Навігація по кіберзагрозах

The image depicts a hacker in a hooded sweatshirt, crouched in front of a laptop with a large screen displaying a digital globe and various data points. In the background, a large airplane is shown flying towards the viewer, surrounded by a digital interface with graphs and data. This visual representation ties into the post text, which discusses a coordinated cyberattack on U.S. airlines, mentioning breaches at WestJet, Hawaiian, and American Airlines, with the FBI attributing the attacks to the hacker group Scattered Spider. The image symbolizes the infiltration and potential disruption of airline systems, suggesting a broader threat beyond the current incidents.

Наталі Форрестілл з AtkinsRéalis розповідає, як аеропорти реагують на низку кіберрегуляторів у всьому світі, звертаючи увагу на застарілі системи та зміцнюючи свої ланцюги поставок.

Аеропорти по всьому світу зазнають дедалі більшого тиску щодо підвищення своєї кіберстійкості, оскільки уряди посилюють правила щодо критично важливої інфраструктури.

Фактично, з 2022 року спостерігається сплеск нових вимог щодо кібербезпеки для авіаційного сектору у великих юрисдикціях.

У Сполучених Штатах влада запровадила обов'язкові кіберзаходи для аеропортів – від швидшого повідомлення про інциденти до ізоляції критично важливих систем – через директиви Адміністрації транспортної безпеки (TSA).

Австралія також розширила свої закони про безпеку, включивши до них авіацію, вимагаючи від аеропортів впроваджувати управління кіберризиками та звітування про інциденти як частину експлуатації критичної інфраструктури.

У Європі Директива ЄС про мережі та інформаційні системи (NIS2) зобов'язує аеропорти запроваджувати комплексні програми боротьби з кіберризиками, дотримуватися суворих повідомлень про порушення 24 та 72 години на добу, а також забезпечувати посилений контроль безпеки ланцюга поставок.

Ці зобов'язання відображені в майбутньому законі Великої Британії про кібербезпеку та стійкість. У багатьох випадках ці правила розширюють сферу застосування на менші аеропорти та загрожують вищими штрафами за їх недотримання.

Цей глобальний регуляторний імпульс підкріплюється міжнародними авіаційними організаціями (ICAO, ACI, IATA), які одночасно закликають до посилення кіберзахисту в авіації.

Усі ці зусилля відображають підвищену стурбованість щодо кіберзагроз для критично важливих систем аеропортів, особливо для операційних технологій (ОТ) та складних ланцюгів поставок, які забезпечують функціонування аеропортів.

AtkinsRéalis часто проводить офіційні кібероцінки систем операційної діяльності для кількох світових аеропортів, включаючи системи багажу, дорожнього руху, освітлення та опалення, і ці оцінки виявили низку спільних тем, що підкреслюють унікальні проблеми, з якими стикаються аеропорти в управлінні застарілою інфраструктурою та кіберзагрозами, що розвиваються.

Операційні технології: критично недооцінені?

Незважаючи на зростання готовності до кіберзагроз, багато аеропортів все ще розвивають своє розуміння того, які системи слід вважати «критичними» з точки зору кіберстійкості.

Це часто формується застарілими нормативними базами та історичним акцентом на ІТ-системах, що ненавмисно призвело до недостатнього пріоритету операційних технологій.

Часто організації починають з оцінки систем, які, як відомо, підпадають під дію чинних правил, а потім поступово розширюють сферу їх застосування, щоб застосовувати отримані уроки та поширювати передовий досвід на інші системи.

Деякі з повторюваних тем, які ми спостерігали в наших оцінках, свідчать про те, що системи ОТ не завжди офіційно визнаються «критично важливими». Не через нехтування, а тому, що системи ОТ є «частиною меблів».

Ці системи, яким часто десятиліттями, можуть не мати актуальної документації, а необхідні знання про них часто належать лише кільком особам.

Вплив COVID-19 та ширших економічних зрушень також сприяв втраті власного досвіду, тоді як деякі постачальники, можливо, припинили діяльність або більше не підтримують обладнання.

Через це важко створити уявлення про ці системи: як вони працюють і з чим пов'язані.

Системи OT in situ, як правило, є старими або спеціалізованими системами, які мають менше розроблених заходів безпеки або не підтримують новіші функції безпеки сучасного програмного забезпечення та мікропрограм. Це залишає операторам аеропортів вибір: або замінити величезні ділянки інфраструктури з величезними витратами; або керувати ризиками та впроваджувати інші засоби контролю, такі як обмежений фізичний доступ, або суворіші процедури реагування на інциденти та відновлення для зменшення збитків.

Хоча ІТ-сектор досяг значних успіхів у контролі кібербезпеки та його широкому застосуванні, перенесення цих принципів на середовища ОТ залишається складним.

Ми бачили, як організаційні політики та кіберкоманди намагалися застосувати ІТ-орієнтовані підходи до ОТ, але з обмеженим успіхом. Візьмемо, наприклад, виправлення: ІТ-відділи часто виконують це, але це не завжди можливо в ОТ через високі вимоги до доступності та необхідність ретельного тестування перед розгортанням.

Ризики та наслідки

Ці проблеми породжують кілька повторюваних ризиків у середовищах OT, таких як:

– Обмежена видимість активів: без повного огляду активів та їхніх вразливостей, невідомі активи та вразливості можуть залишатися в мережі, створюючи прогалини, які можна використовувати.

– Нечіткі межі мережі: погане розуміння того, як системи взаємопов’язані, може дозволити зловмисникам переміщатися латерально через інші системи, що посилює наслідки порушення.

– Вразливість ланцюга поставок: Застарілі контракти та некеровані відносини з постачальниками часто не мають сучасних положень безпеки, що робить системи вразливими до компрометації з боку третіх осіб.

Наслідки набагато більше, ніж просто теоретичні. Кібератака може призвести до масштабних збоїв – вимкнення вогнів злітно-посадкової смуги, зупинки потоку багажу або перешкоджання роботі сканерів посадкових талонів.

У 2024 році Міжнародний аеропорт Сіетл-Такома зазнав кібератаки, яка вплинула на його інтернет-з’єднання, системи відображення та сортування багажу, що призвело до понад 400 затримок та скасування рейсів.

Хоча аеропорти Великої Британії не стикалися з подібною кібератакою, такі інциденти, як відключення електроенергії в Хітроу та збої в роботі ІТ у Станстеді у 2025 році, нагадують про наслідки порушення роботи критично важливих систем.

Вид з гелікоптера

Щоб випереджати як регуляторні зміни, так і кіберзагрози, що розвиваються, аеропорти повинні застосовувати стратегічний, інтегрований підхід до забезпечення безпеки операційних систем та систем ланцюгів поставок.

На відміну від системного підходу, де залежності часто ігноруються, оператори повинні зосередитися на розумінні своїх колективних систем та їхньої взаємодії.

Застосування міжгалузевого підходу «систем систем» дозволить аеропортам краще зрозуміти свій стан кібербезпеки та визначити найвищі та спільні ризики по всій своїй території, які можна вирішити комплексно.

Це не лише підвищує стійкість, але й забезпечує більшу цінність інвестицій.

Надійну стратегію кібербезпеки OT необхідно розробити разом із системами безпеки ІТ, забезпечуючи узгодженість, враховуючи при цьому окремі вимоги кожної сфери.

Це включає процеси управління ланцюгом поставок протягом усього життєвого циклу будь-якого активу – від закупівлі до виведення з експлуатації.

Впровадження цього підходу в організаційні політики, стандарти та навчання з кібербезпеки є надзвичайно важливим.

Підвищення кваліфікації операційних команд у сфері кібербезпеки та, навпаки, ІТ-фахівців щодо нюансів операційних технологій допоможе подолати розрив, сприяти розвитку культури кіберстійкості та отримати довгострокові переваги.

Завдяки проактивному вирішенню кіберризиків, пов'язаних зі застарілими системами операційних систем та залежностями від ланцюгів поставок, оператори можуть посилити свій захист, зменшити ризик регуляторних санкцій та забезпечити безперервність операцій і безпеку пасажирів.

Про автора

Наталі Форрестілл — старший консультант з кібербезпеки в AtkinsRéalis.