S tím, jak ve světě postupuje digitalizace a zvyšuje se jeho propojenost, nabývá na významu expozice kybernetickým hrozbám. Odborníci na bezpečnost informací často uvádějí, že není otázkou „zda“, ale spíše „kdy“ se určitý subjekt stane cílem pachatelů kybernetické kriminality. Oblast letectví není vůči těmto hrozbám imunní. Existují hrozby v oblasti bezpečnosti informací, které mohou vést k narušení provozu nebo mít dopad na bezpečnost letectví.
Posláním agentury EASA je zajistit bezpečnou leteckou dopravu v Evropě (a na celém světě), což zahrnuje i zmírňování rizik v oblasti bezpečnosti informací. Balíček právních předpisů Evropské unie (EU) vyžaduje, aby organizace působící v celém ekosystému civilního letectví identifikovaly, posuzovaly a přiměřeným způsobem řešily bezpečnostní rizika a následně je kontrolovaly, aby se zamezilo nepříznivým dopadům na bezpečnost občanů. Tento ekosystém zahrnuje organizace zabývající se projektováním, výrobou, údržbou a provozem letadel, výcvikem a všemi činnostmi nezbytnými k zajištění bezpečného letového provozu.
Jaké jsou hrozby pro letectví a odkud pocházejí?
Letectví je „systém systémů“ zahrnující – vedle leteckých výrobků a souvisejících technologií – osoby, procesy a další nehmotná aktiva, která jsou zranitelná vůči hrozbám pro bezpečnost informací.
Všechny tyto různé systémy jsou složité a vysoce propojené. Existuje bezpočet možných cest útoku, které mohou vést k bezpečnostnímu problému, a letadlo je poslední obrannou linií. Jakékoli spojení mezi letadlem a zemí (ať už bezdrátové nebo ne), jakákoli součást údržby, jakýkoli průmyslový systém a samozřejmě dodavatelský řetězec, to vše je vystaveno potenciálním hrozbám. 
Tyto hrozby představují potenciální porušení předpisů vyplývající z neoprávněného přístupu k informacím a informačním systémům zapojeným do systému letectví, z jejich neoprávněného použití, zpřístupnění, narušení, úpravy nebo zničení. Mnohé útoky mohou mít hlavní příčinu v nedbalosti nebo nedostatečné informovanosti zaměstnanců.
Hrozby mohou pocházet od různých stran, k nimž patří pachatelé kybernetické trestné činnosti, „hacktivisté“ a dokonce státem financovaní aktéři. Motivací takových útoků mohou být finanční, politické nebo osobní důvody, jako je uznání nebo pocit úspěchu.
Která odvětví v letectví se zdají být pro subjekty s nekalými úmysly nejatraktivnější?
Na základě údajů, které shromažďuje tým EASA pro operativní informace o kybernetických hrozbách, se zdá, že koncem roku 2024 jsou nejoblíbenějším cílem kybernetických útoků letiště – s více než 50 % zaznamenaných útoků proti letectví. Většinou se jedná o útoky DoS – to jsou situace, kdy pachatelé kybernetické kriminality zatíží systém vysokým provozem, aby se zhroutil. To může souviset s hacktivistickou činností, která často souvisí s geopolitickým napětím. Zdá se, že letiště umožňují vysoké zviditelnění, pokud se stanou cílem, a to vzhledem ke značnému viditelnému dopadu po incidentu. Tabule se zrušenými lety a cestující nespokojení se zpožděním jsou snadným obrazovým materiálem pro zpravodajství.
Jako druhý nejatraktivnější cíl subjektů s nekalými úmysly se jeví letečtí provozovatelé – přibližně 25 % útoků je zaměřeno na letecké společnosti. Kromě útoků DoS trpí letečtí provozovatelé rovněž ransomwarovými útoky (kdy kyberzločinci zašifrují data určitého subjektu a za jejich dešifrování požadují výkupné) a také porušováním zabezpečení dat. Útoky mají proto dopad nejen na bezpečnost, ale také na kontinuitu činnosti a provoz.
Dalšími zasaženými odvětvími jsou na základě zaznamenaných údajů výrobci letadel a organizace zajišťující údržbu, opravy a generální opravy, dále také státní instituce, které jsou rovněž denně vystaveny různým typům kybernetických útoků.
Co dělá agentura EASA pro zvýšení odolnosti letectví vůči kybernetickým útokům?
Přístup agentury EASA ke kybernetické bezpečnosti v letectví se skládá ze čtyř pilířů: certifikace leteckých výrobků, rizika bezpečnosti informací v organizacích, sdílení informací a budování kapacit.
Certifikace leteckých výrobků
Zpočátku se kybernetická bezpečnost v tomto kontextu řešila případ od případu. Žadatelé (organizace usilující o certifikaci letadla) museli posoudit potenciální dopady hrozeb v oblasti bezpečnosti informací na bezpečnost palubních systémů a sítí.
Vzhledem k tomu, že systémy a součásti letadla se stále více propojovaly, přibývalo možných cest útoku. Hrozbu tedy již nebylo možné řešit případ od případu a byl zapotřebí holistický přístup.
Za tímto účelem agentura EASA začlenila specifické požadavky na certifikaci letadel, které stanoví, že „vybavení, systémy a sítě letounu, posuzované samostatně a ve vztahu k jiným systémům, musí být chráněny před záměrnými nepovolenými elektronickými zásahy, které mohou mít nepříznivé účinky na bezpečnost letounu“.
Rizika bezpečnosti informací v organizacích
Protože hrozby v oblasti bezpečnosti informací se neomezují pouze na konstrukci letadel, ale zahrnují také osoby a procesy, byl v letech 2022 a 2023 zveřejněn nový soubor pravidel, tzv. „část IS“, kde IS znamená „bezpečnost informací“ (tvořený nařízením Komise v přenesené pravomoci (EU) 2022/1645 a prováděcím nařízením Komise (EU) 2023/203 pro ty, kdo se chtějí dozvědět více). Část IS stanoví požadavky s cílem chránit letecký systém před riziky bezpečnosti informací, která mohou mít dopad na bezpečnost. Část IS zahrnuje systémy informačních a komunikačních technologií a údaje používané schválenými organizacemi a úřady pro účely civilního letectví. Pro dosažení svého cíle vyžaduje část IS zřízení, zavedení a udržování systému řízení bezpečnosti informací.
Sdílení informací
Třetím pilířem je sdílení informací, které má v současné době dva různé zdroje. Evropské centrum pro kybernetickou bezpečnost v letectví, které tvoří zúčastněné strany z odvětví i z řad orgánů, a Síť analytiků kybernetické bezpečnosti, která sestává ze zástupců členských států. Jedná se o komunity, v nichž byla vybudována důvěra mezi zúčastněnými organizacemi, která jim umožňuje sdílet znalosti, jako jsou operativní informace o hrozbách ve formě zpráv, upozornění na možné hrozby a poznatky z analýzy incidentů, a podporovat spolupráci mezi členy.
Budování kapacit
V neposlední řadě jsou důležitou součástí přístupu agentury EASA ke kybernetické bezpečnosti činnosti v oblasti budování kapacit. Vzhledem k rychlému tempu technologického pokroku je důležité, aby tým agentury EASA pro kybernetickou bezpečnost držel krok s dobou. Proto je důležitým prvkem činnosti týmu výcvik spolu s výzkumem, který hraje klíčovou roli pro pochopení budoucích forem hrozeb a zaujmutí proaktivního postoje vůči hrozbám spojeným s kybernetickou bezpečností.
Výzkumný projekt programu Horizont Evropa: CYBER – Odolnost letectví a formy kybernetických bezpečnostních hrozeb
V roce 2024 zahájila agentura EASA výzkumný projekt týkající se kybernetické odolnosti letectví a forem kybernetických hrozeb. Cílem tohoto projektu je identifikovat kybernetické bezpečnostní hrozby, které mají potenciální negativní dopad na bezpečnost letového provozu. Díky těmto znalostem chce agentura EASA pomoci budovat silnější a odolnější letecký systém pro budoucnost.
Komunita agentury EASA pro kybernetickou bezpečnost
Pokud máte zájem sledovat všechny výše uvedené aktivity, agentura EASA vytvořila Komunitu pro kybernetickou bezpečnost, kde sdílíme informace o široké škále témat souvisejících s kybernetickou bezpečností v letectví. Ať už jste nadšenec, nebo odborník v oboru, rádi vás přivítáme na palubě a budeme s vámi diskutovat o řadě zajímavých témat z oblasti kybernetické bezpečnosti v letectví.
Některé poznámky k narušování systému GNSS: rušení a spoofing
Od února 2022 došlo k výraznému nárůstu rušení a spoofingu (falšování signálu) globálního družicového navigačního systému (GNSS), zejména v regionech obklopujících oblasti konfliktů a dalších citlivých oblastech, jako je Středozemní moře, Černé moře, Blízký východ, Baltské moře a Arktida. Možná jste o tom dokonce sledovali zpravodajství. Tyto incidenty rovněž spadají pod kybernetickou bezpečnost v letectví.
Rušením se myslí úmyslné rušení rádiových kmitočtů, které zabraňuje přijímačům GNSS zaměřit satelitní signály, čímž se systém stává neúčinným nebo se zhoršují jeho vlastnosti. Spoofing zahrnuje vysílání falešných satelitních signálů, které klamou přijímače GNSS a vedou k nesprávným polohovým, navigačním a časovým údajům – systém tak může pilotům tvrdit, že letí nad Paříží v sedm hodin ráno, zatímco ve skutečnosti letí v noci nad Římem. Narušení těchto systémů může vést k různým provozním výzvám pro palubní i pozemní systémy, avšak dosud nemělo žádný dopad na bezpečnost letů. Agentura EASA tento jev neustále sleduje a je připravena poskytovat poradenství všem účastníkům v oblasti letecké dopravy v případě, že existují náznaky, že by mohla být ovlivněna bezpečnost.