya蠕虫的后门MeDoc软件更新)可能会大规模地引起安全问题。尚不清楚航空业的传统安全思想是否足以应对这一挑战。
例如,该报告指出需要就航空网络安全威胁进行更多的信息共享,承认存在类似马士基的情景的风险,并且过分地观察到“其他部门已经从单一漏洞和'可蠕虫'式攻击中看到了规模和成本。鉴于该部门的重要性,加上可能迅速扩大的破坏,要了解航空网络安全形势,还有许多工作要做。”
该报告还呼唤人们日益增长的认识,即需要诚信安全研究人员,但弄清楚如何处理这些问题正在引起业界的震惊。报告指出:“坚信诚信的研究人员对航空业是一件积极的事情,但对指导意见,法律明确性和易受伤害性披露的看法仍然不清楚或难以驾驭。”
同时,系紧安全带并收起托盘桌。在到达我们都想去的地方之前,我们可能会遇到一些动荡。
《航空网络安全:应对挑战》报告:
作者:皮特·库珀(Pete Cooper)与西蒙·汉德(Simon Handler)和萨法·沙万(Safa Shahwan)
https://www.atlanticcouncil.org/wp-content/uploads/2019/12/AVIATION-CYBERSECURITY-12-19-.pdf
混迹安全圈,每日必看!
扫码关注我们 :)