Σε έναν ολοένα και πιο ψηφιοποιημένο και διασυνδεδεμένο κόσμο, η έκθεση σε κυβερνοαπειλές είναι πιο άμεση. Οι εμπειρογνώμονες ασφάλειας πληροφοριών συχνά δηλώνουν ότι το ζήτημα που τίθεται δεν είναι το «αν» αλλά το «πότε» μια συγκεκριμένη οντότητα θα τεθεί στο στόχαστρο των κυβερνοεγκληματιών. Ο τομέας της αεροπορίας είναι επίσης ευάλωτος σε τέτοιες απειλές. Πρόκειται για απειλές κατά της ασφάλειας των πληροφοριών που μπορούν να οδηγήσουν σε διαταραχές των λειτουργιών ή να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.
Η αποστολή του EASA για την εγγύηση ασφαλών αεροπορικών ταξιδιών στην Ευρώπη (και παγκοσμίως) περιλαμβάνει τον μετριασμό των κινδύνων που συνδέονται με την ασφάλεια των πληροφοριών. Η δέσμη κανονιστικών ρυθμίσεων της Ευρωπαϊκής Ένωσης (ΕΕ) ορίζει ότι οι κίνδυνοι για την ασφάλεια των πληροφοριών πρέπει να προσδιορίζονται, να αξιολογούνται και να αντιμετωπίζονται με αναλογικό τρόπο από φορείς που δραστηριοποιούνται σε ολόκληρο το οικοσύστημα της πολιτικής αεροπορίας και στη συνέχεια να ελέγχονται ώστε να αποφεύγονται τυχόν δυσμενείς επιπτώσεις για την ασφάλεια των πολιτών. Το οικοσύστημα αυτό περιλαμβάνει φορείς που ασχολούνται με τον σχεδιασμό, την παραγωγή, τη συντήρηση, τις λειτουργίες, την εκπαίδευση και όλες τις δραστηριότητες που απαιτούνται για την διασφάλιση της ασφαλούς διεξαγωγής των πτητικών λειτουργιών.
Ποιες είναι οι απειλές για την αεροπορία και από πού προέρχονται;
Η αεροπορία είναι ένα «σύστημα συστημάτων» που περιλαμβάνει - εκτός από τα αεροναυτικά προϊόντα και τις συναφείς τεχνολογίες τους - ανθρώπους, διεργασίες και άλλα άυλα περιουσιακά στοιχεία, τα οποία με τη σειρά τους είναι εξίσου ευάλωτα σε απειλές κατά της ασφάλειας των πληροφοριών.
Όλα τα διαφορετικά συστήματα είναι πολύπλοκα και άκρως διασυνδεδεμένα. Υπάρχουν αμέτρητα μονοπάτια επίθεσης που μπορούν να προκαλέσουν προβλήματα ασφάλειας και το αεροσκάφος αποτελεί την τελευταία γραμμή άμυνας. Κάθε σύνδεση μεταξύ του αεροσκάφους και του εδάφους (ασύρματη ή μη), κάθε παρελκόμενο συντήρησης, κάθε βιομηχανικό σύστημα και, φυσικά, η αλυσίδα εφοδιασμού μπορεί να αποτελέσουν αντικείμενο απειλής. 
Οι απειλές αυτές έχουν τη μορφή πιθανών παραβιάσεων που απορρέουν από τη μη εξουσιοδοτημένη πρόσβαση, χρήση, κοινολόγηση, διακοπή, τροποποίηση και/ή καταστροφή πληροφοριών και συστημάτων πληροφοριών που χρησιμοποιούνται στο σύστημα αεροπορίας. Βασική αιτία πολλών από τις επιθέσεις αυτές είναι η αμέλεια ή η έλλειψη ενημέρωσης των εργαζομένων.
Οι απειλές αυτές μπορεί να προέρχονται από διάφορους παράγοντες, μεταξύ άλλων κυβερνοεγκληματίες και χακτιβιστές, ακόμη και φορείς που χρηματοδοτούνται από το κράτος. Τα κίνητρα των επιθέσεων αυτών μπορεί να είναι οικονομικά, πολιτικά ή προσωπικά, όπως η αναγνώριση ή η αίσθηση της επιτυχίας.
Ποιοι τομείς της αεροπορίας φαίνεται ότι προσελκύουν περισσότερο κακόβουλους παράγοντες;
Σύμφωνα με τα δεδομένα που έχει συλλέξει η ομάδα πληροφοριών για τις κυβερνοαπειλές του EASA προκύπτει ότι, στα τέλη του 2024, τα αεροδρόμια αποτελούσαν τον πιο δημοφιλή στόχο κυβερνοεπιθέσεων, καθώς πάνω από το 50% των στοχευμένων επιθέσεων που έχουν καταγραφεί αφορούν την αεροπορία. Οι περισσότερες από τις επιθέσεις αυτές είναι επιθέσεις άρνησης παροχής υπηρεσίας. Αυτό συμβαίνει όταν οι κυβερνοεγκληματίες κατακλύζουν ένα σύστημα με μεγάλο όγκο κυκλοφορίας προκειμένου να το «ρίξουν». Κάτι τέτοιο μπορεί να συνδέεται με τις δραστηριότητες χακτιβιστών, οι οποίες συχνά τροφοδοτούνται από γεωπολιτικές εντάσεις. Φαίνεται πως οι αερολιμένες προσφέρουν μεγάλη προβολή όταν γίνονται στόχος τέτοιων επιθέσεων λόγω του σημαντικού ορατού αντικτύπου που έχει ένα τέτοιο συμβάν. Οι πίνακες με τις ακυρωθείσες πτήσεις και οι δυσαρεστημένοι επιβάτες των οποίων οι πτήσεις έχουν καθυστερήσει αποτελούν άριστο οπτικό υλικό για τα δελτία ειδήσεων.
Οι αερομεταφορείς φαίνεται πως αποτελούν τον δεύτερο κατά σειρά ελκυστικότερο στόχο για τους κακόβουλους παράγοντες, καθώς το 25 % περίπου των επιθέσεων στοχεύουν αεροπορικές εταιρείες. Εκτός από τις επιθέσεις άρνησης παροχής υπηρεσιών, οι αερομεταφορείς δέχονται επίσης επιθέσεις λυτρισμικού (λογισμικό εκβίασης) (κατά τις οποίες κυβερνοεγκληματίες κρυπτογραφούν τα δεδομένα μιας οντότητας και απαιτούν λύτρα για την αποκρυπτογράφησή τους) καθώς και παραβιάσεις δεδομένων. Ως εκ τούτου, οι επιθέσεις δεν έχουν μόνο αντίκτυπο στην ασφάλεια αλλά και στη συνέχεια των δραστηριοτήτων και στις λειτουργίες.
Με βάση τα δεδομένα που έχουν καταγραφεί, άλλοι τομείς που πλήττονται είναι οι κατασκευαστές αεροσκαφών και οι οργανισμοί συντήρησης, επιδιόρθωσης και γενικής επισκευής, καθώς και κυβερνητικοί οργανισμοί, που επίσης υφίστανται καθημερινά διάφορα είδη κυβερνοεπιθέσεων.
Τι κάνει ο EASA για να ενισχύσει την ανθεκτικότητα της αεροπορίας απέναντι στις κυβερνοεπιθέσεις;
Η προσέγγιση του EASA όσον αφορά την κυβερνοασφάλεια στον τομέα της αεροπορίας βασίζεται σε τέσσερις πυλώνες: στην πιστοποίηση αεροπορικών προϊόντων, στους κινδύνους για την ασφάλεια των οργανωτικών πληροφοριών, στην ανταλλαγή πληροφοριών και στην ανάπτυξη ικανοτήτων.
Πιστοποίηση αεροπορικών προϊόντων
Αρχικά, στο πλαίσιο αυτό η κυβερνοασφάλεια αντιμετωπιζόταν κατά περίπτωση. Οι αιτούντες (οργανισμοί που ζητούσαν την πιστοποίηση αεροσκαφών) έπρεπε να αξιολογήσουν τις πιθανές επιπτώσεις που θα μπορούσαν να έχουν οι απειλές για την ασφάλεια των πληροφοριών στην ασφάλεια των συστημάτων και των δικτύων του αεροσκάφους.
Λόγω της αυξανόμενης διασύνδεσης των συστημάτων και των εξαρτημάτων των αεροσκαφών, πολλαπλασιάστηκαν και τα πιθανά μονοπάτια επίθεσης. Ως εκ τούτου, οι απειλές δεν μπορούσαν πλέον να αντιμετωπίζονται κατά περίπτωση και κρίθηκε απαραίτητη μια ολιστική προσέγγιση.
Για τον σκοπό αυτό, ο EASA ενσωμάτωσε ειδικές απαιτήσεις για την πιστοποίηση αεροσκαφών οι οποίες ορίζουν ότι «ο εξοπλισμός, τα συστήματα και τα δίκτυα του αεροπλάνου, εξεταζόμενα μεμονωμένα και σε αλληλεξάρτηση μεταξύ τους, πρέπει να προστατεύονται από σκόπιμες μη εξουσιοδοτημένες ηλεκτρονικές αλληλεπιδράσεις που μπορεί να έχουν δυσμενείς επιπτώσεις στην ασφάλεια του αεροπλάνου».
Κίνδυνοι για την ασφάλεια των οργανωτικών πληροφοριών
Δεδομένου ότι οι απειλές κατά της ασφάλειας των πληροφοριών δεν περιορίζονται μόνο στον σχεδιασμό των αεροσκαφών αλλά αφορούν επίσης άτομα και διαδικασίες, το 2022 και το 2023 δημοσιεύτηκε μια νέα δέσμη κανόνων, γνωστή ως «Μέρος IS», (όπου «IS» σημαίνει «Ασφάλεια των πληροφοριών») (η οποία αποτελείται από τον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) 2022/1645 και τον εκτελεστικό κανονισμό (ΕΕ) 2023/203, για όσους επιθυμούν περισσότερες πληροφορίες]. Το Μέρος IS ορίζει απαιτήσεις που έχουν ως στόχο την προστασία του συστήματος της πολιτικής αεροπορίας από κινδύνους για την ασφάλεια των πληροφοριών οι οποίοι θα μπορούσαν να έχουν αντίκτυπο στην ασφάλεια. Το Μέρος-IS καλύπτει τα συστήματα και τα δεδομένα τεχνολογίας πληροφοριών και επικοινωνιών που χρησιμοποιούνται από εγκεκριμένους οργανισμούς και αρχές για τους σκοπούς της πολιτικής αεροπορίας. Για την επίτευξη του στόχου του, το Μέρος IS απαιτεί τη δημιουργία, την εφαρμογή και τη διατήρηση ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών.
Ανταλλαγή πληροφοριών
Ο τρίτος πυλώνας είναι η ανταλλαγή των πληροφοριών, η οποία επί του παρόντος διεξάγεται στο πλαίσιο δύο διαφορετικών ροών. Το Ευρωπαϊκό Κέντρο κυβερνοασφάλειας στον τομέα της αεροπορίας, το οποίο απαρτίζεται από ενδιαφερόμενα μέρη τόσο του κλάδου όσο και των αρχών, και το Δίκτυο αναλυτών κυβερνοχώρου στο οποίο συμμετέχουν εκπρόσωποι των κρατών μελών. Πρόκειται για κοινότητες στις οποίες έχει εδραιωθεί η εμπιστοσύνη μεταξύ των συμμετεχόντων οργανισμών, γεγονός που επιτρέπει στα μέλη να ανταλλάσσουν γνώσεις, όπως πληροφορίες για απειλές με τη μορφή εκθέσεων, προειδοποιήσεις σχετικά με πιθανές απειλές και συμπεράσματα από τις αναλύσεις συμβάντων, και να προωθούν τη συνεργασία μεταξύ των μελών.
Ανάπτυξη ικανοτήτων
Τέλος, οι δραστηριότητες ανάπτυξης ικανοτήτων αποτελούν σημαντικό μέρος της προσέγγισης του EASA για την κυβερνοασφάλεια. Λόγω του γρήγορου ρυθμού των τεχνολογικών εξελίξεων, είναι σημαντικό η ομάδα για την κυβερνοασφάλεια του EASA να παραμένει ενημερωμένη. Ως εκ τούτου, η κατάρτιση αποτελεί σημαντικό στοιχείο των δραστηριοτήτων της ομάδας, παράλληλα με την έρευνα, η οποία διαδραματίζει καθοριστικό ρόλο στην κατανόηση του μελλοντικού τοπίου των απειλών και στην υιοθέτηση μιας προορατικής στάσης απέναντι στις απειλές κατά της κυβερνοασφάλειας.
Ερευνητικό έργο «Ορίζων Ευρώπη»: CYBER - Ανθεκτικότητα της αεροπορίας και τοπίο των κυβερνοαπειλών
Το 2024, ο EASA δρομολόγησε ερευνητικό έργο σχετικά με την κυβερνοανθεκτικότητα της αεροπορίας και το τοπίο των κυβερνοαπειλών. Το έργο αυτό έχει ως στόχο τον εντοπισμό κυβερνοαπειλών με ενδεχόμενο αρνητικό αντίκτυπο στην ασφάλεια των πτητικών λειτουργιών. Χάρη στις γνώσεις αυτές, ο EASA έχει ως στόχο να συμβάλει στην οικοδόμηση ενός ισχυρότερου και ανθεκτικότερου συστήματος αεροπορίας για το μέλλον.
Η κοινότητα κυβερνοασφάλειας του EASA
Εάν σας ενδιαφέρει να παρακολουθήσετε όλες τις προαναφερθείσες δραστηριότητες, ο EASA έχει δημιουργήσει μια κοινότητα κυβερνοασφάλειας στην οποία ανταλλάσσονται πληροφορίες σχετικά με ένα ευρύ φάσμα θεμάτων που αφορούν την κυβερνοασφάλεια στον τομέα της αεροπορίας. Είτε είστε λάτρης του αντικειμένου είτε ειδικός σε θέματα κυβερνοασφάλειας, θα χαρούμε πολύ να συμμετάσχετε στην ανταλλαγή απόψεων σχετικά με διάφορα ενδιαφέροντα θέματα που αφορούν την κυβερνοασφάλεια στην αεροπορία.
Μερικές παρατηρήσεις σχετικά με τις παρεμβάσεις στο πλαίσιο του παγκόσμιου δορυφορικού συστήματος πλοήγησης GNSS: παρεμβολές (jamming)και πλαστοπροσωπία (spoofing)
Από τον Φεβρουάριο του 2022, έχει καταγραφεί αξιοσημείωτη αύξηση περιπτώσεων παρεμβολής και πλαστοπροσωπίας στο πλαίσιο του παγκόσμιου δορυφορικού συστήματος πλοήγησης (GNSS), κυρίως σε περιοχές που περιβάλλουν ζώνες συγκρούσεων και άλλες ευαίσθητες περιοχές όπως η Μεσόγειος, ο Εύξεινος Πόντος, η Μέση Ανατολή, η Βαλτική Θάλασσα και η Αρκτική. Ενδεχομένως να έχετε δει κάτι σχετικό και στις ειδήσεις. Τα συμβάντα αυτά εμπίπτουν επίσης στην κυβερνοασφάλεια της αεροπορίας.
Ως παρεμβολή νοείται η σκόπιμη παρεμβολή ραδιοσυχνοτήτων που εμποδίζει τους δέκτες GNSS να κλειδώνουν δορυφορικά σήματα, γεγονός που καθιστά το σύστημα αναποτελεσματικό ή το υποβαθμίζει. Η πλαστοπροσωπία συνίσταται στη μετάδοση πλαστών δορυφορικών σημάτων για την παραπλάνηση των δεκτών GNSS, παρέχοντας εσφαλμένα δεδομένα θέσης, πλοήγησης και χρονισμού. Συνεπώς, το σύστημα μπορεί να ενημερώνει τους πιλότους ότι πετάνε πάνω από το Παρίσι στις 7 το πρωί, ενώ στην πραγματικότητα πετάνε πάνω από τη Ρώμη τη νύχτα. Οι παρεμβολές αυτές μπορούν να προκαλέσουν διάφορες λειτουργικές δυσκολίες στα αεροσκάφη και στα επίγεια συστήματα, αλλά δεν έχουν υπάρξει επιπτώσεις στην ασφάλεια των πτήσεων. Ο EASA παρακολουθεί συνεχώς το φαινόμενο, ούτως ώστε να είναι έτοιμος να παράσχει συμβουλές σε όλους τους παράγοντες της αεροπορίας σε περίπτωση ενδείξεων για ενδεχόμενες επιπτώσεις στην ασφάλεια.