Cyberatak skierowany na transport lotniczy przy użyciu komputerów może mieć katastrofalne skutki. W dodatku jego przeprowadzenie w porównaniu z konwencjonalnymi metodami jest dużo łatwiejsze. Dokonanie ataku wymaga mniejszych kosztów finansowych, jest obarczone mniejszym ryzykiem dla samego atakującego, który nie musi angażować się fizycznie, może także zachować anonimowość unikając odpowiedzialności.
Zagrożenie dla infrastruktury krytycznej, w tym transportu lotniczego, może płynąć z wielu kierunków – ze strony aktorów państwowych (motywacja polityczna), ze strony przestępców (szantaż i chęć osiągnięcia zysków finansowych), czy też ze strony terrorystów, którzy zamiast wnoszenia bomb na pokład mogą zakłócić lot samolotu doprowadzając do jego katastrofy. O tym, że niebezpieczeństwa są realne świadczą fakty.
W kwietniu tego roku FBI ostrzegała Federal Aviation Administration (amerykański organ nadzoru lotniczego) o działaniach hakerów, którzy mogą być zainteresowani zaatakowaniem systemy teleinformatyczne transportu lotniczego. Ponadto Government Accountability Office opublikowało raport, w którym wskazywało szereg realnych podatności na jakie narażone są sieci teleinformatyczne używane w lotnictwie.
Ocena ryzyka ataków pokazała jak bardzo realny to problem. Przykłady te pokazują, że kraje uważne za dalece bardziej zaawansowane w zakresie działań związanych z cyberbezpieczeństwem niż Polska, także mają problemy. Oznacza to, że musimy podjąć jeszcze bardziej zdeterminowane działania aby zmniejszać ryzyko.
Po pierwsze konieczny jest wzrost inwestycji w bezpieczeństwo. Właściciele infrastruktury krytycznej muszą zrozumieć, że zwiększenie wydatków w cyberbezpieczeństwo to nie pieniądze zmarnowane. Po pierwsze, jak pokazuje przykład transportu lotniczego, może chodzić o życie i zdrowie ludzi. Jednocześnie, nawet jeśli nie dojdzie do katastrofy, to potencjalny atak i wynikające z niego opóźnienia, odwołania lotów i utrata zaufania klientów może przynieść olbrzymie straty. Lepiej zatem działać w myśl zasady – lepiej zapobiegać niż leczyć.
Po drugie, konieczna jest edukacja i wzrost świadomości – najczęstszymi przyczynami awarii są błędy ludzkie lub niezachowanie higieny korzystania z komputerów. To sprzyja dokonaniu udanych ataków opartych na inżynierii społecznej. Osoby pracujące w systemie lotniczym powinny zachowywać najwyższe standardy bezpieczeństwa. Konieczne są nieustanne szkolenia i działania udoskonalające.
Po trzecie współpraca. Operatorzy i właściciele infrastruktury krytycznej powinni raportować najważniejsze ataki, jak również wymieniać się informacjami z właściwymi podmiotami publicznymi. Taka wymiana informacji znacznie zwiększa możliwości przygotowania i wdrażania skutecznych mechanizmów obrony.
Po czwarte, standardy i najlepsze praktyki. W Polsce powinniśmy rozpocząć dyskusję nad koniecznością obligatoryjnego wdrażania standardów związanych z cyberbezpieczeństwem przez operatorów i właścicieli infrastruktury krytycznej. Standardy powinny być wypracowywane przy ścisłym udziale branży i powinny być dostosowywane do specyfiki sektora. Przy czym pamiętać należy, że nie musimy tu wynajdywać koła od nowa. Wiele dobrych rozwiązań już istnieje i powinniśmy je implementować na naszym gruncie. Dzielenie się dobrymi praktykami z bardziej zaawansowanymi graczami jest kluczowe. Potrzeba tworzenia platform gdzie taka dyskusja może mieć miejsce. Organizowane we wrześniu tego roku w Krakowie Europejskie Forum Cyberbezpieczeństwa – CYBERSEC2015 - właśnie temu celowi ma służyć.
Joanna Świątkowska
Ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa, dyrektor programowy Europejskiego Forum Cyberbezpieczeństwa - CYBERSEC. Partycypuje w wielu krajowych i międzynarodowych inicjatywach poświęconych cyberbezpieczeństwu. Współpracuje z kluczowymi podmiotami publicznymi odpowiedzialnymi za cyberbezpieczeństwo Polski. Między innymi zaangażowana była w prace Strategicznego Forum Bezpieczeństwa prowadzonego przez Biuro Bezpieczeństwa Narodowego, w ramach którego powstała Doktryna Cyberpezpieczeństwa RP. Doradzała Najwyższej Izbie Kontroli w kwestiach związanych z kontrolą cyberbezpieczeństwa Polski. Jest autorką artykułów, analiz i współautorką raportów o problematyce cyberbezpieczeństwa. Najnowszym przykładem jej pracy jest raport Instytutu Kościuszki o cyberbezpieczeństwie infrastruktury krytycznej. Aktualnie przygotowuje się do obrony rozprawy doktorskiej poświęconej wojnie informacyjnej.