24 lipca 2017

Bezpieczeństwo IT w branży lotniczej to nie lada wyzwanie

Branża lotnicza tak jak większość ma swoją specyfikę - jest nią właśnie namacalne przenikanie się świata w pełni cyfrowego ze światem fizycznym - a zatem i jego zagrożeniami - mówi Łukasz Bromirski, dyrektor techniczny Cisco Systems Poland w rozmowie z Anną Jakubczyk z PRTL.pl

 

 

Czy branża lotnicza jest bardziej lub częściej niż inne branże narażona na ataki cyberprzestępców?

 

- Branża lotnicza w ogólności jest tak samo narażona na ataki cyberprzestępców jak każda inna branża - nie tylko dlatego, że żyjąc w XXI wieku trudno nam wyobrazić sobie traktowanie jej jako odizolowanej, niepodłączonej do internetu wyspy, ale również dlatego, że trendy mobilności i wszechobecne aplikacje mobilne, w tym specyficzne dla tej branży, to dzisiaj kolejny nośnik potencjalnych ataków. Chcąc optymalizować procesy w branży zgadzamy się na wszechobecną komunikację za pomocą protokołu IP, ale ta decyzja ma też konsekwencję - otwieramy się na ataki.

Zgodnie z badaniem PwC z 2016 roku, aż 85 proc. CEO linii lotniczych uważa ataki w cyberprzestrzeni jako zagrożenie, podczas gdy w tym samym czasie w pozostałych sektorach liczba ta osiągała zaledwie 61 proc. Może to oznaczać dwie rzeczy - sektor jako całość dopiero przyzwyczaja się do wszechobecnej łączności internetowej a w związku z tym traktuje ją z natury rzeczy jako nieznane zagrożenie, lub świadomość w sektorze jest dużo wyższa niż w innych sektorach - w tym krytycznych.

Branża lotnicza ma również niełatwe zadanie - pogodzenie balansowania bardzo widocznym, namacalnym wręcz, fizycznym zagrożeniem dla życia jej klientów, z dostępnością 24 godziny na dobę, przez cały rok. W tej sytuacji każde niedopatrzenie, każda luka w procedurach, każdy błąd w obszarze IT - to widoczny natychmiast problem.

W 2016 roku linie lotnicze Delta, United i FedEx (między innymi) padły ofiarą ataku włamywaczy z Chin. Co ciekawe, celem ataku nie był wcale paraliż systemów - zamiast tego, dane pracowników, dostawców oraz podróżnych zostały wyeksportowane, spakowane w osobne archiwa i sprzedane na czarnym rynku. Tego typu ataki będą swoją drogą coraz powszechniejsze - o ile zatrzymane na lotniskach samoloty w wyniku problemów w IT są doskonałą pożywką dla mediów, pozostawienie przez włamywaczy wewnątrz systemu danej firmy tylnej furtki i regularna kradzież danych jest obecnie poważniejszym zagrożeniem.  

 

Z czego to wynika? Czy możemy mówić o specyfice branżowej?

 

- Absolutnie. Branża lotnicza tak jak większość ma swoją specyfikę - jest nią właśnie namacalne przenikanie się świata w pełni cyfrowego ze światem fizycznym - a zatem i jego zagrożeniami. Tu już nie chodzi o to, że zatrzymanie pracy systemu informatycznego może oznaczać spóźnione loty, odwołane wizyty, być może dramaty osobiste - proszę sobie wyobrazić, że skompromitowany system do kontroli bagażu nie rozpoznaje prawidłowo wnoszonej na pokład broni. Próbuje aktywnie ukryć przed operatorem cechy charakterystyczne - takie ataki były prowadzone już w 2008 roku, na szczęście tylko w formie kontrolowanych testów penetracyjnych.

Innymi słowy, z jednej strony mamy ataki skierowane na infrastrukturę fizyczna, ludzi, podróżnych - takie jak próby przemycania bomb w bieliźnie na teren portu lotniczego i samolotu z 2006, w pojemnikach na tusze do drukarek z 2010 czy po prostu zbrojne wtargnięcia w Moskwie z 2011 czy Sofii w 2012. Inne sektory biznesu zwykle nie muszą liczyć się z aż tak ogromnym ryzykiem ataku fizycznego. Z drugiej strony poruszamy się w tematach takich jak bezpieczeństwo w chmurze, czy nadchodzące niebawem RODO (Rozporządzenie o ochronie danych osobowych). To bardzo skomplikowane i różnorodne środowisko, które bardzo trudno objąć całościowym spojrzeniem.

A gdzieś pomiędzy tymi zagrożeniami nadal zdarzają się banalne wydawałoby się luki w procesach. Proszę na przykład zwrócić uwagę, że wraz z rozpowszechnieniem biletów elektronicznych, coraz częściej nie kontroluje się naszej tożsamości - personel lotniska zwykle zakłada, że nie podłożymy pod czytnik obcego telefonu komórkowego aby sczytać elektroniczny bilet i nie żąda od nas dowodu tożsamości.

W 2006 roku jeden z najbardziej znanych guru od szeroko rozumianego bezpieczeństwa - Bruce Schneier, zademonstrował praktycznie jak (w sposób kontrolowany) można wydrukować sobie kopię istniejącego biletu samolotowego z własnymi danymi i następnie przejść przez wszystkie kontrole. Ten eksperyment powtórzono z małymi zmianami w 2010 i ponownie udało się przejść przez wszystkie kontrole. W 2012 sam Schneier ponownie sprawdził szczelność systemu - tym razem na system TSA w USA o nazwie PreCheck - i ponownie bez problemu zapewnił sobie wejście na pokład.

Co ciekawe, sami pasażerowie nie pomagają - w czasach gdy dosłownie wszystko ląduje w mediach społecznościowych, nadal bez problemu znaleźć można na serwisach społecznościowych bardzo dobrej jakości zdjęcia biletów lotniczych i dowodów tożsamości nieświadomych podróżników chwalących się nadchodzącą wyprawą. Ten trend widzimy od paru lat i raczej nasila się niż wygasa.

 

Jakie są stosowane metody ataków? W jaki sposób są przeprowadzane?

 

- Przede wszystkim, branżę lotniczą dotykają typowe problemy dla innych, w których IT jest krytyczne do zarządzania biznesem. Jak odprawić pasażera, gdy wszystkie komputery zaraził ransomware? Jak potwierdzić odbiór nafty lotniczej, podczas gdy ktoś przejął kontrolę nad systemem logistycznym, zmienił hasła i zablokował jakikolwiek dostęp do systemu informatycznego?

Natomiast ataki specyficzne dla sektora zdarzają się na szczęście rzadziej. W 2006 roku doszło do dużej ilości wolumetrycznych ataków DDoS - Amerykańska FAA zamknęła wręcz część radarów kontroli lotu na Alasce w obawie, że ataki mogą wpłynąć na ich działanie. W 2008 roku doszło do katastrofy samolotu McDonnell Douglas MD82 zaraz po starcie Madrytu - wszystkie 154 osoby zginęły. Hiszpańska komisja badań katastrof lotniczych orzekła, że przyczyną była infekcja systemu kontroli technicznej przez złośliwe oprogramowanie. W lipcu 2013 terminale odlotów w Istambule zostały zamknięte na wiele godzin po tym, jak atakującym udało się przejąć na chwilę kontrole nad systemami kontroli paszportów.

Są to typowe ataki jakie w innych sektorach zdarzają się w IT, ich specyfiką jest zwykle realne zatrzymanie ruchu lotniczego lub kradzież ogromnej ilości danych podróżnych lub pracowników poszczególnych firm.

Specyfiką branży lotniczej stają się jednak ataki na szeroko pojętą infrastrukturę lotniska i łańcuch logistyczny - odseparowane do tej pory od internetu systemy zarządzania pracujące z użyciem dedykowanych pasm radiowych coraz częściej posiadają łączność z siecią IP. Oznacza to, że systemy informatyczne na tych rozwiązaniach, zwykle jedną lub dwie generacje z tyłu za nowoczesnymi systemami IT (Windows XP i Windows 7 oraz stare wersje dystrybucji Linuxa są tu codziennością) mogą stać się bardzo łatwymi łupami. 


Jakie są cele ataków? Czy przede wszystkim chodzi o sparaliżowanie organizacji?

 

- Wszystko zależy od intencji atakującego, nie ma tu szczególnej specyfiki związanej z branżą, choć z uwagi na przenikanie się aspektów bezpieczeństwa informatycznego i fizycznego, branża lotnicza niewątpliwie będzie łakomym kąskiem dla wywiadów obcych państw. Innymi słowy, ingerencji na poziomie państwa - co znamy obecnie raczej z perspektywy takich zjawisk jak wpływanie na wybory przez manipulację opinią publiczną i fabrykacje "wiadomości". 

Proszę sobie wyobrazić, że mamy do czynienia z sytuacją podobną jak kiedyś w Estonii lub całkiem niedawno na Ukrainie - atak mający sparaliżować wszystkie lotniska w danym kraju, będący jedną z faz kontrolowanej próby zdestabilizowania całego kraju albo zaburzenia jakiegoś konkretnego procesu (np. zmniejszenia zaufania do rządzącej partii tuż przed wyborami). Do tej pory atakowany był sektor energetyczny, ale jeśli tylko uda się osiągnąć coś takiego z infrastrukturą obsługującą ruch lotniczy - zaufanie do danego kraju natychmiast podupadnie, co może mieć wpływ na wiele aspektów gospodarczych i ekonomicznych. 
 

Firmy z branży lotniczej nie mogą dzisiaj funkcjonować bez zaawansowanych systemów informatycznych i z reguły są dobrze „zinformatyzowane”. Czy to automatycznie oznacza, że są dobrze przygotowane w zakresie cyberbezpieczeństwa?

 

- Niestety nie.

Po pierwsze, nawet doskonale chronionym firmom zdarzają się dramatyczne wpadki - od błędu czysto ludzkiego (chociażby ostatnia sytuacja z wydostaniem się do internetu 32TB kodów źródłowych Windows 10 i bibliotek), przez proste przejęcia serwisów transakcyjnych (lub ich kompromitację) po doskonale zorganizowane i trwające latami (latami!) operacje wyprowadzania z firm danych pod nosem działu IT.


Po drugie, kolejne fale różnego rodzaju typów zagrożeń ciągle zaskakują, nawet dobrze przygotowane firmy. Co zrobić, gdy wszystkie komputery w centrum kontroli przestrzeni powietrznej zaszyfrował (lub skasował) właśnie ransomware i to samo stało się z danymi archiwalnymi na współdzielonych systemach macierzy? Momentalnie wracamy do prostej łączności radiowej - i jeśli działa - koordynacji prac służb naziemnych przez sieć komórkową. 

 

Jak się bronić? Dlaczego firewall już nie wystarcza?

 

- Dzisiejsze systemy informatyczne i nowoczesne aplikacje wymagają dostępu do internetu, a coraz częściej pracują w architekturze mikroserwisów. Oznacza to, że nie jesteśmy w stanie zawsze i wszędzie jasno oddzielić dwóch światów - naszego, bezpiecznego oraz zewnętrznego - internetu. Taki podział przestaje powoli mieć sens, w szczególności gdy mówimy o coraz większym upowszechnianiu się protokołu IPv6 - NAT stosowany do tej pory do oddzielenia sieci prywatnych od publicznych przestaje być narzędziem do budowania naturalnych bram pomiędzy segmentami sieci.

W tej sytuacji jedynym sensownym i sprawdzonym rozwiązaniem jest zbudowanie swojej strategii obronnej wokół hierarchicznego modelu uprawnień poszczególnych użytkowników i grup użytkowników, oraz architektury mikrosegmentacji rozwiązań sieciowych. Taki skalowalny model możemy następnie wyposażyć w elementy znane z typowego obszaru bezpieczeństwa IT - systemy wykrywania intruzów (IPS) oraz antymalware. Jeśli dodatkowo te wszystkie elementy są w stanie efektywnie wymieniać się informacjami o zagrożeniach, incydentach i w odpowiedni sposób reagować na zdarzenia - mamy solidny fundament, który nawet przełamany w jakimś obszarze nadal spełnia swoje funkcje i broni całego rozwiązania. 


Pójście w tą stronę jest jedyną drogą w przyszłość - dalsze okopywanie się wokół punktowych produktów obiecujących niesamowite możliwości już się nie sprawdza. Skoro atakujący wykorzystują potęgę rozproszonej komunikacji do identyfikacji luk, wykorzystania ich i tworzenia również z naszej infrastruktury sieci węzłów zombie, posłusznych ich rozkazom, musimy dostosować naszą taktykę - również wykorzystać potęgę rozproszonej komunikacji do szybkiej identyfikacji i zamykania luk i niedopatrzeń, lub separowania systemów zarażonych. W tym kontekście, architektury stawiające na segmentację i mikrosegmentację są przyszłością. Na wyższym poziomie skomplikowania już dzisiaj posługujemy się narzędziami w których do identyfikacji zagrożeń używa się różnych modeli uczenia maszynowego. 



Coraz częściej słyszymy też o awariach systemów informatycznych przewoźników i lotnisk. Dlaczego tak się dzieje?

 

- Branża lotnicza uczy się od potentatów ogólnoświatowej komunikacji 24 godziny na dobę, przez cały rok - firm takich jak Amazon czy Google. Zarówno nowe serwisy jak i wiele wysiłku w budowie i modernizacji systemów idzie w stronę uelastycznienia ich działania. Z drugiej strony konkurencja na skalę globalną musi mieć negatywne skutki dla inwestycji również w obszarze IT - obniżanie kosztów jest widoczne w pierwszej kolejności w obszarze IT, gdzie "ucyfrowienie" działania często realizowane jest bez dobrego zrozumienia kosztów z nim związanych.  

Bardzo często okazuje się na przykład, że firmy rezygnują z własnej infrastruktury i zaczynają korzystać z usług w chmurze - wiąże ich to jednak z konkretnym operatorem chmury, może spowodować ogromny wzrost kosztów operacyjnych a w dodatku potencjalnie naraża na problemy związane z prywatnością i uwarunkowaniami lokalnymi w obszarze przetwarzania danych osobowych.

Na pewno warto również wspomnieć o tym, że informatyzowane rozwiązania bardzo często tworzone są metodą nakładania kolejnych warstw abstrakcji na starsze, niewydolne albo niemożliwe już do zmodernizowania systemy. To droga donikąd - i choć kupuje się czas, takie wielopiętrowe "kanapki" to recepta na katastrofalną awarię.

Jakie dobre praktyki z innych branż mógłby Pan wymienić, których zastosowanie mogłoby pomóc branży lotniczej?

 

- W bezpieczeństwie warto skupić się na realnej ocenie umiejętności zespołu. Produkty i rozwiązania są ważnym, ale nie najważniejszym elementem całej układanki od której zależy zaufanie do firmy. Z jednej strony to ludzie stanowią najsłabsze ogniwo we wszelkiego rodzaju procesach, ale z drugiej strony to od ich doświadczenia, wiedzy i reakcji zależy bardzo często najwięcej. Ten trend widać wyraźnie w powstających bardzo szybko SOCach (Security Operations Center) - składających się z dedykowanego zespołu analityków i badaczy zespołów przygotowanych do reagowania na incydenty bezpieczeństwa informatycznego.

Również Cisco otworzyło w 2016 w Krakowie swój SOC, obecnie jeden z pięciu na świecie. Usługi świadczone z Krakowa od transferu wiedzy przez zarządzanie bezpieczeństwem po zaawansowaną, dedykowaną całodobową ochronę w połączeniu z ogromną wiedzą analityczna, pozwalają skorzystać z niedostępnego w mniejszej skali doświadczenia praktycznego, które posiada ta organizacja.

Najefektywniejszą metodą edukacji i szlifowania umiejętności zespołu IT są natomiast ćwiczenia praktyczne - jeśli się da, najlepiej na żywym organizmie. Specyfika branży wymaga, aby realistyczne podejście do przeciwdziałania atakom odbywało się zarówno w sferze fizycznej jak i cyberprzestrzeni. Takie ćwiczenia, prowadzone w zaufanym otoczeniu są coraz popularniejsze na całym świecie - a lekcje z nich wyniesione są bezcenne, niemożliwe do zdobycia teoretycznie czy w statycznych, izolowanych ćwiczeniach "na sucho".
 


 Anna Jakubczyk 


http://prtl.pl/