Cyberhendelser tester globale flyselskapers motstandskraft

Neste gang du sakte rusler nedover en flygang, tenk på det utrolige arbeidet som har fått deg dit, fra flyteknikk til operatører som holder over 5,000 fly i luften samtidig; luftfartsindustrien står overfor vanvittige utfordringer.

I løpet av de siste par tiårene har de hatt enda en ting å hanskes med: trusler mot nettsikkerhet. Forrige måned så vi noen eksempler på hva som skjer når inntrengere kommer seg inn i systemene deres.

Tre cyberangrep på én måned

Tidlig i juni innså Westjet, et av Canadas mest populære flyselskaper, at noe var galt i systemene deres. Selskapet hadde blitt rammet av en cyberhendelse, som hadde forhindret brukere fra å logge inn på nettstedet og mobilappen deres.

Westjet var raske til å ta tak i problemet, slik de beskrev på sin rådgivende side i løpet av de neste dagene. Dette var imidlertid ikke en isolert hendelse. Flyselskapet var et av tre som ble utsatt for angrep. Qantas og Hawaiian Airlines ble også truffet.

Hawaiian Airlines oppdaget sitt eget sikkerhetsbrudd 23. juni og avslørte det tre dager senere via en kortfattet melding på nettstedet sitt. Flyplanen var i drift, og gjestenes reiser ble ikke påvirket, sa de.

Så var det Australias tur. Flyselskapet Qantas opplevde uvanlig aktivitet på en tredjepartsplattform som ble brukt av kontaktsenteret deres. Angriperen klarte å stjele kundenavn, adresser, telefonnumre, fødselsdatoer og bonusnumre.

2. juli, Qantas uttalte at de hadde tjenestehistorikk for seks millioner kunder på plattformen og forventet at andelen stjålne data ville være «betydelig». Tyvene slapp imidlertid ikke unna med betalingsinformasjon, la de til.

Disse angrepene ser ut til å være koordinerte. Scattered Spider, trusselgruppen som også antas å være ansvarlig for angrepene på MGM Grand Casino, og mer nylig, Marks & Spencerhadde rettet oppmerksomheten mot flysektoren, advarte FBI.

Ifølge Byrået kompromitterer den kriminelle gruppen ansattes kontoer ved å besøke brukerstøtter og utgi seg for å være ansatte eller kontraktører, og overbevise operatører om å gi dem tilgang til kontoene. Deretter vil de ofte overbevise disse operatørene om å legge til MFA-tilgang til kontoene, noe som stenger ute de legitime brukerne. Kilder indikerte at flyangrepene så ut til å være denne gruppens verk.

Et tiår med digital turbulens

Dette er ikke første gang et flyselskap har blitt utsatt for et cyberangrep. I 2015 ble det polske flyselskapet LOT utsatt for lider av et DDoS-angrep som forhindret den i å utstede flyplaner, noe som etterlot 1,400 passasjerer strandet og 20 flyvninger kansellert.

Tre år senere angrep angriperne British Airways ved å kompromittere en BA-nettverkskonto utstedt til en ansatt hos frakthåndteringsselskapet Swissport. Mangel på MFA gjorde det mulig for angriperne å kompromittere kontoen og utnytte en sårbarhet i Citrix for å få tilgang til det bredere BA-nettverket. Derfra fikk de tilgang til påloggingsinformasjonen til en Windows-domeneadministratorkonto lagret i ren tekst. Angriperen, Magecart, plantet JavaScript på flyselskapets nettsted og stjal betalingskortdetaljene til 380,000 20 kunder. BA slapp unna en bot på 183 millioner pund, redusert fra XNUMX millioner pund.

Hendelser som disse er hyppige nok til å ha visket ut luftfartsbransjens notatbok. Selskapet for programvare for sikkerhetsstyring, Security Scorecard gir sektoren en «B» på cybersikkerhet. Det er ikke en strykkarakter, sier organisasjonen, men det gjør at selskaper i denne sektoren er nesten tre ganger mer sannsynlig å bli rammet av et sikkerhetsbrudd enn de i sektorer med A-rangering.

Regulatorer legger merke til

Det er ikke rart, gitt den enorme angrepsflaten for de fleste flyselskaper. Det er ikke bare administrative systemer som er et mål. Driftssystemer, alt fra utstyr på flyplassen til utstyr om bord, er også truet.

De fleste sikkerhetsbruddene innen luftfart er administrative, og fokuserer på passasjer- og betalingsinformasjon snarere enn selve flyet. Ting ville imidlertid blitt langt mer alvorlige hvis noen skulle målrette operasjonell teknologi på fly i luften. Til dags dato har slike sikkerhetsbrudd stort sett vært konsepttesting. Imidlertid tar regulatorer fortsatt forebyggende tiltak. FAA foreslåtte nye regler i fjor for å beskytte flysystemer.

Det amerikanske transportsikkerhetsadministrasjonen (TSA) pålagt nye regler for nettsikkerhet for flyplass- og flyoperatører i 2023, inkludert krav til nettverkssegmentering. EU publisert Implementeringsforordning (EU) 2023/203 (del IS) i oktober 2022, som skisserer regler for å identifisere og håndtere sikkerhetsrisikoer i luftfartsorganisasjoner. Denne trer i kraft i år.

Bygge robuste luftfartsoperasjoner

Hva kan luftfartsselskaper gjøre for å beskytte seg mot økende cyberrisiko? Selv om regelverkene er sektorspesifikke, har regulatorer i noen tilfeller gjort en innsats for å overlapping med ISO 27001Selv om organisasjoner i luftfartsbransjen kan trenge å gjøre ytterligere arbeid for å oppfylle spesifikke krav til luftfartssikkerhet som er beskrevet i del IS, er de likevel «konsistente og i samsvar med ISO-IEC 27001, " ifølge EUs flysikkerhetsbyrå (EASA).

Sikkerhetstiltakene som luftfartsselskaper må iverksette er ikke rakettvitenskap. TSAs fokus er på retningslinjer for nettverkssegmentering og tilgangskontroller for å hindre inntrengere i å bryte seg inn i nettverket ditt. Advarsler om å oppdatere programvare dukker også opp. Anbefalinger som disse er enda vanligere enn toalettkøer på langdistanseflyvninger.

I likhet med å ikke røyke på et fly, er det ikke til å forhandle om å innføre gode cybersikkerhetspraksiser på luftfartsnettverk. Å få passasjerkontodata stjålet er ille nok, men uten effektiv beskyttelse kan utfallene av et mer samordnet angrep fra en operatør drevet av noe annet enn profitt være langt, langt verre.