航空业面临着需要权衡成本与不断变化的业务需求、客户需求和安全标准这一复杂而严峻的挑战。在自动化进程中,新技术的采用越来越多,这提高了效率并增强了客户体验,也在无意中制造了漏洞。航空业作为商业、贸易和交通基础设施的重要组成部分,是全球经济不可或缺的一部分。事故的发生将可能直接影响公共和国家安全。皮特·库珀的《航空网络安全——提升与减负》表明,与其他接受了“数字革命”的行业一样,航空业很可能也会遇到网络安全挑战。随着行业的发展,它能否通过准确地感知风险和机会,理解攻击威胁来维持利益相关者的信任?
航空业现状
从整体上看,航空业从9 / 11 恐怖袭击中恢复以来就一直处于强劲增长的时期。市场的强劲增长也伴随着旅客服务的多样性和复杂性的增加,以及技术使用的增加。
航空业本身就需要在非常危险的环境下运行;从统计上来说,它是最安全的交通方式之一,这对所有业内人士来说都是一种荣誉。但是航空业正在走向完全数字化,将联网技术接入关键服务。在这一转变过程中,它有义务去至少维持或尽可能改善这一来之不易的安全记录。在商业竞争的环境中,平衡新的风险和潜在的机会是很有挑战性的。它将需要行业、政策制定者和其他利益相关者的合作,在已知有效实践的基础上做出必要的创新。了解航空业的价值观和动机可能会帮助我们发现提高网络安全的驱动因素。
价值和动机
过去十年,尽管有9/11 和金融危机,航空业仍然增长了60%,过去三年,全球航空业净利润达到了史上最高,2017 年预期利润为300 亿美元。尽管该行业利润可观,但对错误的容忍度却很低,一旦事件发生,对财务或投资者信心的影响都是巨大的。由于不间断电源的误操作,英国航空公司(British Airways)IT 系统发生故障,导致726 次航班取消,七万五千名旅客滞留,经济损失约8000 万英镑 。
2017 年8 月16 日, 达美航空公司(Delta Airlines)运行中心停电,造成5 小时运行中断,约2000 次航班取消,经济损失达1.5 亿美元。尽管这些都是偶然的中断,不是恶意活动造成的,但它们却证明了即使是小失误也会被迅速放大,影响运行稳定,造成相当大的损失。攻击者越是发现到单一系统失败的影响会在行业中扩大,他们的动机就越强,并会开始探索“可能性”。由于这一风险,航空业应提高网络安全,在整个系统之间进行合作。
增加航空业提升网络安全的动机,使其更加明确、简单,这是降低未来风险的关键。航空和网络安全部门的一些个体已经在制定网络安全方法和提升网络安全能力方面取得了良好的进展,但这并没有扩大到整个行业。
鼓励和激励整个航空业看到提升网络安全的价值是很有挑战性的,也是非常重要的。法规合规可能会有所帮助,但正如在其他行业中发生的那样,即使是监管最严格的行业也会有违规,而以合规为中心(而不是以攻击者为中心)也有其局限性。在各保险政策中纳入网络安全要求可能也会有所帮助,但这并不是唯一的潜在激励因素。
到目前为止,金融投资者在这个问题上并未多言,这一利益相关者群体可能会给航空业带来相当大的动机。随着国际民用航空组织(ICAO)和其他机构越来越重视网络安全的改善,投资者可能也会更加关注所投资行业的网络安全。这不仅要理解航空网络安全风险,还需要理解逐渐增长的旨在管理网络安全风险的监管和政策努力。
研究表明,尽管越来越多的企业意识到了提高网络安全的必要性,但企业可能不愿推出、购买或升级网络安全能力。犹豫不决的原因在于,尽管标准在制定中,但国家和国际机构尚未颁布航空网络安全法规和互操作性标准。与其现在就选择一种可能很快就会变得不兼容,或者不能与颁布的“行业标准”互操作的方法或技术,不如先等待。
但这样的等待游戏不仅阻碍了航空业的发展,还阻碍了可以支持航空业的,强大且多样化的网络安全产业的诞生。为了向前推进,国际和国家机构必须颁布明确的互操作性标准政策指南。
航空网络安全政策
在航空生态系统的许多领域,创新、技术进步和攻击者能力的增长速度可能会超过政策和监管的发展。国家和国际政策的凝聚和迅速成熟将是其领先于技术和风险的关键。
在航空业中有大量的全球和国家机构,许多机构正在开始认识到网络安全挑战。由于航空是一个全球性的产业,ICAO 在联合国的支持下,有责任制定国际航空标准,并作为各国进行各个方面的贸易讨论的渠道。这种领导对话和标准化,为对话建立结构框架的作用,对于促进全球行业发展,保障行业安全至关重要。这一模式多年来运转良好,但由于这一如此庞大的国际机构的性质,谈判和协定发展可能会很慢。
但这种转变正在发生。2016 年,ICAO 第39 届会议通过了一项有关民用航空网络安全问题的决议。这凸显了迅速变化的恶意威胁行为者所构成的危险,以及通过行业合作应对威胁的迫切需要。民航组织呼吁各成员国在制定ICAO 网络安全框架方面进行合作,希望能够为应对挑战制定结构。2017 年在迪拜举行的ICAO网络安全会议发表了宣言,强化了该决议,宣言呼吁各国减轻网络风险,并制定立法框架,对“网络攻击者”采取行动。宣言加入了额外的威慑因素,即宣布“对民用航空的网络攻击必须被列为犯罪”。这就不仅仅将重点放在了网络安全上,而是建立国际行为准则,这是一项可喜的进展,为国家和国际间对话增加了深度。
全球有很多旨在改善国内航空网络安全政策的国家倡议,在美国,参议员爱德华·马尔科(Edward Markey)提出了《2016 提升飞机网络安全和韧性标准》(Cybersecurity Standards for Aircraft to Improve Resilience Act of 2016)。这一法案创造了反馈渠道,增加了信息透明度,这有利于对“飞机系统、飞机维护和地面支持系统”的相关标准和规定进行更新,法案还包括了确定飞机“电子入口(electronic entry points)”的规定,这样就可能对入口施行保护措施,如将关键系统与非关键系统隔离。关注飞机是理解挑战关键要素的良好开端;如果这项工作顺利进行,它将与更广泛的行业努力良好切合。
美国和欧洲都强调了要将航空作为关键国家基础设施。例如,欧洲的网络和信息系统(NIS)指令就覆盖了航空业。在美国,航空已经越来越融入《2017 美国国土安全部(DHS)授权法案》(Authorization Act)中。法案承认理解危险的价值,要求将网络组件纳入今后的威胁评估中,并进行年度威胁评估,重点关注航空运输系统风险。第561 节中有一小段特别介绍了航空网络安全问题。法案最初提出了国土安全部部长应在“法案颁布后120 天内,制定并实施航空安全网络安全风险评估模型,模型需符合国家标准和技术研究所的《改进关键基础设施网络安全框架》(Framework for Improvement Critical Infrastructure Cybersecurity)。”如果该法案通过,由于国际航空网络安全的现状及其与公共和私人利益相关者之间的交集,在120 天内制定并实施这样一个风险评估模型将是一个挑战。
作为航空行业的合作伙伴,网络安全行业必须首先支持现有的有效措施,增加其效力,而不是削弱它。例如,该法案的大部分内容都在强调网络安全信息共享的重要性,但并未考虑如何将这一做法融入现有的航空安全信息共享系统中。同时实行航空安全和网络安全系统有可能可行,但也有可能极大增加管理负担和治理的复杂性。
《2017 国土安全部授权法案》还认为,“《芝加哥公约》规定的机场最低安全标准…在目前的威胁环境下并不足够,我们已经多次看到恐怖组织策划针对航空业的袭击…”并指导美国驻ICAO 代表“追求改善机场安全”。本报告将探讨的是,航空业不仅面临物理安全威胁,而且还面临涉及安全和非安全关键操作各个方面的网络安全威胁。因此,随着国际民航组织中的美国代表开始“在ICAO 中发挥领导作用…提高这些标准,”ICAO 很可能会考虑到日益增长的网络威胁。
在国家和国际舞台上,现代航空业的保护受到了越来越多的关注。各种倡议很有可能将会趋同并发展,使该行业能够更容易的取得进展。然而,如果不彻底了解这一行业的现状、利益相关者以及挑战,这一进展将是缓慢的。越理解这些组件并对其进行管理,就越有能力实现准确和效率。
航空业互联所带来的挑战
航空业的全球互联使得某一地域的失败得以迅速蔓延到整个系统,适用于孤立(甚至是企业IT)环境的响应方法是不足以应对的。这一风险是全球性、系统性的,需有着相应的连锁事故模式。
对于一个长久以来都在展示安全和保障的行业来说,互联系统和抵御方法的复杂性就构成了挑战。在网络安全事件或漏洞暴露时,航空业必须迅速向公众展示保障,重建信任。由于许多网络安全措施都是技术性的,因此很难向非技术受众展示有效性;在事件发生后宣布改善可能不够。重建信任的脆弱和重建的困难意味着,航空业不仅要寻求建立系统韧性,还必须与主要利益相关者建立信任韧性。
了解威胁,知晓风险
历史表明,网络攻击者及其能力的进步和适应速度惊人地快。这在航空业中尤其具有挑战性,因为许多行业核心系统都有很长的开发周期,政策和设计标准很早就被确定下来,更新也需要相当长的时间。为了使航空业准确地评估和预测风险,必须了解当前的威胁及其潜在的影响。
在评估风险时,包括航空业在内的许多行业会将威胁者依照成熟度分为:高级持续性威胁(APT)、有组织的犯罪团伙、黑客主义者等。然而,因为自身作为目标的性质,许多企业在风险评估中并不将APT 认定为威胁。但正如许多高关注度的泄密事件所显示的那样,在早期声称事件中有APT 攻击者的参与,比起想宣布事实,其实是更希望得到公众的原谅,因为APT 不可能被“预见”或反击。
有一种观点认为,过度依赖风险评估中的威胁者分类会有损准确性。毕竟,最近的事件逐渐表明,威胁者的技术能力、规模或性质不再是构成其主要评估因素。资源充足的威胁者会使用不成熟的工具来节省金钱、误导归因,拥有关键技能但并没有很多资源的个人也可以开发复杂的工具。
一些人认为,航空业的威胁模型往往低估了攻击者的能力或攻击者能力的成熟度。正确制定威胁模型是理解真实风险水平的必要条件。对于那些可能造成生命损失的关键系统,应该有相应的网络安全要求。例如,飞行关键系统发生灾难性故障的风险评级必须为极其不可能(1x10-9),并用测试和分析进行验证。如果网络威胁模型被低估,它可能会给人一种错误的印象,即系统风险已经达到了可接受的水平。尽管如此,航空和网络安全行业都经历过内部恶意人士的威胁。航空业已经在减轻内部威胁上投入了很多,主要是围绕物理安全。在网络安全方面,发现和阻止内部人士滥用信任的许多高级流程都是一样的。员工筛选、分层安全措施以及寻找异常行为等方法将是这两个行业寻找威胁时的共同基础方法。
扩大的攻击面
航空业长期以来一直是恶意攻击者的目标。随着航空业的联网服务和系统越来越多,攻击者可以干扰的潜在系统攻击面明显增多,也越来越复杂。
不断增长的技术和互联性给恶意攻击者带来了攻击航空业的新机会。在地面上,攻击行为从扰乱机场运作的初级行动,到国家支持的攻击,如将机场展示屏和广播用作宣传工具。在空中,多个研究人员声称对ATM(空中交通管理)系统和飞机的攻击是可能的。“突尼斯黑客队(The Tunisian Hackers Team)”这样的恐怖组织已经威胁要对航空部门发动网络攻击:“…下一次,你们的空域会受到攻击。我们将试图控制机场的计算机以及电子行业,你们知道我们能做到这一点。”
随着攻击面的快速扩展并包含多方利益相关者,漏洞将在所有的系统中存在——只是发现时间和被谁发现的问题。攻击者总是在寻求“可能性”和从中获得的好处。到目前为止,对航空业的攻击影响很小,这可能会导致一种错误的安全感。但是,正如其他行业证明的那样,这种感觉很少会持续。
对威胁的看法
如何看待网络威胁对理解风险和管理风险至关重要。通过为这份报告进行的研究,很明显,看法不一可能是航空业面临的最大挑战之一。有些人表示,很多对航空业漏洞的担心都被忽视了,因为在过去是不可能有类似漏洞的。虽然航空业中有很多对网络安全挑战复杂性的看法和理解,统一行业中的每个人看法和理解水平是有必要的。这是防止潜在风险被忽视,促进多方合作对话的关键。
航空业已经承认了风险的存在并对故障风险进行了管理:大多数航空系统,在构建时会允许可预见的、不会威胁安全的故障。随着行业攻击面增加,航空业成为网络攻击者的诱人目标,这就可能产生相当大的不可预测性。处理这种不可预测性需要不同利益相关者的共同努力。缩小各种看法之间的差距将使这些挑战更清晰,让行业更好的看到风险和机遇。
飞机互联
技术从根本上改变了飞机的设计、生产、运行和维护,安全与保障模型也必须随之改变,以保持一致,并向公众展示其效力。
由于空气动力学的规律没有改变,飞机设计的演变一直都是稳定可见的。然而,在飞机技术方面,说有时代差异都过于轻描淡写了。飞机旅行的概念在不断被重新定义。随着航空业不断回应客户需求,整个飞行服务的无缝连接是必不可少的。这种转变不仅限于乘客服务。为了追求效率,联网技术越来越多地改变着飞机的服务和操作方式。飞机不仅与航空公司或空中交通服务相连,而且还与更广泛的互联网相连,由卫星和地面站提供协助。用隔离来维护飞机“安全”的日子已经过去了。现在有明确的要求来确保联网飞机的安全。正如我们已经讨论过的,说一架飞机安全可靠是不够的;为了维护利益相关者和乘客的信任,必须用证据来证明这一点。
在航空业发展的早期,展示安全性和可靠性是很简单的。一架飞机的设计、测试和建造全部都在一个地点。现在,全球各层级的供应商聚集在一起生产一架飞机。飞机的结构和部件曾经是用木头和铝手工制成的,现在,复合材料和三维(3D)打印越来越成为标准。电传操纵(fly-by-wire)的字面意思是连接飞行员的手和控制版的钢琴线,电脑则会根据数千个参数和机组人员的输入做出决定。在计算机故障时,会有备用计算机代替其运行,“安全故障”的发生不会影响飞机的着陆。
飞机现在已经被数字化并包含了数百万行代码;编写、验证和保护越来越成为一项困难且复杂的任务。这项任务的挑战不仅仅在于代码生产的速度,还在于要在飞机的整个生命周期中维护并保障其安全。许多行业都认识到了快速识别和修补软件漏洞的关键性,但据一位受访者说,目前修改飞机上安全关键软件的一条代码大概需要一年的时间,成本约为100 万美元。快速部署安全更新的需求虽然关键,但是当前漏洞发现和修复之间的时间间隔是一个大问题。监管机构应准备好停飞该型号的飞机直到关键漏洞解决,同时要做到飞机设计、制造和更新安全。
制造
全球供应链的多样性、复杂性和响应性,与解决设计和制造过程的网络安全风险所需的敏捷性是不一致的。
空客和波音已经积压了超过13000 架飞机的订单,按照目前的生产率计算,相当于快10 年的时间,制造商自然要加快飞机制造的速度。它们正寻求通过全球转包和外包生产来扩大其供应基础,降低成本并加快飞机交付速度,确保地区财政激励。这有时意味着每架飞机都会有位于不同地区的一群供应商,但它们遵循的交付标准是相同的。供应链扩展的风险在于,“制造商永远会被最差的供应商所限制”——这一观点既适用于零件交付,也适用于网络安全。供应链上的知识产权和专有数据量相当可观。此外,根据供应链的性质,一些数据可能会受到《美国国际武器流动条例》(US International Traffic in Arms Regulations)的限制。对风险所有者来说,对这些数据进行适当的保护是一个相当大的挑战,它必须与所有的供应商一起平衡信任、保障和风险。
附加风险,也可以说是更危险的风险是,因为事件或设计,交付的零件或系统中可能出现漏洞。面对这样的风险,唯一有效的措施可能只有系统韧性和监督。
飞机系统
在非常短的时间内,飞机系统的连通性从近乎于无到现在的无处不在。虽然这种连通性有利于节省燃料、飞机健康监测(AHM)和乘客体验,但它也可能增加机载系统的风险敞口。公司IT 安全流程可能无法满足航空安全所需的可靠性和响应时间。
这种系统设计的改变不仅是由操作技术的演进所驱动的,人们计划将驾驶舱转换为一个数据丰富的环境,为飞行人员提供以前无法获取的信息。乘客们现在可以在机舱内享受与家庭或办公环境近乎相同的连通性。
现代联网飞机产出的数据量迅速增长。据估计,到2026 年,全球飞机数据可能增长到9800 万兆兆字节。这些数据中有很多攻击者活动或意图的证据。能够看到这些数据,保护它,并迅速分析它,以寻找攻击的微弱迹象将是至关重要的。监管机构正试图为飞机系统及其产生的数据制定长期、实际、有效的标准。
图1 飞机通讯示意图
网络设计
现在,飞机设计师们不仅要设计出最符合空气动力的外观、最高效的引擎和最佳的乘客体验,还需要将强大的计算能力整合和利用到整个平台上。这使得飞机网络从简单、低带宽、信息点到点传输,变为高带宽传输控制协议/ 互联网协议(TCP / IP)网络,数据传输比以前更加自由。与其他大多数网络一样,飞机现在也由Wi-Fi 路由器、防火墙和多核处理器组成。根据所需信任和保证的多少,这些网络被分成若干个飞机数据域:
·飞机控制域由系统和网络组成,其主要功能是支持飞机的安全运行。
·航空公司信息服务域包含非关键飞机服务系统和网络,并支持域间连通性。
·乘客信息和娱乐系统域(PIESD)提供并支持所有乘客服务,如娱乐、互联网连接等。
这些域已经成为行业标准术语,尽管看起来很简单,但却有着潜在的复杂性。当波音公司在其787 客机中使用这些域时,美国联邦航空管理局(FAA)认为这是一种“…新颖或不寻常的设计…”,且当时并没有相应的适航性规定。联邦航空局要求,在波音公司证明相应的安全保障措施之前,不允许该客机飞行。
随着网络和飞机系统变得越来越复杂,管理它们的计算需求也在不断增加。与此同时,技术过时使扩展或维护服务变得困难。这是可以理解的,因此,该行业目前正在探索使用多核处理器的潜在机会和风险;随着芯片变得越来越复杂,保护它们也越来越难[5] 。隐藏服务或后门,如斯科洛巴盖托夫和伍兹在Actel ProASIC3 芯片中发现的,这些后门很难找到,一旦安装就很难处理掉。
这种系统复杂性的挑战就发生在了波音787上。它不仅使用了Actel ProASIC3 芯片,其发电机控制组件(GCU)还存在软件过载现象,使其在供电248 天之后自动进入防故障模式 。如果4 个GCU 同时启动,它们将在248 天后停止,“不管在哪种飞行阶段”。后来,波音公司对美国联邦航空管理局的担忧进行了证明,但这足以说明航空业和监管机构很难发现复杂系统中的问题。随着行业的发展,复杂性必然会增加。克服、保障和监管将越来越难。复杂性导致的监管和潜在的系统缺陷将会被攻击者找出并加以利用。
整个航空业都需要联合起来在整个行业内寻找、修复这些缺陷。
航空业的很多努力都集中在建立安全可靠的域上。但是,要确保对复杂系统的信任,需要认识到信任会在何时被削弱,组件和系统在何时能够保护整体系统。在飞机系统上,目前很难或几乎不可能知道何时信任会被削弱,从而采取适当的行动。
乘客服务
在过去的两年里,提供空中Wi-Fi 的航空公司数量增加了38%,而乘客搭载有Wi-Fi 飞机可能性则增加了39%。这个市场正在从提供基本连接向在飞机上正常使用个人设备发展。
机内服务
电子飞行包
飞机和空域的复杂性,使飞行人员在飞行中需要获取更多的信息。飞行图、地图、飞机工程文件等等。随着技术的发展,驾驶舱无纸化开始了。现在,最先进的电子飞行包(EFB)与飞机、外部数据源和视频监控显示(比如驾驶舱门上的安全摄像头)之间有双向接口,被用来计算性能(起飞)数据,在不同的数据飞地中运行受监管和不受监管的软件。
欧洲航空安全局(European Aviation Safety Agency,EASA)要求申请应用EFB 的公司证明“有充足的安全程序在保护着系统”,并保证“在每次飞行之前,EFB 操作软件只能按照指定的方式运行” 。飞机和便携式EFB 之间的连接是符合安全标准的关键,EFB 与关键系统越接近,连接就越重要。因此,数据传输只有在系统符合以下条件时才可进行:
·对飞机没有安全影响或只有轻微的安全影响;
·与EFB 的连接经过认证;
·与飞机系统完全隔离
以上条件以及一些附加建议,如使用防火墙、病毒扫描并及时更新软件以保护EFB,都是很好的基础建议,但并不足以保护整个攻击面。随着便携式EFB 越来越普及,其硬件和软件的种类也会增加。多样性和平台复杂性将使安全性的展示和可靠性的实现变得更加困难。起飞准备的关键阶段是计算起飞所需的性能。为了节省燃料、减少发动机磨损和噪音,只有在必要时才会启用发动机的全部动力。对起飞性能的正确判断至关重要。
2004 年,MK 航空公司的一架波音747 飞机在起飞过程中坠机,该飞机使用了类似于EFB的系统。调查人员怀疑机组人员误算或误读了机器提供的数据,导致了事故。虽然在该例子中不涉及恶意攻击,但它提醒了我们保护航空业操作者和决策者所读信息的重要性。
飞机通信寻址和报告系统
飞机通信寻址和报告系统(ACARS)是一种空对地数字通信能力,虽然它主要被用于飞机与航空公司之间的通信,但随着它逐渐开始使用甚高频(VHF)数字链路,其带宽和速度都增加了,而且越来越多地被用来进行空中交通管制(ATC)通信。
作为一个未加密的、公开传输的消息传递系统,ACARS 是不安全的。虽然已经有ACARS的加密标准,但ACARS 的消息安全性会根据采用的标准而不同。其他一些ACARS 的专有加密“附加组件”也已经被开发出来,但许多都被认为是极不安全的。
因此,对许多狂热者和研究人员来说,观察和解码ACARS 已经成为一种消遣方式。通过互联网上的一些硬件和软件,他们可以在ACARS频道上进行接收和传输。从表面上看,作为一个开放的数据链接,ACARS 的主要问题是隐私保护,但随着驾驶舱的互联性增加,潜在的威胁令人担忧。
许多飞机的驾驶舱现在都有ACARS 并与飞机系统连接,主要是飞行管理系统(FMS)。FMS 管理导航路线、数据库、机场细节等,它是现代客机操作的重要组成部分。由于ACARS可以用来传输飞行计划,将ACARS 连接到FMS是很常见的。当用ACARS 传输飞行计划后,飞行员会进行审查,如果需要的话,可以直接将其上传到FMS。
因此,ACARS 和FMS 之间的连接是进入飞机系统的潜在入口。网络研究人员、商业飞行员雨果·特索(Hugo Teso)声称,ACARS 能够被用作攻击飞机系统的通道,对“飞机导航”有关的一切造成威胁。FAA 和EASA 对此进行了反驳,称实际攻击是无法实现的。
飞机健康监测——飞机支持
随着航空公司越来越要求提高效率,飞机原始设备制造商(OEM)正在努力利用联网技术提供更精确的飞机健康监测(AHM)和预见性维护。在此之前,飞机部件将会被定期检查维修,这需要花费大量时间和金钱来拆卸飞机系统,以检查磨损率,否则零件一旦发生故障就需要在短时间内进行维修。现在,随着成千上万的飞机部件的连接性越来越强,并能够向AHM 系统提供数据,大型数据集分析使维护团队在飞机飞行或在地面时都可以进行复杂的分析。
从飞机到地面作战小组的实时数据传输加速了工程和维修决策,甚至于飞机飞行期间仍可以制定计划。这减少了诊断、修复和重新飞行的时间,减少了停机时间,提高了效率。这一系统在未来将收集整个航空舰队的数据并存储进数据仓库,航空公司和飞机制造商从而可以对其加以分析,因此,类似空客公司与Palantir的合作关系就产生了,两家公司都认识到了这种合作关系的好处,这一好处将从飞机数据和延伸到乘客数据。
AHM 系统连接的例子包括引擎监测系统,它将通过全球移动通信系统(GSM)、Wi-Fi 或卫星电话传输飞机和发动机数据到网络接口。使用GSM 的装置必须将GSM sim 卡装进飞机系统中,然后才能与互联网连接以传输数据。它包括直接向EFB 传输数据的能力,这就使机组人员能够立即获得数据。它还包括使飞机自动连接机场登机口的Wi-Fi 热点,下载AHM 数据和上传飞行娱乐(IFE)内容的能力。尽管空间限制使人们不需要对个别系统、观点和潜在问题进行深入分析,但总体来看,潜在的攻击面相当可观。
飞机维修
保障飞机和其维护系统的正常运行非常重要。飞机维修正变得越来越以技术为中心,飞机数据与维护团队的手持或增强现实设备相连。管理和保护这种无纸化过程,以及飞机与地面系统之间的数据传输将成为一个更大的挑战。
尽管这些风险在本质上并不直接关乎安全,但它们绝对有助于维持飞行安全,正如2008 年的坠机所证明的那样。这次坠机的直接原因是试图在错误的配置下起飞。这架飞机在经历了三次这样的故障后应该被停飞,但系统对这种错误的警告失灵了。据称,追踪此类故障的工程计算机感染了恶意软件,未能及时发现该问题。这款恶意软件并没有直接导致飞机坠毁,但它却使一项关键的安全保障失灵,这一保障很有可能阻止飞机起飞。
在攻击者可能会寻求破坏的环境中,对安全保障的破坏必须被认为是潜在的风险。在之前讨论过的坠机案例中,尽管恶意软件是没有目标的,类似的有目标的干扰、混乱和混淆活动,就是我们需要理解和防范的关键问题。
挑战
本报告得出的重要结论之一是,随着技术的发展和机上连接的增加,各种挑战也会随之出现。不仅仅是攻击者,怀着好奇、淘气、恶意意图的乘客也将尝试通过Wi-Fi、任何射频信号或飞机上的接入点攻击飞机。
了解和保护不断扩张的攻击面
本报告认为,航空业对硬件、软件技术的快速应用和其复杂的供应链大大增加了系统攻击面和潜在的攻击方式。攻击者甚至可能把不同的漏洞连在一起,直到制造出攻击面。例如,当攻击者从美国国防承包商窃取了飞机设计后,再从另一家公司窃取双重验证数据,攻击面则得以形成。
与飞机相连的庞大航空系统就是很大一部分的攻击面,它可以作为接入飞机的单一入口。飞机和航空公司之间的系统越无缝,该系统就越需要被重视。积极寻找潜在的攻击面,并探索攻击可能是航空业的关键任务。只有同时考虑到防御和攻击者才能得出长期解决方案,而不是轻视或试图掩盖潜在的攻击面。
隐藏式安全
由于获取知识较难,航空业攻击者会经历一个相对陡峭的学习曲线。然而,随着互操作性、企业IT 实践和技术的增加以及网络的融合,“隐藏式安全(security through obscurity)”可能很快就会失效。
本报告的被采访者认为,飞机系统的连通性和及其保护方式往往是机密信息。我们可以认为,安全系统的设计确实有一定程度的隐藏,可以为攻击者制造障碍,延迟干扰,但它只能被认为是多层系统中的(很薄的)一层。此外,隐藏在系统保护中的作用越大,当这种隐藏被破坏时,其影响就越大。一旦它们的系统或网络设计公开,基础架构则必须有足够的韧性,以继续保护系统。
安全方法越公开,各方就越能对其韧性进行评估和建议。这中间有一个平衡,隐藏手段会使航空业无法迅速改进飞机系统的安全性,它可能会减缓更广泛、有价值的合作。
独立评估和漏洞管理
长期以来,航空业一直都很重视独立评估的价值和保障安全关键系统。不独立或不严谨曾经导致了一些重大的航空事故。独立保障和网络安全评估对于联网飞机来说同等重要。一些制造商和供应商现在已经开始采用某种形式的独立漏洞评估计划,在漏洞公开之前发现并修复漏洞。我们希望随着行业的发展,这些项目的规模、雄心和成熟度都会增加。独立的网络安全研究人员与航空业之间的关系一直很差。建立信任和关系虽然需要时间,但它对提高航空业安全与保障有百利而无一害,必须优先考虑。
未来的网络
基于对ACARS 和其他航空业专有的此类支持系统的担心,航空业发起了一个使系统现代化的项目。其目标是根据现有的网络技术(例如,TCP、用户数据报协议、互联网协议第6 版[IPv6])开发航空互联网协议套件(IP 条件)。希望通过增加标准化,使行业更多地使用商业现成组件。
随着IP 套件的开发加速,从当前出现的数据链漏洞中可以借鉴很多东西。随着飞机数据的增加,如何安全地获取飞机上的数据将是一个挑战。可以想见,要安全可靠的区分各个域的不同数据集,那么每个域都应有各自的承载网络和硬件。此外,承载网络的选择应根据飞行阶段、相对成本和可用速度而不同,保障承载网络的安全则更加困难。
如何平衡威胁、设计与保障
制造商设计必须符合相关保障和安全标准,但飞机的设计、生产和运行时间很长,如何恰当地平衡长期风险是一个挑战。许多国家和组织正在研究这个问题。在美国,美国联邦航空局于2015 年设立了飞机系统信息安全/ 保护(ASISP)工作组,旨在提供关于“ASISP 相关的规则制定、政策和指导,包括初始认证和持续适航性评估”的意见和建议。
组件和软件复杂性增加使诸如《2017 增进物联网(IoT)安全法案》(Internet of Things(IoT)Security Improvement Act of 2017)等立法成为关键。通过强制安全补丁、消除固定编码密码和已知的漏洞,由供应商来负责更好地保护客户。有些人可能认为这样的立法过于繁重,但当大部分航空安全都处于组件层面时,这可能是为数不多的快速纠正供应商错误、整体移除该类漏洞的方法之一。
空中交通管理
提高能力和效力
ICAO 于2005 年制定并发布了《全球空中交通管理概念》(Global ATM Operational Concept),它是现行很多倡议的基础,在美国,FAA 就在《概念》的基础上制定了《下一代航空运输系统》(Next Generation Air Transportation System,NextGen)。
挑战
下面几节将重点介绍几个潜在的挑战和担心。虽然对下列某一因素的攻击令人担忧,随着航空业面临的威胁逐渐增多,攻击者能力的增长,我们更担心潜在攻击者通过攻击多个因素,引起多重关键安全故障。
太空元素
基于太空的能力是在全世界范围内推行ATM 更新的关键。NextGen ATM 和与其类似的系统都依赖于全球导航卫星系统(GNSS)来进行定位导航和定时(PNT)。GNSS 覆盖广泛且可靠,用户通常不需担心这一服务会不可用或不好用。然而,作为低功耗信号,它很容易受到来自地面的干扰和欺骗。此外,用于乘客和飞机服务的飞机卫星通信的增加,使需要保护的数据链接随之增多。
广播式自动相关监视
广播式自动相关监视( Automatic Dependent Surveillance – Broadcast, ADS-B)改变了空中管制员管理飞机的架构。之前,飞机的位置要通过程序或雷达获得。通过ADS-B,飞机会广播自己的GPS 位置和其他数据。有些人认为,ADS-B 有潜在安全问题。ICAO 对ADS-B 漏洞进行了评估,评估结果只公开给成员国,似乎ICAO 对一些ADS-B 的安全问题研究不屑一顾。
图2 ADS-B 运行示意图
作为一个没有加密、认证或完整性检查的开放系统,研究人员主要担心的是ADS-B 信号可能被攻击者窃听、屏蔽或传输。要防止对于ADS-B 的攻击,可以通过保护链接、验证位置、或改进传统雷达来实现,但3 种方法都各有其利弊和挑战。
ADS-B 硬件日益与其他飞机系统融合和连接,使其成为攻击者的潜在进入点。空中防撞系统(TCAS)会主动防止飞机相撞,任何旨在进一步将ADS-B 与TCAS 整合的努力都需要审慎考虑。攻击者可能会通过发送假ADS-B 信号,使防撞系统做出躲避动作,研究者已经警告了这一点。
管制员和驾驶员数据链通信
与ADS-B 一样,管制员和驾驶员数据链通信(CPDLC)也是一种没有加密或认证的数据链,因此可能容易受到信息操纵、信息注入和对地面站或飞机的欺骗。这可能会在操作者试图发现异常或保持态势感知时带来挑战。如果攻击行动成功,侵入者可能会向空中交通管制(ATC)或飞机发出指令或请求。机组人员和控制员在怀疑时,可以通过回到语音通信减轻攻击。
全系统信息管理
ATC 服务已经成为网络攻击的目标。例如,2006 年,一个计算机病毒扩散到ATC 系统,迫使FAA 关闭其在阿拉斯加的一部分系统。监察长办公室(OIG)随后的一份报告认为,网络攻击损害ATC 操作只是时间问题。
GAO 强调,通过全系统信息管理(SWIM)向基于IP 的服务转型会增加风险,这是由于新旧技术混合和网络中的潜在漏洞而导致的。
国际民航组织(ICAO)在2005 年左右开始了SWIM 工作,并将其描述为“松散的连接环境…由各实体提供并消费服务。”这实际上使SWIM变成了一个航空业内网,在内网中,信息可以在同一地区甚至世界各地的实体之间轻松共享。从2018 年第一个区块的推出开始,每过5 年,新的区块都将增加这一网络的连通性。作为一个开发中的项目,如何将机舱安全的接入类似SWIM 的全球内网等细节,仍然需要进一步的研究。这一系统的开发相当复杂,将需要各利益相关方的参与。ICAO 秘书处声称,SWIM 最主要的网络安全要求将主要借鉴:
· 附录17,ICAO 航空安全手册(ICAO8973 号文件)
·ATM 安全手册,A 部分:保护ATM 系统基础设施(ICAO 9985 号文件)
此外,(SWIM)网络和应用层面中的网络安全措施“应作为通用基础,允许各国施行自己的国家措施”,每个国家都应建立“本国的国家安全项目”。SWIM 治理的成熟和对网络安全的集中需要一些时间,究其原因,正如航天工业协会国际协调委员会(ICCAIA)所指出的,“SWIM 没有一个国际公认的定义,也没有清晰的实施指南。”
能力——对后备系统的挑战
对前几节中所提到系统造成的任何破坏,都可能造成不便和服务中断。由于系统升级的本质,上文讨论的NextGen 和类似全球系统的许多后备系统的能力都会相应降低。事件影响越大或受影响的系统数量越多,系统能力削减就会越多。当NextGen 类型系统满负荷运行时,启用后备系统会带来大量挑战。因为有后备遗留系统就忽视NextGen 的漏洞是不可取的,ATM是一个复杂的系统,能力和吞吐量的细微变化都会对其产生影响。
机场
现状
机场管理和安全的主要目标是安全的接送飞机、乘客、行李和货物。因此,机场是大部分航空运行的焦点,也是防御攻击者的前线。
因此,提高机场网络安全的重要性应该是显而易见的。然而,本报告的贡献者之一评论说,机场是管理服务的联合,它代表了不同风险所有者和治理结构下的许多公司和组织,它们都致力于安全和服务。因此,机场网络安全必须从保护多个系统的角度来考虑,这些系统由多个提供者运作,这些提供者既可以为安全意识和韧性做出贡献,也可以成为致命的弱点。
机场——联网目标
迄今为止,针对机场的网络攻击并没有对机场的运行和乘客造成很大的影响。机场的联网物理安全设备还未被攻击过。
总监察长办公室(OIG)发表了一份修订的报告,审查了美国运输安全管理局(TSA)的安全技术集成项目(STIP)面临的挑战。STIP使远程管理旅客和行李检查设备成为可能。报告称其有多个安全控制漏洞,并指出很多安全设备并未被归为IT 设备,因此在安全方面并没有达到IT 设备的标准。这份报告的一个主要观点是,随着网络技术和物联网越来越成为维护安全的关键基础层,确保技术安全的努力也必须同时进行。随着机场试图全面应用物联网,就应该更注意这一点。
未来发展
一些机场已经意识到了网络威胁,并投入了更多人员、流程和技术来更好地保护自己。随着这一措施的成熟,拥有由高级管理领导的、覆盖整个机场的网络安全战略的机场将变得越来越普遍。此类结构还必须与其他可能拥有类似结构的机场利益相关者合作。机场的网络安全力量不是由单一结构的质量决定的,而是取决于所有结构的协作程度。
目前已经出现了有关建立机场网络共享和分析中心(ISAC)的讨论,这一中心可以使所有机场运行者形成统一战线,促进协作和网络安全信息的共享。虽然是否需要ISAC 这种正式的组织结构还有待观察,但共享和协作在整个机场生态系统中将是必不可少的。
在机场利益相关者试图在组织方面完善机场网络安全的过程中,也可以进行网络领域的安全演习。探索所有机场的利益相关者在网络攻击中应如何协同工作,可以加强预备程度,强调合作的价值。随着时间的推移,演习场景将逐渐成熟,但物理安全和网络安全演习最好一起进行。
已经出版的一系列机场网络安全指南包括美国联邦航空管理局(FAA)赞助的《机场安全最佳实践指南》(Guidebook on Best Practices for Airport Security), 欧盟网络和信息安全机构(European Union Agency for Network and Information Security)的《保护智能机场》(Securing Smart Airports)和国际航空运输协会(IATA)的《航空网络安全工具包》(Aviation Security Toolkit),它们都对机场网络安全提出了各方位的建议。这些指南内容有多处重合,表明机场最佳实践在一定程度上呈现一致性。
航空业和网络安全业
随着航空业和网络安全行业日益交织,很重要的是了解行业各自的优势和劣势。这两个行业都需要培养对彼此的文化理解,在发展中共同学习、支持和加强行业关系。网络安全行业必须知道自己正在支撑的是一个在维护关键服务安全方面已经非常成熟的行业。在发展航空业技术和连通性时,同时发挥这两个行业的优势是很重要的。
风险管理、治理和问责
航空业在挑战环境中管理复杂风险方面的经验十分丰富。它有着非常明确的治理和问责结构,并已经形成了安全文化,使每个人都觉得自己与管理风险和维护操作安全息息相关。当涉及到信息安全风险时,这种文化显然不那么明确,因此有很多有关责任和问责的讨论。飞机和整个行业都有着多且复杂的供应商和服务关系,责任划分困难。只有不透明的多方利益相关者委员会是不够的。
从根本上讲,即使在一个联网的,拥有先进技术的航空业中,安全管理系统(SMS)仍然是管理安全的主要手段。不管信息安全如何治理,如果它与安全关键系统相交,它就属于SMS。安全团队专注于防止事故,网络安全团队则负责防范恶意攻击;为了实现目标,两队各有不同,但必须都朝着一个目标努力。随着联网技术的发展,信息安全需要与关键航空服务和平台进一步结合,信息安全与物理安全之间的关系必须更加紧密,两者的定义也要比以往任何时候都更加明确。
事故预防
作为一个高度监管、注重安全的行业,航空业有着相当高的事故预测、减轻、处理和恢复能力。这种能力在人员、流程和技术的所有方面都有体现。在成功预防了某个事件后,航空业会鼓励相关人员公开且诚实地叙述当时的情况,并将这些信息广泛传播,互相学习。这一积极的飞行安全文化成功地将航空从业人员变为人类传感器,他们会不断地寻找安全问题、报告问题、修复问题并向其他人学习。航空业在分享事故、事件或近似差错数据细节上高度合作,整个行业都有着相同的目标,即绝对不能让同一事故发生第二次。
可以说,网络安全行业正在努力达到同样的共享和学习水平。随着网络安全逐渐融入航空业,它必须适应航空业现存的共享文化。尽管常常有人呼吁要共享网络安全数据, 但在这两个行业中,只有展示了分享的价值后,分享实践才会提升。在航空业中,这一价值非常明显,降低风险的责任感贯穿整个行业。只有公正的文化,即在发生人为错误或失误时,重视并保护诚实和公开,才能确保快速和广泛的飞行安全学习。同样的原则也必须适用于网络安全和保障方面。
在交付安全和保障系统时,交付组织必须对其产品或服务的安全性或保障性进行多次评估。总的来说,航空业根深蒂固的独立审查和评估原则是非常有效的,但在未进行审查或审查独立性受到损害的情况下,也发生过几次事故。随着航空生态系统逐渐开始网络安全的标准化工作,航空业也已经了解了独立审查的价值,这可能是一个很好的起点。
飞机经过认证后,我们就可以知道其弱点和限制。然而,对于网络技术来说,其弱点会随着时间的推移而变化。因此,很可能需要定期进行独立安全审查。在网络安全行业,独立评估的价值正在通过诸如“漏洞奖励计划”、“渗透测试”、“红色团队”等项目逐渐凸显出来。一些航空公司已经在推广这些项目,这一努力应该得到赞扬和支持。不过,航空网络安全不仅仅在于技术。必须通过覆盖整个组织层次结构的措施来增强对技术的审查。这将帮助高级管理人员审视自己的假设,并更好地定义物理安全与信息安全之间的界限。
事故应对
尽管各方都在努力使航空业尽可能安全,但事故仍时有发生。同样的,尽管人们努力使网络行业尽可能安全,重大事件仍然存在。随着航空和技术的逐渐融合,在某个阶段,网络安全事件就会影响到关键航空服务,即使人们努力确保了这些系统的安全。航空生态系统应做好准备,调查航空事故或事件的网络安全方面。在事情发生后再开始考虑调查方法将为时已晚。时间将是学习、适应和保护全球航空业的关键。在航空业中,美国国家运输安全委员会(NTSB)、英国空难调查分支(AAIB)以及全球其他类似组织都可以对航空事故或事件进行独立调查。尽管在网络安全行业中有过建立类似机构的讨论和呼吁,但此类机构目前还不存在。随着飞机、ATM 和机场之间的相互联系日益紧密,调查事故或事件的网络安全方面将成为调查工作的重头戏。
在事故发生后,对事故发生的地理区域有管辖权的国家组织将负责进行调查。这可能意味着,要调查一场事故,某个国家能够请求获取与调查相关的软件、数据、网络日志以及其他信息。很少有网络安全事件会被第三方的、潜在的国际组织所调查。如今,相关政策尚未通过,不仅在事故调查的物理安全与信息安全方面(单独的调查可能会引起分歧)存在分歧,在国际上也同样存在分歧。
面对着这一新兴挑战,我们目前尚不清楚NTSB / AAIB 或类似的调查小组拥有或需要具备哪些网络调查能力。如果网络方面的调查遭受到延迟、混乱或阻碍,这只会广泛降低利益相关者对航空业以及调查结果的信任。要保持人们对调查的信任,网络安全调查的速度、广度和深度需要与物理安全调查相对应。
政策和规范
航空业制定了一种自上而下的方法来推行全球运行安全相关的标准和公约,使不同的运营商商和国家合作起来;这意味着各方可以充分理解要求,全球和国家的治理也很明确。尽管已经开始制定,在航空网络安全领域,许多国际标准和公约还没有正式颁布。这可能会推迟国家战略的制定和调整,例如,英国民用航空管理局(UK Civil Aviation Authority)的航空网络监管战略,就旨在确定其在“现有欧盟/ 英国/ 国际法规下的网络安全责任”。在欧洲,即将发布的关于网络和信息系统安全的《NIS 指令》(NIS Directive)可能会帮助航空组织了解它们的需要,但这需要一些时间。在《NIS 指令》中,航空运输部分看起来相当全面,包含了对航空公司、机场管理机构和(航空)交通管理控制运营商的要求 。哪些运营商应在《NIS 指令》‘范围内’ 需要仔细考虑,因为有些机场每年的乘客少于1000 万,它们可能不需要遵守指令。
这可能会导致规模相对较小的经营者和供应商被排除在外,但其潜在的影响仍不可忽视。此外, 在2017 年11 月16 日, 欧洲航空安全局(EASA)发表了关于民用航空网络安全的高层努力的《布加勒斯特宣言(Bucharest Declaration)》。《宣言》以“保护欧洲航空系统免受网络威胁”为重点提出了若干目标,例如欧洲内部协调、国际合作、信息共享、风险评估、提高认识和研究。此外,人们也渴望国际上各法规能够协调一致,强调尽管作为一个超国家机构,面对这些挑战,我们需要施行更广泛、更全面的方法。
美国推动航空网络安全的努力包括之前讨论过的《网络空气法案》(Cyber Air Act)以及更清晰的《国土安全》(DHS)指南,它们共同确保着关键交通基础设施的安全,并已经显示出强大的主动性和行动力。虽然上述法案和指南在GAO 关于GPS、ATM 和ATC 漏洞等话题的搜索报告背后,但上述努力显示了美国对网络安全挑战的认识,更重要的是,它显示出高层越来越重视找到解决方案。
此类改善航空网络安全的国家和地区努力将促进对话的多样性。但随着各州和地区努力了解挑战,找出方法,继续保持在航空业中如此成功的国际标准统一至关重要。
国际民航组织(ICAO)旨在“制定国际空中航行的原则,开发技术,促进国际航空运输的规划和发展”,以“确保世界各地国际民用航空的安全和有序发展”。有了这些目标,民航组织无疑需要承担制定全球航空安全标准的责任;然而,如何推动标准向前发展,却稍微复杂一些。要做到这一点,民航组织必须找到一个与挑战相对应的政策工具。前文提到的ICAO 与伙伴国家一同制定的航空网络安全框架,就将对标准制定有很大的帮助,但其他工具也可能帮助制定全球标准。
于1947 年签署的《芝加哥公约》“旨在以安全有序的方式发展国际民用航空”。其更新反映了行业和技术的发展(例如,第8 条强调了无人驾驶飞机需要特别授权),《公约》着重于如何在全球范围内保持行业秩序和一致性,以促进合作和发展。这在第37 条中体现为,各国承诺“最大限度的在规定、标准、程序和组织方面进行合作”。如果《芝加哥公约》为航空安全制定了全球安全标准,其中的附件17 则很大程度上与网络安全相关。
《公约》的附件17 集中于安全以及通过防止“非法干扰”飞机来保证飞行安全。附件目前关注的是物理干预,但正如本报告所探讨的那样,通过网络手段进行非法干涉已成为现实。在附件17 中加入网络角度可以通过类比现有的物理干预内容来完成,尤其是要认同网络手段非法干扰的同等重要性。
因此,如果有哪份文件能够促进并制定全球航空网络安全标准,那就是《芝加哥公约》的附件17 了。通过修订附件17 反映航空业越发相互连接的现实,不仅会促进国家间制定全球航空网络安全标准的一致性,还将促进不同利益相关者群体之间的对话与合作——这将决定未来的成功与否。
航空网络安全与保障的基础
连贯且系统的思考、治理和问责
航空业是一场复杂的国际芭蕾,由成千上万的人使用不同成熟度的不同系统来运作。这一系统的系统本身的设计并不是为了防范潜在的攻击者,出于对安全、效率、利润和多种系统管理的关注它才逐渐成熟起来。前文提到的IT 故障事件已经表明,这一系统容易受到中断的影响。
正如报告所探讨过的,飞机、ATM 和机场在组织、国家和全球各级的复杂性和相互依赖程度是相当大的。我们可以很容易地看到链中的薄弱环节应如何发展。
在一个相互关联、相互依赖的系统中,薄弱环节可能会被忽视,造成不成比例的影响。网络安全中的一切都表明,攻击者将瞄准薄弱环节实现攻击目标。在提高航空网络安全的努力中,发现并保护系统中的薄弱环节,无论这一环节是在运行过程还是在供应链中,这不仅是一项基本要求,也是对治理和问责的关键考验。
在全球航空生态系统中,无论薄弱环节在哪里,都需要自上而下的领导来改善治理和问责。这会强化ICAO 与国家监管机构共同的努力,即决定航空业应如何应对网络风险并向所有利益相关者传播最佳实践和流程。这项活动不仅会加强对网络安全风险的管理,还可能大大明确和简化航空业利益相关者的法规负担。
系统韧性
飞机系统的设计旨在安全化解故障。面对强大的攻击者,“即使正确实施了所有必要的安全防御措施,持续监视并确保补丁的应用和漏洞的修复,有能力的攻击者仍然可以破坏IT基础设施。”对于未来破坏和潜在故障的假设,使人们更加关注如何持续保证操作和业务流程安全,不管攻击者企图实现什么或者已经破坏了什么。
社区应急响应小组(CERT)风险管理模型将运行韧性定义为“组织的紧急属性,在运行的压力和干扰下仍可以继续执行任务,且不超过其运转极限。”从这个定义中,我们可以区分网络安全(攻击防范)和网络韧性(安全承受攻击造成的压力和干扰)的区别。两者都同样重要且值得推广。
第39 届ICAO 大会的一份工作报告强调了网络韧性的重要性。报告承认网络事件的可能性近几年在逐步增加,并呼吁国际民航组织“为航空系统制定全球统一的网络韧性方法”。
这样一种全球性的方法将大大有助于平衡保障的要求与韧性的现实需要。
信任韧性
利益相关者信任在航空网络安全挑战中非常重要。在飞行作为一种旅行方式被广泛接受之前,商业航空的起步并不容易。航空业走过了从“非常不信任”到在全球建立信任基础的历程。但信任很难挣得并容易丢失。到目前为止,对安全的绝对关注已经成功地培养并保持了人们对该行业的信任,尽管“线上”社会头条新闻的影响力使坏消息的传播速度如此之快,以至于信任可以被很快侵蚀。
航空生态系统必须同时考虑网络安全和建立信任的挑战。如果有索赔针对航空系统或飞机时,获得所有利益相关者的信任可能会很困难。在未来,迅速调查潜在问题,更重要的是,展示潜在的影响和措施将是航空业的一项基本技能。这将需要航空业摆脱隐藏式安全,能够向利益相关者和乘客证明为什么应该且可以信任他们。
不管关键软件的安全性有多好,如果攻击者能够动摇信任,他们就有能力控制乘客体验、观点和信心。如果乘客或监管机构有足够的理由以任何一种原因质疑飞机、系统或机场,运营商必须反驳这种看法,重建信任。重建的时间越长,经营者在利益相关者眼中的可信度就越低。
人为决策保障
人类操作人员是安全链上的最后一个环节,他们作出并执行及时、明智和安全的决策的能力是航空安全的基石。保护这种能力免受数据完整性攻击和攻击者颠覆的风险是必要的。整个航空业中都贯穿着帮助人类在正确的时间做出安全的决定的技术。只要能够得到正确、及时的信息,人们就可以根据训练采取相应的行动。然而,如果信息不正确、太快或太迟,就会使决策变得困难,发生错误的可能性也随之升高。系统能力的降低、工作量的增加以及额外的干扰都可能导致严重的错误。
人为错误或技术故障都是不可避免的,但所有的航空系统都是为了帮助人类操作员在影响安全之前发现并处理事故或事件。因此,对技术进行保护的同时,也必须保护提供给操作人员的数据的完整性,以便他们做出安全的决策。
现在,操作人员可能不得不在潜在攻击者的干扰或颠覆过程中做出决策,航空业必须考虑到,操作人员,如机组人员或空中交通管制员,应该在何种程度上参与到网络安全中,或是继续集中于自己的主要角色。我们必须考虑如何在良好的系统设计和依赖终端用户之间找到正确的网络韧性平衡。尽管如此,航空操作人员在应对失败、机械或其他方面都很精通。
学习如何应对各种各样的网络攻击将是一个不同的挑战,需要相应的训练。国际航空飞行员协会联合会(International Federation of Air Line Pilots 'Associations)已经强调了这一倡议的重要性,呼吁进行对飞行员培训,帮助他们识别网络攻击 。
共同观点和文化
合作的重要性不可低估。即使不共享知识和观点,航空和网络安全产业之间也有巨大的文化交流潜力。
我们已经谈到,航空业是一个系统的系统,漏洞很可能反映在多个地区、国家或服务提供商之间。全面且及时的信息共享将会减少系统风险,因为一旦漏洞被发现,修补所有漏洞就变成了与时间的赛跑。
共享有关漏洞和威胁的敏感信息不是一件容易的事情。美国和欧洲都在建立与航空业相关的ISAC。参与组织可以通过中心获取有关漏洞的信息和威胁情报,帮助它们更好地管理网络安全风险。
对于这些组织来说,关键的驱动因素是寻找并开发有价值的建议,并将其传播到受信任的集体中,因为信任程度各不相同,就会存在一定程度的威胁和漏洞共享分层。有研究正在分析如何加速建立信任,但从根本上说,建立信任需要投入时间、精力和加强合作。例如,航空信息共享和分析中心(A-ISAC)正在探究国家航空和空间管理局(National Aeronautics and Space Administration) 和俄罗斯之间的合作,将其作为各国应如何在有着严格的安全要求的复杂技术项目中合作的例子。A-ISAC 已经参与了一些事件,其快速分享知识的能力已经成功地帮助多个国际利益相关者减轻了风险。A-ISAC 也是最佳实践的中心联络点和网络安全力量的放大器。新设立的欧洲航空网络安全中心(European Center for Cybersecurity in Aviation)与A-ISAC 有类似的目标,它与欧盟CERT 相连 。这些组织的目标是提高协作水平,使分享更有价值,不管利益相关者的文化观点如何都可以相互学习。
在航空业的所有活动中都贯穿着一种强大的安全文化。当它与IT 行业交织在一起时,一个关键的需求将是理解和克服团队之间的文化差异。建立共享文化,使两个团队之间能够协同合作,共同审视挑战并寻找潜在的解决方案,这需要跨领域学习和文化方法分享。共同的观点和愿景将会提高人们对风险的认识并增强韧性。
未来建议
所有利益相关者的下一步行动:
加强领导和标准化(全球、全国、区域等)
挑战——攻击者的能力只会随着航空业对连接技术的采用和发展迅速增强。这使个人、组织和国家在面对挑战时都需要努力管理和规范风险。
行动——作为应对航空网络安全挑战最资深的航空机构,ICAO 应提供应对挑战的建议,并制定明确的要求,用于全球航空领域的网络安全和网络风险的治理和问责。这些考虑应被正常化,像ICAO 其他防止非法干扰的公约,如《芝加哥公约》的附件17 一样。
建议航空网络安全与保障共识
挑战——维护系统安全的治理和问责主要被视为安全职责。在复杂的关键系统(与多个供应商)之间,如何实施风险所有权和问责就形成了挑战。物理安全责任与信息安全责任之间的任何混淆,都有可能掩盖真正的安全风险。
行动——航空业必须确保网络安全和保障的治理和问责能够被充分的理解、定义、健全并纳入现有的SMS 服务。这必须加强而不能削弱现有的有效SMS 服务。这种方法在全球范围内的标准化程度越高,整个航空业对相对真实风险的认识就越深刻。
重新评估、开发并使用健全的威胁模型
挑战——航空业硬件寿命和软件补丁周期都很长,威胁形势变化快。在评估威胁,制定风险模型时,无法确定潜在攻击者的能力或动机。
行动——航空网络威胁模型必须在产品或系统的整个生命周期中更好地囊括并预测攻击者的能力、动机和变化。这一活动需要政府、航空业或独立研究人员等利益相关者的共同合作。
向利益相关者传播有关网络安全风险的信息
挑战——在网络安全风险上,航空业没有一个一致的立场。一些利益相关者仍然宣称系统不可能受到攻击。在攻击事件发生后,可能很难转变利益相关者的观点,恢复信任。
行动——对于网络安全风险和措施,航空业必须传递明确、实际且一致的信息。这将需要团结利益相关者,建立解决问题的共同责任感,而不是捍卫没有事实依据的立场。
建立非技术受众信任
挑战——多年来在安全上的改进意味着,在很大程度上,利益相关者目前是信任航空业的。围绕网络韧性的信任挑战在于,大部分受众都是没有技术知识的。物理安全和保障措施通常是可见且有形的,这使得利益相关者更容易理解和建立对它们的信任。网络安全技术的复杂性意味着建立、沟通和保护信任将会更加困难。
行动——航空业必须建立非技术乘客和利益相关者对其网络安全的信任。这种信任必须建立在网络韧性的基础上,辅以可证明的措施。这种信任越强,网络事件或索赔的影响就越小。
提高安全更新的速度
挑战——在航空关键系统中安装硬件和软件安全更新是一个漫长的过程。随着航空业连通性的不断增加,漏洞的发现只是时间问题,任何试图掩盖漏洞的尝试都将失败。对比其他采用了联网技术的行业经验表明,一旦发现漏洞,就应迅速有效地修补漏洞以降低风险,这对服务和安全影响的降低至关重要。
行动——对于硬件和软件的安全更新,应提高制定和实施航空业最佳实践的速度。应想办法在缩短补丁周期(包括安全更新)的同时弥补漏洞。也应额外考虑如何更改现有认证政策和系统设计,协助提升更新速度。
通过系统和过程设计捕获网络安全相关数据
挑战——对于众多相互连接的航空系统,目前却很少有相关公开信息、指标或记录,很难认定和评估损害指标(Indicators of Compromise,IoC),更不用说补救或保障了。正如许多联网行业所发现的,预防是理想的,但检测是必须的。关键数据的公开度不高或在调查结果上缺乏合作,将使我们很难了解航空业所面临的网络安全挑战的规模。
行动——无论系统有多复杂,航空业都需要建立数据捕获能力,以检测硬件和系统中的攻击者活动(IoC),无论是这些活动是在操作中还是在供应链上。还必须考虑到事故后管理调查的独立性和严谨性,并对任何事故或事件的潜在网络安全问题进行调查。
跨多个学科的安全训练
挑战——在安全方面受过充分训练的航空人员,也有可能必须在网络攻击行动的干扰下工作。他们目前还没有接受过如何发现、评估这种情况或作出适当反应的训练,这大大增加了任何攻击行动的潜在影响。同样,网络安全人员也还未经受过航空操作细节的训练。
行动——航空业必须制定合适的训练和方法,使所有人员具备识别攻击活动和维持操作安全的技能。相应的,网络事件响应人员也必须接受培训,在时间紧迫的情况下支持航空操作安全。如果能将课程迅速反馈到更广泛的航空生态系统中,这种训练可能会特别有价值。
事故和事件调查中纳入网络视角
挑战——航空事故和事件通常会由国家机构进行彻底且客观的调查。这些调查的集中在事件重演上,找出根本原因,这样行业的其他成员就可以避免同样事件的发生。如何将网络安全纳入到这些调查中——或甚至必要的数据是否可用——是未知的。
行动——应调查并提出最佳实践,以便对航空事故和事件中的网络安全问题进行适当的调查。此外,调查不仅应该关注组织结构、机构和技术,还应致力于改进航空系统设计,使调查及时,取证可行。
作者介绍:皮特·库珀,英国独立网络安全顾问,大西洋理事会(Atlantic Council)网络国家战略计划非常驻高级研究员,研究方向网络战略行动。
编译:韩晓涵,上海社会科学院互联网研究中心研究助理,研究方向为网络安全与治理。
《信息安全与通信保密》2018年第二期
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。