Δημήτριος Ζοπουνίδης
Φοιτητής Τμήματος Οργάνωσης & Διοίκησης Επιχειρήσεων, Πανεπιστημίου Μακεδονίας, Ιδρυτής του Aviationlife.gr
Καθηγητής Κωνσταντίνος Ζοπουνίδης, Ακαδημαϊκός
Βασιλική Ακαδημία Οικονομικών & Χρηματοοικονομικών, Βασιλική Ευρωπαϊκή Ακαδημία των Διδακτόρων, Πολυτεχνείο Κρήτης & Audencia Business School, France
Επίκουρος Καθηγητής Ευστράτιος Λιβάνης
Τμήμα Λογιστικής & Χρηματοοικονομικής, Πανεπιστημίου Μακεδονίας
Η Κυβερνοασφάλεια (Cyber Security) είναι μια διαδικασία κατά την οποία ένας οργανισμός, μια επιχείρηση ή μια κυβέρνηση αρχίζει να ενδιαφέρεται για τις ψηφιακές απειλές, μαθαίνει να τις αναγνωρίζει και να τις αποτρέπει (βλ. Κ. Ζοπουνίδης και Ε. Λιβάνης, Διαχείριση κινδύνων κυβερνοχώρου: η νέα πρόκληση για τους CEOs & CFOs, Ναυτεμπορική, Παρασκευή 22 Ιουνίου 2018).
Σύμφωνα με την Βικιπαίδεια, η ασφάλεια υπολογιστών, η ασφάλεια στον κυβερνοχώρο ή η ασφάλεια τεχνολογίας πληροφοριών (ασφάλεια πληροφορικής) είναι η προστασία των συστημάτων και των δικτύων υπολογιστών από την αποκάλυψη σημαντικών πληροφοριών, την κλοπή ή τη ζημιά στο υλικό, το λογισμικό ή τα δεδομένα του οργανισμού.
Οι κυβερνοαπειλές (Cyber Threats) είναι ενέργειες που γίνονται από τρίτους με σκοπό να πάρουν πρόσβαση σε πόρους που δεν έχουν τα κατάλληλα δικαιώματα, να καταστρέψουν ευαίσθητες και σημαντικές πληροφορίες, να αποσπάσουν χρήματα από χρήστες ή να διακόψουν τη ροή εργασιών μιας επιχείρησης.
Έννοια Κυβερνοχώρου
Η τεχνολογία και τα συστήματα στον κυβερνοχώρο έχουν καταστεί ουσιαστικά για τη σύγχρονη κοινωνία ως συστατικό πολλών δραστηριοτήτων που έχουν εξαρτηθεί από την τεχνολογία των πληροφοριών.
Μαζί με τα οφέλη των τεχνολογιών στον κυβερνοχώρο, προκύπτουν κενά ασφαλείας που επηρεάζουν όλα τα συστήματα και τις υποδομές. Η απειλή στον κυβερνοχώρο και η επίθεση στον κυβερνοχώρο έχουν μια διακρατική διάσταση και αποτέλεσμα, καθώς τα παγκόσμια συστήματα αλληλοσυνδέονται.
Επιπλέον, η πολυπλοκότητα της δράσης έχει επιπτώσεις σε διάφορους παράγοντες σε εθνικό, περιφερειακό και διεθνές επίπεδο.
Κυβερνοχώρος και Πολιτική Αεροπορία
Σε αυτό το περιβάλλον ανασφάλειας στον κυβερνοχώρο η Πολιτική Αεροπορία ασκεί τη δραστηριότητά της. Η πολιτική αεροπορία βασίζεται κυρίως σε τεχνολογία με δυνατότητα κυβερνοχώρου η οποία χρησιμοποιείται για την αύξηση της ασφάλειας και της αποτελεσματικότητας των πτήσεων και των μεταφορών. Ωστόσο, η διασύνδεση των συστημάτων και η εξάρτηση από την τεχνολογία δημιούργησαν τις βέλτιστες προϋποθέσεις για την εμφάνιση νέων κινδύνων. Η αεροπορική βιομηχανία χρησιμοποιεί ένα ευρύ διασυνδεδεμένο σύστημα βασισμένο σε υπολογιστές, που εκτείνεται από συστήματα αεροναυτιλίας, συστήματα ελέγχου και επικοινωνίας αεροσκαφών επί του σκάφους, συστήματα εδάφους αεροδρομίου, συστήματα πληροφοριών πτήσης, έλεγχο ασφαλείας και πολλά άλλα που χρησιμοποιούνται σε καθημερινή βάση και για όλες τις αεροπορικές δραστηριότητες.
Η τάση της αεροπορικής βιομηχανίας είναι να γίνεται ολοένα και πιο ψηφιακή (σχετική ανάλυση εδώ: https://www.naftemporiki.gr/finance/story/1660674/biometrics-kai-psifiakos-metasximatismos-tis-aeroporikis-biomixanias).
Η ψηφιοποίηση φέρνει νέους κινδύνους καθώς οι αλληλεπιδράσεις μεταξύ ατόμων και συστημάτων καθιστούν τον κίνδυνο πιο δύσκολο να προβλεφθεί.
Ο Διεθνής Οργανισμός Πολιτικής Αεροπορίας (ICAO), αναγνωρίζοντας τον επείγοντα και σημαντικό ρόλο της προστασίας των υποδομών της πολιτικής αεροπορίας, των συστημάτων τεχνολογίας πληροφοριών και επικοινωνίας καθώς και των δεδομένων από απειλές στον κυβερνοχώρο, έχει αναπτύξει ένα σταθερό πλαίσιο ασφάλειας στον κυβερνοχώρο.
Με την 40η σύνοδο της Συνέλευσης ο ICAO ενέκρινε το ψήφισμα της Συνέλευσης σχετικά με την αντιμετώπιση της ασφάλειας στον κυβερνοχώρο, στην πολιτική αεροπορία.
Πιο συγκεκριμένα, το ψήφισμα αφορά την ασφάλεια στον κυβερνοχώρο μέσω μιας οριζόντιας, εγκάρσιας και λειτουργικής προσέγγισης, επιβεβαιώνοντας τη σημασία και το χαρακτήρα της προστασίας των κρίσιμων συστημάτων υποδομής και των δεδομένων της πολιτικής αεροπορίας από απειλές της κυβερνοασφάλειας και καλεί τα κράτη να εφαρμόσουν τη στρατηγική αυτή.
Λόγοι που η Αεροπορία είναι ευάλωτη στις Κυβερνοεπιθέσεις
Η εξειδικευμένη ιστοσελίδα CyberInsuranceinGreece.com, κατατάσσει τους λόγους για τους οποίους η αεροπορία είναι τόσο εύκολος στόχος για ένα ευρύ φάσμα εγκληματιών, ποικίλουν:
1. Οργανισμοί και άτομα που ταξιδεύουν, κατέχουν πολύτιμα περιουσιακά στοιχεία, τα οποία αποθηκεύονται ή μεταφέρονται από τους ίδιους κατά την πτήση.
2. Τα αεροσκάφη, η αεροναυπηγική και άλλοι τομείς της αεροπορίας προκαλούν ασυνείδητα άτομα να μάθουν εμπορικά μυστικά ή να υποκλέψουν άλλες πληροφορίες που θα τους δώσουν το προβάδισμα στην αγορά.
3. Όπως είδαμε στις 11/9/2001, δυστυχώς τα αεροσκάφη μπορούν να μετατραπούν σε όπλα.
4. Τα αεροσκάφη είναι καλός στόχος για τους τρομοκράτες, καθώς μπορούν να προκύψουν πολλές απώλειες, να τρομοκρατήσουν πολλούς ανθρώπους και να κερδίσουν σημαντική κάλυψη από τα μέσα μαζικής ενημέρωσης.
5. Τα UAVs (drones) χρησιμοποιούνται όλο και πιο συχνά, άρα γίνονται ευάλωτα σε πληθώρα απειλών.
Είναι ξεκάθαρο ότι ο προκλήσεις για Aviation Security είναι κάτι περισσότερο από την κλοπή μιας ταυτότητας ή μιας πιστωτικής κάρτας.
Η αεροπορική βιομηχανία κινείται γρήγορα προς την ψηφιοποίηση, εισάγοντας νέες τεχνολογίες και σύγχρονα εργαλεία όπως Cloud, 5G, δορυφορικές επικοινωνίες και Machine Learning.
Αυτό, με τη σειρά του, εκθέτει σε περαιτέρω κίνδυνο τις ηλεκτρονικές υποδομές και τα δεδομένα των αεροπορικών οργανισμών και εταιρειών από την τρέχουσα τάση των κυβερνοεπιθέσεων.
Καθίσταται σαφές λοιπόν, ότι η αεροπορική βιομηχανία δεν είναι απαλλαγμένη από τις κυβερνοεπιθέσεις.
Παραδείγματα Κυβερνοεπιθέσεων σε Αεροπορικές Εταιρείες και Αεροπορικούς Οργανισμούς
Το EUROCONTROL ανέφερε περισσότερες από 30 κυβερνοεπιθέσεις στην αεροπορία το πρώτο εξάμηνο του 2019.
Η αεροπορική εταιρεία Cathay Pacific του Χονγκ Κονγκ ήταν ο στόχος μιας επίθεσης που παραβίασε δεδομένα των πελατών της, τον Νοέμβριο του 2018. Πιο συγκεκριμένα, προκάλεσε τη διαρροή περισσότερων από 9 εκατομμυρίων προσωπικών δεδομένων.
Την Πέμπτη 04/03/2021, περισσότεροι από μισό εκατομμύριο πελάτες της Singapore Airlines επηρεάστηκαν από κυβερνοεπίθεση που έγινε στα συστήματα πληροφορικής της εταιρείας τεχνολογίας του τομέα των αερομεταφορών SITA., αν και δεν είναι σαφές εάν έχουν χρησιμοποιηθεί δεδομένα για εγκληματικό σκοπό.
Η SITA ενημέρωσε τη Malaysia Airlines, τη Finnair και την Jeju Air ότι οι επιβάτες τους, ενδέχεται να έχουν επηρεαστεί από τους διακομιστές παραβίασης του συστήματος εξυπηρέτησης επιβατών (PSS).
Η Air New Zealand έχει επίσης επηρεαστεί και οι πελάτες της έχουν ενημερωθεί. Άλλες αεροπορικές εταιρείες μέλη της Star Alliance που περιλαμβάνουν τις United Airlines, Lufthansa, Air Canada, Swiss, SAS και Croatia Airlines, πιθανώς να έχουν επηρεαστεί.
Η παράβαση φαίνεται να συνδέεται με δεδομένα συχνών πτήσεων, αλλά δεν περιλαμβάνει κωδικούς μέλους, στοιχεία πιστωτικής κάρτας ή άλλα προσωπικά δεδομένα πελατών.
Στόχος κυβερνοεπίθεσης, η οποία προήλθε από ιδιαίτερα "εξελιγμένη πηγή", έγινε η αεροπορική εταιρεία χαμηλού κόστους easyJet, το Μάϊο του 2020.
Η αεροπορική εταιρεία ενημέρωσε ότι απέκλεισε τη μη εξουσιοδοτημένη πρόσβαση, ωστόσο αποκάλυψε ότι στο πλαίσιο της έρευνας που διεξήγαγε για την εν λόγω επίθεση, διαπιστώθηκε ότι υποκλάπησαν διευθύνσεις ηλεκτρονικού ταχυδρομείου και στοιχεία ταξιδιών περίπου 9 εκατομμυρίων πελατών, αλλά και στοιχεία πιστωτικών καρτών περισσότερων από 2.000 πελατών.
«Δεν υπάρχουν στοιχεία ότι έγινε κακή χρήση προσωπικών πληροφοριών οποιασδήποτε φύσης, ωστόσο επικοινωνούμε με τους σχεδόν εννέα εκατομμύρια πελάτες μας στις ταξιδιωτικές πληροφορίες των οποίων οι χάκερς είχαν πρόσβαση, ώστε να τους συμβουλεύσουμε να λάβουν μέτρα προστασίας για να μειωθεί ο κίνδυνος υποκλοπής», τόνισε η εταιρεία.
«Λαμβάνουμε πολύ σοβαρά υπόψη μας τα ζητήματα ασφαλείας και συνεχίζουμε να επενδύουμε ώστε να ενισχύσουμε περαιτέρω το περιβάλλον ασφαλείας μας», ανέφερε η easyJet σε ανακοίνωσή της προς το χρηματιστήριο.
Περίπου 1.400 επιβάτες των πολωνικών κρατικών αερογραμμών LOT περίμεναν για ώρες στο αεροδρόμιο «Σοπέν» της Βαρσοβίας λόγω κυβερνοεπίθεσης σε υπολογιστές που εκδίδουν σχέδια πτήσης. Δέκα διεθνείς και εσωτερικές πτήσεις ακυρώθηκαν και τουλάχιστον άλλες τόσες καθυστέρησαν λόγω της επίθεσης, είχε ανακοινώσει η LOT, η οποία προσέφερε δωρεάν διαμονή σε ξενοδοχεία για όσους επιβάτες δεν κατάφεραν να ταξιδέψουν μέχρι το βράδυ.
Ο εκπρόσωπος της εταιρείας τόνισε ότι η επίθεση δεν επηρέασε πτήσεις που βρίσκονταν ήδη στον αέρα ή συστήματα άλλων αεροδρομίων.
«Χρησιμοποιούμε υπολογιστικά συστήματα νέας τεχνολογίας, οπότε θα μπορούσε δυνητικά να αποτελεί απειλή και για άλλους στην αεροπορική βιομηχανία» ήταν η τότε δήλωση του». Το μάθημα από εκείνη την Κυβερνοεπίθεση ήταν ότι καμία αεροπορική εταιρεία δεν είναι ασφαλής από κυβερνοεπιθέσεις σαν αυτή που καθήλωσε δεκάδες αεροπλάνα και εκατοντάδες επιβάτες στο αεροδρόμιο «Σοπέν» της Βαρσοβίας, όπως είχαν προειδοποιήσει οι Πολωνικές Αερογραμμές LOT. Το περιστατικό, σχολίασε τότε, το πρακτορείο Reuters, εγείροντας ερωτήματα για το εάν τα συστήματα των αεροπορικών εταιρειών και αεροδρομίων προστατεύονται επαρκώς από επιθέσεις που θα μπορούσαν ακόμα και να ρίξουν αεροπλάνα.
«Το πρόβλημα αφορά την αεροπορική βιομηχανία σε μεγάλη κλίμακα, και σίγουρα πρέπει να του δώσουμε μεγαλύτερη προσοχή» είχε τονίσει τότε σε συνέντευξη Τύπου ο διευθύνων σύμβουλος της LOT Σεμπαστιάν Μίκοζ.
«Πιστεύω ότι μπορεί να συμβεί σε οποιονδήποτε οποιαδήποτε στιγμή, είπε.
Εκπρόσωπος της εταιρείας είχε δηλώσει νωρίτερα ότι παρόμοια συστήματα χρησιμοποιούνται και από άλλες αεροπορικές εταιρείες.
Η επίθεση στη LOT, φαίνεται ότι ακολούθησε την τακτική DoS (Denial of Service ή άρνηση παροχής υπηρεσιών), κατά την οποία οι επιτιθέμενοι κατακλύζουν το στόχο με αιτήματα σύνδεσης μέχρι να τον θέσουν εκτός λειτουργίας λόγω υπερφόρτωσης.
Οι περισσότερες επιθέσεις DoS βάζουν στο στόχαστρο δημόσιους δικτυακούς τόπους, ωστόσο η LOT δεν έχει δικό της δικτυακό τόπο.
Εκπρόσωπος της LOT είχε επισημάνει το εξής, για ολόκληρη την αεροπορική βιομηχανία: «Το βασικό για μια αεροπορική εταιρεία είναι η ικανότητα εφαρμογής έκτακτων μέτρων σε τέτοιες καταστάσεις. Πιστεύω ότι περάσαμε το τεστ», ήταν η δήλωση που έκανε, περιοριστικά.
Τον Σεπτέμβριο του 2018, η British Airways δήλωσε ότι δεχόταν διαρκή κυβερνοεπίθεση δύο εβδομάδων.
Πιο συγκεκριμένα, χάκερς, έκλεβαν τα στοιχεία πιστωτικών καρτών επιβατών από περισσότερες από 400.000 συναλλαγές που είχαν γίνει μέσω της ιστοσελίδας της BA και μέσω της εφαρμογής για κινητά τηλέφωνα μεταξύ 10:58 μ.μ στις 21 Αυγούστου 2018 και 09:45 στις 5 Σεπτεμβρίου 2018.
Οι χάκερς απέκτησαν πρόσβαση στο όνομα των κατόχων τους, τη διεύθυνση διαμονής, την ηλεκτρονική τους διεύθυνση, τον αριθμό πιστωτικής κάρτας, την ημερομηνία λήξης και τους κωδικούς ασφαλείας.
Τον Οκτώβριο του 2020, η British Airways έλαβε πρόστιμο 20 εκατ. στερλινών, τη μεγαλύτερη μέχρι σήμερα τέτοια ποινή, από τη βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων, για την αδυναμία της να προστατεύσει προσωπικά και οικονομικά στοιχεία των πελατών της, κατά τη διάρκεια της κυβερνοεπίθεσης του 2018.
«Η αποτυχία της να λάβει μέτρα ήταν απαράδεκτη και επηρέασε εκατοντάδες χιλιάδες πολιτών», κάτι που πιθανόν να προκάλεσε κάποια αναστάτωση και άγχος, σημείωσε η Αρχή.
Ο κίνδυνος ασφάλειας στον κυβερνοχώρο είναι μια σχετικά νέα πρόκληση για την αεροπορική βιομηχανία.
Οι αεροπορικές μεταφορές βασίζονταν πάντοτε σε μεγάλο βαθμό σε διάφορα συστήματα ασφάλειας και αποτελεσματικότητας στις επιχειρήσεις τους.
Η αεροπορική βιομηχανία σημειώνει ένα μεγάλο άλμα προς τα εμπρός όσον αφορά την ψηφιοποίηση. Αυτή η επανάσταση θα αποφέρει μεγάλα οφέλη βοηθώντας στην αντιμετώπιση ορισμένων από τις κύριες προκλήσεις που αντιμετωπίζει σήμερα η βιομηχανία (αποτελεσματικός σχεδιασμός πτήσεων, μειωμένες εκπομπές / κατανάλωση καυσίμου, καθυστερήσεις, εκπαίδευση ή ασφάλεια).
Όπως αναφέρθηκε πρόσφατα στην έκθεση αναφοράς για την ασφάλεια στον κυβερνοχώρο αεροπορικών μεταφορών που κυκλοφόρησε το Atlantic Council και έχει αναλάβει η Thales, η αεροπορική βιομηχανία έχει αποκομίσει τα οφέλη της ψηφιοποίησης τα τελευταία δέκα χρόνια, αλλά αυτό έχει επίσης προκαλέσει νέους κινδύνους, συμπεριλαμβανομένων των κοινωνικών και τεχνικών αδυναμιών που δεν έχουν προηγουμένως αντιμετωπιστεί.
Έτσι, οι πιθανοί κίνδυνοι είναι σημαντικοί. Η μόνιμη συνδεσιμότητα έχει δημιουργήσει μια μεγαλύτερη επιφάνεια απειλής και τα αεροσκάφη σήμερα είναι κόμβοι επικοινωνίας και δεδομένων, που αναμένεται να δημιουργήσουν 98 εκατομμύρια terabyte δεδομένων έως το 2026, σύμφωνα με την ίδια έκθεση αναφοράς. Η πρόκληση είναι να εξασφαλιστεί η μεταφορά δεδομένων μεταξύ εδάφους και αεροσκαφών, τόσο στο πιλοτήριο όσο και στην καμπίνα, καθώς και μεταξύ των ενσωματωμένων αισθητήρων και συστημάτων.
Στο αεροπορικό οικοσύστημα, όπου οι διάφοροι παίκτες είναι όλοι αλληλεξαρτώμενοι και όλο και περισσότερο διασυνδεδεμένοι, η κυβερνοασφάλεια περιλαμβάνει όχι μόνο την προστασία των πληροφοριών με τη μορφή ψηφιακών δεδομένων, αλλά και τα σχετικά δίκτυα, ιστότοπους, υπηρεσίες, υπολογιστές και πύλες που μεταφέρουν και επιτρέπουν πρόσβαση στα δεδομένα.
Συμπεράσματα από την EASA
Κατά τη διάρκεια του εργαστηρίου OPTICS2 στον τομέα της κυβερνοασφάλειας που πραγματοποιήθηκε στην EASA, ένα από τα κύρια συμπεράσματα στα οποία κατέληξαν διάφοροι εμπειρογνώμονες ήταν ότι η ασφάλεια στον κυβερνοχώρο στην αεροπορία συνήθως δεν είναι σχεδιασμένη αλλά μάλλον συμπεριλαμβάνεται ως μεταγενέστερη σκέψη. Αυτό θα μπορούσε να οφείλεται στην πολυπλοκότητα των διαδικασιών πιστοποίησης ή του πολύπλοκου χαρακτήρα των ρυθμιστικών φορέων που καθιστούν δύσκολη την έγκριση νέων κανονισμών για την αντιμετώπιση νέων αναδυόμενων απειλών.
Γενικότερα, η αεροπορική βιομηχανία ανταποκρίνεται στην πρόκληση. Όλο και περισσότεροι ενδιαφερόμενοι (κατασκευαστές, αεροπορικές εταιρείες, αεροδρόμια, κ.λπ.) γνωρίζουν τη σημασία της ασφάλειας στον κυβερνοχώρο και δημιουργούνται συγκεκριμένα τμήματα και υπηρεσίες για την αντιμετώπιση των μελλοντικών απειλών. Σε αυτό το σημείο άξιο αναφοράς είναι και η χρησιμοποίηση εργαλείων από τον επιστημονικό χώρο της Επιχειρησιακής Έρευνας και της Πολυκριτήριας Ανάλυσης Αποφάσεων (βλ. Κ. Ζοπουνίδης & Μ. Δούμπος, η Επιχειρησιακή Έρευνα ως εργαλείο υποστήριξης αποφάσεων σε επιχειρήσεις & οργανισμούς, Ναυτεμπορική, Δευτέρα 15 Μαρτίου 2021, Κ. Ζοπουνίδης, Προβληματικές & διαδικασία υποστήριξης αποφάσεων, Ναυτεμπορική,Τρίτη 30 Μαρτίου 2021).
Ο ICAO έχει προτρέψει ήδη τα κράτη μέλη να εφαρμόσουν τη στρατηγική ICAO Cybersecurity. Τον Απρίλιο του 2019, η IATA πραγματοποίησε το Aviation Cyber Security Roundtable (ACSR) στη Σιγκαπούρη. Στόχος της IATA ήταν να κατανοήσει καλύτερα και να διαχειριστεί τους κινδύνους της ασφάλειας στον κυβερνοχώρο στην πολιτική αεροπορία μέσω της ανταλλαγής γνώσεων και εμπειριών. Η EASA και η FAA διαδραματίζουν επίσης ενεργό ρόλο στην προώθηση εκδηλώσεων ανταλλαγής πληροφοριών και ευαισθητοποίησης, καθώς επίσης προσπαθούν να προσαρμόσουν τους ισχύοντες κανονισμούς στις μελλοντικές προκλήσεις. Μέχρι το τέλος του 2019, τα ηλεκτρονικά δίκτυα και συστήματα των αεροσκαφών καθώς και η πιστοποίηση συστημάτων αναμένεται να συμμορφωθούν με τα πρόσφατα ενημερωμένα πρωτόκολλα. Αυτές οι νέες ενημερώσεις επιδιώκουν να παρέχουν μια πιο λεπτομερή και ολοκληρωμένη προσέγγιση στη διαχείριση των κινδύνων στον κυβερνοασφάλεια.