Security in de luchtvaartwereld overstijgt snel het niveau van anti-virus of anti-malware, en is heel wat complexer. Zeker als ook nog onderscheid tussen ‘safety’ en ‘security’ wordt gemaakt.

In de luchtvaartwereld maak je je niet alleen zorgen over de beveiliging van je ict-systemen. Je kan maar beter ook de systemen voor de luchtverkeersleiding, de afhandeling en de onderhoudspraktijken op de grond, evenals de goede werking van boordsystemen tegen aanvallen beschermen. Hou daarbij ook rekening met de grote aantallen en extreme variëteit aan systemen, evenals de vele betrokkenen, en de potentieel levensgevaarlijke gevolgen bij problemen. Kortom, er was werk genoeg aan de winkel tijdens de 37ste vergadering van de Neascog (Nato/Eurocontrol Air Traffic Management security coordinating group) bij Eurocontrol, in Evere.

ALS EEN BEDRIJF

Ongeacht de omvang van de uitdaging, klinkt ook hier de basisaanpak van het probleem niet echt verschillend van hoe een doorsnee bedrijf security aanpakt. Een solide ondersteuning van security door het hoogste management van ondernemingen en organisaties is een ‘must’, zo luidt het, evenals het werken aan een grotere bewustwording bij alle stakeholders (opleidingen), een verdediging in de diepte, een ‘life cycle’ aanpak (vliegtuigfamilies kunnen een levensduur tot 50 jaar of langer hebben !) en het naleven van security ‘policies’ en -wetten.

Bijkomende, meer specifieke suggesties worden eveneens geformuleerd, zoals in 2013 door IFALPA, de internationale associatie van lijnpilootverenigingen, in een document met ietwat verontrustende titel ‘Cyber-threats, who controls your aircraft’. De recente claim van een onderzoeker dat hij boordsystemen van een toestel tijdens de vlucht kon overnemen doorheen het ‘in flight entertainment’ systeem voor de passagiers, wordt dan ook echt wel onderzocht. Ook wordt aandacht besteed aan het veilig en betrouwbaar uitwisselen van informatie tussen systemen (o.a. burgerlijk en militair), om security (en operationele) problemen op te vangen. Maar een recent rapport van het Amerikaanse ‘Rekenhof’, het Government Accountability Office’, wijst er op dat de Amerikaanse luchtvaartautoriteit FAA meer aandacht moet besteden aan cybersecurity in zijn volgende generatie van luchtverkeersleidingsystemen.

Uit een ‘threat’-onderzoek van ICAO, de internationale burgerluchtvaartorganisatie, blijkt in ieder geval dat wereldwijd het acute gevaar van cybersecurity nog relatief laag wordt ingeschat in een lijst van 12 ‘threats’ (in tegenstelling tot de hoger ingeschatte dreiging van explosieven). Daarbij werd wel benadrukt dat deze risicoanalyse continu wordt bijgewerkt, en dat bepaalde ‘threats’ regionaal hoger kunnen scoren.

SAFETY VS SECURITY

De luchtvaartwereld is traditioneel toch meer gericht op ‘safety’ (veiligheid), met solide procedures om na een ongeval (‘accidental’ incident) toekomstige voorvallen te voorkomen. ‘Security’ heeft daarentegen vaker te maken met ‘intentional’ incidenten, waarbij meer de nadruk op voorkomen wordt gelegd. Dit verschil werd aangekaart door Martin McKeay, ‘senior security advocate’ bij Akamai. Zo wees hij op een ‘buffer overflow’ probleem dat zich na 248 dagen in een vliegtuigmotorsysteem kon voordoen, en een recente crash van een militair transportvliegtuig omdat een foute versie van software was geïnstalleerd. “Security is nog te vaak iets voor achteraf,” aldus McKeay, “Aangezien het zeker is dat er fouten in de code zitten, waarom wordt er niet gewerkt aan ‘safeguards’ zodat de software op een veilige wijze ‘faalt’ ? (‘fails gracefully’)” De trend naar ‘devops’, waarbij ontwikkelaars en productie-ict’ers uiterst nauw samenwerken in een continu ‘release’ proces, samen met security experten, kan helpen om van bij de aanvang voor te zorgen voor ‘security by design’, meent McKeay.

WAT SNELLER

Hoe complex cybersecurity in de luchtvaart ook is, toch kan je je niet van de indruk ontdoen dat het ook sneller kan. De luchtvaartwereld lijkt immers toch wel wat erg graag heel uitgebreid over alles te vergaderen op alle mogelijke niveaus. Het onderwerp lijkt voorts voor heel wat ‘stakeholders’ nog erg nieuw te zijn, en er werd aangespoord niet het wiel opnieuw uit te vinden. De laatste presentatie, over de Aviation-ISAC (info sharing & analysis center) in de VS naar het model van de ISACs in de financiële wereld (en nu ook met navolging in Europa), toonde hoe het ook wat sneller in de praktijk kan gaan.

Guy Kindermans