В последних событиях в мире авиации, где эксперты по кибербезопасности ( пример ) открылась возможность получить доступ к бортовым системам самолета, задумались специалисты отрасли (и не только).
Что мы делаем для обеспечения безопасности? И мы делаем довольно много.
Существует множество руководств, содержащих рекомендации и практики, например: РТКА ДО-178 «Аспекты программного обеспечения при сертификации бортовых систем и оборудования» содержат рекомендации по оценке безопасности и обеспечению качества программного обеспечения.
Существует разделение доступа, так как все системы так или иначе связаны между собой через бортовую сеть (взять, к примеру, техническое обслуживание по определению неисправностей): 
Как видно из рисунка, степень интеграции системы высока даже при разработке такой архитектуры.
Никто не мог предположить, что некоторые личности (скажем так) захотят попасть в бортовую сеть и улететь с другими целями.
Теперь пришло время изменить статистику катастроф и происшествий? 
Недавно я наткнулся письмо от Исследовательской службы Конгресса (CRS; Congressional Research Service) от 2015 года.
В письме содержатся довольно интересные заявления, например:
- Высокая степень интеграции бортового оборудования (к чему мы все стремимся) создает уязвимости в безопасности;
- ФАУ не выполнило должным образом требования, связанные с авиатранспортной системой следующего поколения (NextGen);
- Интегрированная сеть управления информацией под названием ПЛАВАТЬ Спутниковая авиационная навигация, слежение и цифровая передача голоса и данных создают серьезные и нерешенные проблемы кибербезопасности;
- Технологии АДС-Б , внедрение которого планируется в качестве замены традиционных радаров, по своей сути уязвимо для взлома из-за своей открытой архитектуры и использования незашифрованных сигналов.
- Полностью применять «Рекомендации по информационной безопасности на протяжении всего жизненного цикла систем», разработанные NIST (Национальный институт стандартов и технологий, который также ведет базу данных уязвимостей);
- Уделять больше внимания обеспечению качества авиационных систем и решать вопросы безопасности и целостности в процессе сертификации летной годности.
Отступление.
На правильную интерпретацию требований ARP4754А и внесение их в наше российское Руководство 4754А ушло более 2 лет, а указанный ДО-178С соответствует Квалификационным требованиям Часть 178С (КТ-178С) с 2012 года и скоро будет принят. Излишне говорить, что проблема наконец-то осознана.
Она есть, она существует. Об этом некоторые задумывались во время просмотра фильма-открытия «Внутри авиакатастрофы» — краш-тест Боинга, проводимый дистанционно.
Некоторые начали размножаться паника и экспозиция.
Однако в настоящее время не существует единого комплексного подхода к обеспечению кибербезопасности в гражданской авиации.
Американский институт аэронавтики и астронавтики (AIAA) опубликовал общие данные.
рамки по авиационной кибербезопасности.
Международная ассоциация воздушного транспорта (IATA) разработала набор инструментов кибербезопасности.
Однако ФАУ их не одобрило и приступило к разработке собственной стратегии, определяющей подходы к кибербезопасности всей авиационной системы.
Собственно, работа в нашей авиации ведется медленно, но с глубочайшим контролем и анализом всего и вся, чтобы вы могли быть спокойны и уверены, что полетите безопасно.
P.S. Ожидалось, что после публикации письма Конгресс определит роль и обязанности ФАУ в сертификации авионики и правила для NextGen, но никакой информации по этим вопросам не появилось.
П.
П.
С.
Существуют стандарты, например, по шифрованию и криптографии, рекомендуемые для использования в авиации (один из них — ISO/IEC 27002 — Свод правил по управлению информационной безопасностью), но они никогда не встречались в российской практике.
Теги: #кибербезопасность #авионика #самолеты #информационная безопасность
-
Тест Роршаха
19 Oct, 24 -
Проценты Готовности В Заголовке Окна
19 Oct, 24 -
Наса Не Продлило Лицензию На Photoshop
19 Oct, 24 -
Стакснет: Война 2.0
19 Oct, 24
