Havacılıkta Siber Güvenlik ve Eğitim
İleri teknoloji çağında, havacılık dünyası yeni bir tür tehditle karşı karşıya. Siber saldırılar, sivil havacılık endüstrisi için giderek büyüyen bir tehdit oluşturmaktadır. Havacılık kurumları rutin operasyonlarının dışında kritik operasyonlar için de giderek artan ölçüde elektronik sistemlere bel bağlamaktadır. Elektronik sistemlerin saldırılardan korunması (yasa dışı müdahale) ve güvenlik seviyesinin 7/24 sürdürülebilir olması zorunluluk haline gelmiştir.
Havacılık endüstrisindeki siber saldırılar sonucunda bilgisayar korsanları; havayollarının, havalimanlarının, uçak üreticilerinin ve hatta uyduların ve uzay istasyonlarının sistemlerine sızmak için 24 saat çalışmaktadır.
Havacılık endüstrisi, özellikle havacılık dışı yollarla (örneğin; Bulut, 5G, WiFi, uydu iletişimi v.b) yeni teknolojiler ve kavramlar getirerek hızla dijitalleşmeye doğru ilerliyor. Bu da mevcut siber saldırı eğiliminin tehlikesini daha da ortaya çıkarır.
Uluslararası Sivil Havacılık Organizasyonu (ICAO), 2016 yılında ICAO Meclisinin 39. oturumunda siber güvenlik için sivil havacılığın kritik altyapısını, bilgi ve iletişim teknolojisi sistemlerini ve verileri koruma kapsamında koordineli bir yaklaşım çağrısında bulunmuştur. Bu amaçla, alınan A39-19 nolu kararda; sivil havacılıkta siber güvenlik için devletler ve diğer paydaşlar tarafından sivil havacılığa karşı çapraz, yatay ve işbirlikçi bir yaklaşımla siber tehditlere karşı alınan önlemleri ortaya koyma zorunluluğu açıklanmıştır.
Hatta EUROCONTROL , 2019’un ilk yarısında havacılığa yönelik ciddi siber saldırılar olduğunu bildirmişti. Basına yansıyan bazı siber saldırı bildirileri şöyle:
- Avrupa Havacılık Güvenliği Ajansı (EASA) ayrıca, aylık ortalama 1.000 havaalanı’nın siber saldırıya maruz kaldığınıbildirdi.
- 2017’de dünya, 150’den fazla ülkede 200.000’den fazla bilgisayarı etkileyen bir fidye yazılımı saldırısına (WannaCry) tanık oldu.
- Level One Robotics isimli yedek parça üreticisi ve çizim şirketinin uğradığı saldırı sonucu içinde Volkswagen, Tesla, Boeing gibi büyük üreticilerin de olduğu şirketlere yönelik çizimler, sözleşmeler ve personel bilgisinde sızıntı olmuştur.
- British Airways şirketi bir ay arayla iki kez saldırıya uğramış ve bu saldırı neticesinde yaklaşık 570.000 kişinin kredi kartı verisinde sızıntı olmuştur.
- Cathay Pacific Havayolu Kasım 2018’de 9 milyondan fazla kişinin kişisel verilerinin sızdırılmasına neden olan saldırı bir veri ihlalinin hedefi oldu.
- İsrail’deki havalimanları da, her gün 3 milyon saldırı girişimini engellediğini bildirdi.
- Ağustos 2018’de Air Canada, 20.000 kişinin kişisel verilerini etkileyen bir ihlal bildirdi.
- GE Aviation, Çin’in havacılık alanında ABD’ye karşı bir avantaj sağlamak için onlardan ticari sırları çalmaya çalıştığını duyurdu .
- 2006 yılında, ABD Federal Havacılık İdaresi (FAA), beklenmedik bir siber saldırının ardından Hava Trafik Kontrol sistemlerinin bir kısmını kapattı.
- Garmin bir siber saldırının en son hedefi oldu ve fidye saldırısı Garmin kullanıcılarını beş gün boyunca hareketsiz bıraktı.
Ayrıca yıllar içinde birçok havayolu şirketinin siber saldırıya maruz kaldığı ve bu saldırılar sonucunda maddi boyutu yüksek olan sızıntıların meydana geldiği basına yansımıştır.
Havacılık sektörü, bilgisayar korsanları ve devlet destekli siber savaş girişimleri için kritik ve potansiyel olarak kazançlı bir hedeftir. Herhangi bir havaalanı dijital otomasyon sistem operasyonlarını, örneğin birkaç saat için bile kesintiye uğratmak, havayolları ve ilgili satıcılar için milyonlarca dolarlık gelir kaybına neden olabilir.
Yapılan bir anket araştırması sonucunda , havayollarının yalnızca % 35’inin ve havalimanlarının % 30’unun kendilerini bu siber risklerden uygun şekilde korunduğunu bildirdi.
E-özellikli uçaklar, uçakları uçan veri merkezlerine dönüştürüyor. Yaygın bağlantı yeteneklerine sahip tamamen dijital uçağa yönelik bu hızlı gelişme, havacılık endüstrisini benzeri görülmemiş riskler içeren yeni zorluklara ve güvenlik açıklarına sebebiyet vermektedir. Örneğin; Havayolu ve havalimanı firmalarının hazır ticari yazılımları, Pilot, kabin ekibinin elektronik uçuş çantaları (Tabletler, İpadlar) ve uçak içi Wi-Fi hizmetleri Kablosuz siber saldırılara çok açık ve akabinde ATC (Hava Trafik Kontrol Sistemleri), Yolcu Seyahat ve Özel Bilgileri (Kredi Kartları, Pasaportlar ve Kişisel Bilgiler) ve Check-in, yolcuların biniş ve onları güvenli bir şekilde varış yerlerine ulaştırmanın her yönü için bir önleme planı geliştirilmeli…v.b….
Her şeyden önce eğitime ihtiyaç var. Üst düzey yönetimden teknisyenlere kadar, herkesin siber tehditler olgusuyla tanışması ve siber güvenliğin nasıl uygulanması gerektiğine dair yollara aşina olması gerekiyor ve siber güvenlik olaylarını tanımalarına ve yönetmelerine yardımcı olacak operasyonel eğitimin yanı sıra büyük bir siber güvenlik bilinci eğitimi eksikliğinin önceden giderilmesi gerekmektedir.
ICAO, üye devletleri ICAO Siber Güvenlik Stratejisini uygulamaya çağırdı. IATA, Havacılık Siber Güvenlik Yuvarlak Masası’nı (ACSR) Nisan 2019’da Singapur da düzenledi. Amacı, bilgi ve deneyimi paylaşarak sivil havacılıkta siber güvenlik risklerini daha iyi anlamak ve yönetmekti. IATA ayrıca havacılık siber güvenliği konusunda üç günlük sınıf eğitimleri de veriyor . EASA ve FAA ayrıca bilgi paylaşımını ve farkındalık etkinliklerini teşvik etmede aktif bir rol üstleniyor ve mevcut düzenlemeleri gelecekteki zorluklara uyarlamaya çalışıyor.
- Boeing, müşterilerinin siber güvenlik ihtiyaçlarını desteklemek için bir Siber Teknik Merkez kuruyor.
- İsrail’in ulusal havayolu El Al Havayolları, Nyotron tarafından geliştirilen ve PARANOID olarak bilinen bir anti-malware sistemini tanıttı . Bu sistem, komuta ve kontrol sunucularınızla yakından çalışarak verilerinizi bozmaya ve silmeye çalışan kötü amaçlı yazılımları durdurmayı amaçlamaktadır.
BT departmanını güçlendirmek, en etkili önlemleri uygulamaya yönelik ilk adımdır. Bu tür işler için profesyonellere ihtiyacınız var ve bu alanda daha fazla uzman işe almak bugün gerekli bir hamle.
Havacılık sektörüne yönelik belirli bir tehdit oluştuğunda, önceden belirlenmiş en üst seviye de güvenlik önlemleri uygulanmalıdır.
Evet, sonuç olarak problem fark ediliyor ve hava şirketleri bunun tamamen farkında. Yolcular, daha hızlı biniş ve çevrimiçi rezervasyonlar gibi dijitalleştirilmiş uçuş deneyiminin avantajlarından yararlanırken, zamanla havalimanları ve havayolları teknolojilerine kefil olacak ve güvenlik sözü verebilecek.
