Как российской гражданской авиации снизить риски в кибервойне

Во втором полугодии 2023 года среднемесячная частота кибератак на российские компании выросла по сравнению с первым полугодием на 28% и превысила 4000 инцидентов в месяц. Причем в первом полугодии наблюдался почти двукратный рост по сравнению с первым полугодием 2022 года, а общее количество кибератак в 2022 году выросло на 80% по сравнению с 2021 годом. Таким образом, темпы роста числа нападений сопоставимы с экспоненциальными.

Меняется и качественный состав кибератак ― растет количество высококритичных нападений, способных привести к длительной остановке бизнес-процессов или крупному финансовому ущербу. Число таких атак уже превысило показатели первого полугодия 2023 года, их доля от общего объема инцидентов информационной безопасности в компаниях увеличилась на 4 процентных пункта и достигла 26%. Принципиально меняется характер преступлений ― раньше речь шла в основном о финансовом вымогательстве и краже персональных данных, сейчас все чаще происходят попытки нанести урон критической инфраструктуре, а также создать психологический эффект. Исходя из кибератак последних двух лет, а также из риторики преступных киберсообществ, можно сделать вывод, что ставка делается именно на психологический эффект. Это типичная тактика гибридной кибервойны.

Гражданская авиация представляет собой особенно привлекательную цель для киберпреступников. Любые, даже незначительные, проблемы в нормальном функционировании воздушного транспорта традиционно привлекают пристальное общественное внимание. В качестве недавнего примера можно вспомнить сентябрьскую DDoS-атаку, из-за которой произошли сбои при регистрации пассажиров в нескольких российских аэропортах. Атака была быстро локализована, однако породила активное обсуждение в СМИ и блогосфере.

Важно подчеркнуть, что бесперебойную работу гражданской авиации обеспечивают взаимосвязанные информационные сети и системы, которые контролируются множеством компаний. Авиакомпании, аэропорты и многочисленные поставщики услуг и товаров — это лишь некоторые из многих участников сложной экосистемы, составляющей цифровой ландшафт авиационной отрасли. Такая структура значительно расширяет поверхность атаки и усложняет ее топологию, что может создавать потенциальные слабые места или уязвимости, которыми могут воспользоваться киберпреступники.

Рост уязвимости

В качестве иллюстрации можно вспомнить взлом информационной системы авиакомпании British Airways, который произошел несколько лет назад. Изначально атаке подверглась совсем другая компания ― киберпреступники украли логин и пароль сотрудника швейцарской фирмы Swissport, которая занимается обслуживанием самолетов во многих аэропортах. Затем за несколько шагов, пользуясь другими уязвимостями, киберпреступники добрались и до British Airways. В результате авиакомпания понесла серьезный финансовый и репутационный ущерб. А все потому, что атака оказалась проведена не снаружи, а как бы с тыла, со стороны «доверенной» компании Swissport.

Существенная часть цифровой экосистемы воздушного транспорта сформировалась еще в те времена, когда авиация почти не представляла интереса для хакеров. Но постепенно начался быстрый рост всевозможных киберпреступлений. Согласно одному из исследований по зарубежным данным, количество задокументированных серьезных кибератак в сфере гражданской авиации за 15 лет в период с 2003 по 2017 годы включительно составляло в среднем около 0,67 в год, тогда как за пять лет с 2018 по 2021 оно составило 3,2 в год ― рост почти в пять раз.

К тому же отрасль воздушного транспорта в значительной степени основывается на передовых технологиях, от наземного обслуживания до управления полетами. И эти новые технологии также могут создать новые возможности для атак киберпреступников. Вероятно, самой наглядной иллюстрацией может служить внедрение электронных авиабилетов, которые в 2008 году стали обязательными для авиакомпаний-членов Международной ассоциации воздушного транспорта (IATA) и в течение нескольких лет распространились по всему миру. Сейчас уже трудно представить, что раньше билеты печатались специальными принтерами на бланках строгой отчетности. Электронные билеты и Интернет позволили оцифровать весь процесс поиска, бронирования и покупки авиаперевозок ― для удобства пассажиров, но и с новыми возможностями для хакеров.

Особенности воздушного транспорта

И здесь мы приходим к еще одной принципиально важной особенности гражданской авиации. Наряду с общими для всех высокотехнологичных отраслей проблемами кибербезопасности воздушный транспорт имеет и свои собственные.

К общим проблемам стоит отнести почти неизбежную асимметрию защиты и нападения. Чтобы совершить киберпреступление, требуется творческий подход (направленный, к сожалению, на дурные цели), преступник ищет слабое место в обороне, а выстраивать оборону приходится по всему периметру, причем все зависит не от талантливых злодеев, а от обычных сотрудников. Традиционно проблема решается большим объемом регуляторных требований, зачастую даже избыточных, на выполнение которых требуются слишком большие ресурсы, либо эти требования выполняются формально. Мир стремительно меняется, старые решения не работают для новых проблем, модели угроз устаревают быстрее, чем успевают пройти согласование, к тому же и делаются они по стандартным методичкам, без учета особенностей конкретного бизнеса. Диалог между бизнес-сообществом и регулирующими органами налажен очень слабо, бизнес не всегда понимает, чего хочет регулятор, что он делает и с какой целью.

А с воздушным транспортом все еще сложнее. Российская гражданская авиация неизбежно остается частью мировой, поэтому к ней относится не только национальная и корпоративная регуляторика, но и международная, отказываться от которой нельзя ни в коем случае. Кроме того, авиации в целом свойствен очень консервативный подход к любым изменениям, который осторожно вносятся после длительных проверок и тестирований. Именно это обеспечивает высокий уровень безопасности полетов и общую надежность системы, однако быстро реагировать на новые киберугрозы труднее.

И, как мы уже говорили, в сложном цифровом ландшафте экосистемы гражданской авиации переплетаются объекты критической информационной инфраструктуры (КИИ), автоматизированные системы управления технологическими процессами (АСУ ТП), персональные данные (ПДн) и автоматизированные информационные системы оформления воздушных перевозок (АИС ОВП). Все эти направления обеспечения кибербезопасности пересекаются между собой и распределены между многими участниками рынка, причем существующая нормативная база не всегда четко разграничивает ответственность между, например, авиакомпаниями и их технологическими партнерами.

Нужны скоординированные проактивные действия

Ни в коем случае нельзя обольщаться тем фактом, что российской гражданской авиации пока удается более или менее успешно отражать кибератаки. Быть может, по-настоящему мощной атаки еще не было. Как бы то ни было, нужно быть готовым к новым нападениям, а не только укреплять защиту по результатам прошлых атак. Надо уделять все большее внимание кибербезопасности воздушного транспорта как особой отрасли.

Для этого необходим комплекс мер, который требует отдельного обсуждения. Но первоочередным шагом должно стать формирование под руководством Минтранса отраслевой рабочей группы по кибербезопасности, в которую войдут профильные эксперты от отраслевого бизнеса. Такая рабочая группа позволит наладить эффективный прямой диалог между заинтересованными федеральными органами исполнительной власти (ФСБ, ФСТЭК, Минцифры и др.) и профессиональным авиационным сообществом. Большинство участников рынка воздушного транспорта, а также почти все профессиональные провайдеры продуктов и услуг на рынке кибербезопасности ―  это частные компании. Решение задачи обеспечения кибербезопасности в новых условиях и с новыми требованиями, поставленными государством,  формирует сегмент рынка, масштабы и экономику которого еще только предстоит осмыслить и оценить. Но уже сейчас очевидно, что расходы на обеспечение кибербезопасности значительно растут, и это неизбежно скажется на себестоимости воздушных перевозок.

Сможет ли рынок понести дополнительное бремя расходов? Как соблюсти баланс между обеспечением требуемого уровня кибербезопасности и необходимыми для этого расходами? Эти и подобные вопросы требуют деятельного участия и помощи со стороны государства, не обязательно финансовой, но очень востребована нормативно-методологическая поддержка или, возможно, какие-либо преференции. Все это должно обсуждаться. 

В результате отраслевое сообщество сможет совместно с регуляторами вырабатывать единые подходы и стандарты, чтобы принимаемые нормативные акты не были «внешними» и повышали уровень безопасности, не создавая чрезмерной нагрузки и не препятствуя эффективной работе участников рынка. Для решения насущных проблем в сфере транспортной безопасности нужно активно использовать опыт российских технологических компаний, которые накопили и продолжают наращивать экспертизу в этой сложной и жизненно важной области. Новые вызовы требуют дальнейшего обсуждения и тщательной совместной проработки возникающих вопросов. Кибербезопасность по своей сути ― не очень публичная сфера, но решать проблемы нужно всем вместе.