החיבור האינטרנטי במטוסים הוא תופעה די נפוצה בימינו. ההתפתחות הטכנולוגית הביאה לכך שבשנים האחרונות מדברים בתעשיית התעופה על חזון המטוס המקוון – ה-E-Enabled Aircraft, מדובר במטוס המחובר בזמן אמת בתקשורת אינטרנטית לרשתות ולמטוסים אחרים.
המטוסים המקוונים יכולים לספק יתרונות רבים לחברות התעופה, בהיבט של התייעלות תפעולית, נוחות וחווית נוסע ברמה גבוהה, ו-MRO (עבור תחזוקה, תיקונים ושיפוץ כולל). באמצעות קונספט האינטרנט של הדברים (Internet of Things) המערכות במטוסים אלו משדרות את המידע שלהן דרך לוויינים או דרך מערכות תקשורת קרקעיות למערכות ניתוח נתונים, וכך יכולות חברות התעופה לקבל מידע חיוני איכותי ולספק שירותים מתקדמים בהתאם. כך לדוגמא יכולים חיישנים המותקנים על גלגלי המטוס לספק מידע אודות מצב הגלגלים ולהתריע על תקלות מתקרבות.
סוגיות אבטחה ב-IOT וה-E- Enabled Aircraft
על מנת ליהנות מה-IOT בזמן אמת, קיימות סוגיות רבות הקשורות לרוחב הפס ואבטחת מידע בהן צריך להתחשב, מהרגע שהמערכות מחוברות לרשת. היקף האבטחה, האיומים, הערכת הסכנות, הארכיטקטורה ובחינת האבטחה, חייבים לעבור הערכה ובחינה לכל אינטראקציה חיצונית ופנימית הנעשית ברשת. הטמעה של שירותי נתונים וקישוריות ברוחב פס גבוה ללא פשרות לגבי אבטחה וביטחון המטוס הן אתגר, מאחר ועמידה בדרישות האבטחה מגבירות את המורכבות ואת עלות הפיתוח. מערכות המטוס באופן כללי מבודדות מהאינטרנט, אבל עם הביקוש הגובר לשירותי ערך מוסף ואל מול התחכום של איומי אבטחה, יש לעדכן את גישת ההגנה של “פער אווירי” כדי לשמור על בטיחות ואבטחה. החשיבות באבטחת מערכות אלו נובעת בעיקר משום שקיימים סיכונים כאשר נוסעים עלולים לפרוץ לרשת או להכניס לרשת בטעות קבצים או יישומים לא מאובטחים. יש לקחת בחשבון גם עניינים משפטיים כמו במקרים של הפרת פרטיות מידע.
תקשורת
כיום ניתן למצוא במטוסים קונפיגורציית רשת ואמצעי אבטחה הכוללים: מערכת שליטה ובקרה של המטוסים (ACD); מערכות מידע של מטוסים (AISD); מערכות מידע לנוסעים ומערכות בידור (PIES) ומכשירים אישיים של הנוסעים. ה-ACD הוא מרכיב חיוני בתעופה של המטוס וכולל את בקרי הטיסה ואת מערכות ניהול הטיסה והניווט, אשר בדרך כלל פועלים על מערכות תעופה מודולאריות משולבות (IMA) עם אישורי בטיחות ברמה גבוהה. מערכות IMA אלו מבודדות ממערכות אחרות, אבל יאפשרו גישה לקריאה בלבד מאזורים אחרים באמצעות תקשורת ARNIC, כגון גובה וכיוון המוצגים במסכי הנוסעים. ה-AISD מכיל מערכות צוות, כגון תיקי טיסה אלקטרוניים, מערכות ניטור, ניהול בריאות ותקשורת קרקעית, אבל גם מספקת נתונים מסוימים לקריאה בלבד עבור אזור PIES, כולל מערכות הבידור לטיסה, מערכות ניהול קבינה, מערכות כרטיסי אשראי ומערכות נוספות לשירות הנוסע. מכשירים בבעלות הנוסעים מאפשרים גישה לאינטרנט, מדיה ממערכת ה-IFE ושירותים המבוססים מכשירים אישיים. ה-ACD וה-AISD מבודדים מנתוני הנוסעים ממערכות בידור ומכשירים של נוסעים, כדי להימנע מסיכון לפריצת מערכות מצד נוסעים. גישה לרוחב פס גבוה יותר, תקשורת אלחוטית מתקדמת וקישוריות 3G/4G צפויות במערכות הבידור לנוסעים במערכות המידע של המטוסים. עם זאת מערכות השליטה והבקרה של המטוס (ACD) תישארנה ככל הנראה מבודדות כדי להבטיח את הבטיחות והאבטחה של מערכות חיוניות.
שיקולים ותקני אבטחה
כדי לטפל באיומים של פעילות אלקטרונית בלתי רצויה ובלתי מכוונת, תקן RTCA DO – 326- מספק קווים מנחים לתהליך הרשאת המטוס. חלק מרכזי בתקן הוא תהליך ה-Airworthiness Security Process , אשר קובע כי המטוס יישאר במצב תפעול בטוח כאשר הוא חשוף לפעולה בלתי מאושרת. ה-AWSP קובע כי סיכון אבטחה למטוס ולמערכות שלו הוא מקובל, בהתאם תקן AWSP, וכאשר הערכת סיכון ה-Airworthiness Security Risk מושלמת ונכונה. המשמעות היא שיש לקיים רמת אבטחה ראויה הרלוונטית לבטיחות של מטוסים מקוונים. במקביל, נדרש מאמץ ממתמשך כדי לאבטח מכשירים לאורך מחזור חיי המטוס – החל מתכנון הארכיטקטורה, דרך שלב ההפעלה ועד לסוף מחזור החיים. בכל שלב ושלב והכרחי לתכנן ולתקצב עדכוני אבטחה ולחזות איומים עתידיים.
תיחום האבטחה
צעד האבטחה הראשון הוא להגדיר את היקף בעיות האבטחה, אשר כולל זיהוי הנכסים במערכת, תיחום היקף האבטחה ותיעוד סביבת האבטחה. המשמעות המעשית היא סקירה פשוטה יחסית של מה נמצא במערכת, היכן היא נוגעת בעולם האמיתי, ומהי סביבת ההפעלה. נכסים יכולים להיות מפוצלים לחומרה ותוכנה, אשר ניתן לפצל גם לנכסי ידע שונים, כגון בסיסי נתונים לניווט או עדכוני תוכנה, אשר ניתן לנתח לפי הערך וההשפעה שלהם.
כל נקודות המגע עם העולם החיצון חייבות להיבחן כדי לתחום את היקף האבטחה, כולל ממשקי תחזוקה, ממשקים דיגיטליים, כגון עם מכשירי נוסעים, מערכות צוות, קשרים בין מערכות תעופה, וכן מנגנוני אבטחה קיימים בתוך מערכות. בנוסף, הסביבה צריכה להיות מוגדרת ומנותחת, כולל מערכות נוספות אשר עלולות לבוא בקשר עימה, כגון מערכות תעבורה אווירית או מערכות כרטוס. מערכות חיצוניות אלה חייבות להיות מזוהות, וניתוח איום האבטחה חייב לכסות איומים אפשריים ממקורות אלה. בנוסף, חייבת להיות אפשרות לעדכון תיחום האבטחה לאורך כל מחזור החיים וההתפתחות של המערכות, לדוגמא בתגובה להצגת טכנולוגיות חדשות כגון דור חדש של תקשורת סלולרית, מחשוב ענן או מערכות חדשות בתוך הסביבה.
איומים והערכתם
הצעד הבא הוא לשקול את האיומים על המערכת ולזהות תנאים בהם הם יכולים להתרחש. לדוגמא, מתן אפשרות לנוסעים לחבר את המכשירים שלהם לרשת כדי להזרים מידע מגדיל את הסיכון להחדרת התקפות אל תוך המערכת. דרישות האבטחה צריכות להיות מתועדות עבור משאבים חיצוניים, ויש צורך לזהות “רמות אבטחה” של תקן RTCA DO-356, כגון במי לבטוח ובאיזו מידה לעשות שימוש ברמות בטיחות ב-‘Software Considerations in Airborne Systems and Equipment Certification’ בתקן DO-178C. לאחר מכן הערכת סיכוני אבטחה צריכה להיות מבוצעת כדי למפות תרחישי איום על מערכת האבטחה במטרה לזהות פרצות אפשריות. הערכה זו ממפה את הפרצות עבור תנאי כשל כפי שמוגדר בתקנים CFR 25.1209 ו-EASA CS-25 35.1309 באמצעות מונחי בטיחות המתחילים ברמת “ללא השפעה” ועד ל”קטסטרופה”. ניתוח זה גם מזהה את הסיכון הקשור בכל איום שזוהה, כך שניתן לבצע שיקולי ערך לגבי ההגנה הנדרשת.
ארכיטקטורה
את הארכיטקטורה של האבטחה ניתן כעת להטמיע כדי למזער את הסיכונים שאותרו, ולהגן על נכסים בתוך תחום האבטחה. קונספטים, כגון הגנת עומק ואימות שכבתי, מבטיחים אבטחה חזקה יותר, מכיוון שכל איום נפרד יידרש לחדור דרך מספר אמצעי אבטחה. הגנה שכבתית עבור כל מערכת צריכה לכסות את תכנון המערכת, אתחול, זמן הרצה והפעלה. עבור כל אחד מרכיבים אלה, מערכות צריכות להעמיד ארכיטקטורה של אבטחה אל מול האיומים שזוהו. כפי שמוגדר ב-DO-178C, התכנון כולל את תהליך פיתוח הקוד. ככל שרמת ההגנה הנדרשת גבוהה יותר, כך נדרשת יותר השקעה בתהליך פיתוח הקוד. דרך אחת להפחית סיכון עבור פיתוח קוד הוא להשתמש ברכיבי “מדף” (COTS) כאשר הדבר הגיוני, כגון במערכת ההפעלה (OS). לדוגמא, VxWorks ו-לינוקס של ווינד ריבר מגיעים עם יכולות אבטחה מלאות, המוגדרות בפרופיל באבטחה לשימוש בפיתוח של ארכיטקטורת אבטחה.
כדי להטמיע הגנה שכבתית, אמצעי אבטחה חייבים להתחיל בפעולתם כבר בשלב ההפעלה. בסביבת IT, ההתקפות הקשות ביותר להסרה הן אלה בשלבי האתחול וההפעלה. כאשר החומרה מפעילה את הקושחה, המערכת צריכה להבטיח כי הקושחה לא נפגעה וכי היא מאתחלת אל תוך הסביבה המאובטחת כפי שנדרש. מאחר והדברים קשורים למערכת החומרה, הם כוללים קוסטומיזציה וכן טכנולוגית COTS לאתחול מאובטח. שימוש ב-COTS OS התומכת במנגנוני בטיחות ואבטחה הוא הגיוני גם עבור ארכיטקטורה של זמן ריצה. ניתוח איומי האבטחה צריך להיות עמוק מספיק אל תוך הארכיטקטורה של המערכת כדי להבטיח כי מאפייני ה-OS הנדרשים מופעלים ומוגדרים בהתאם לניתוח, כגון הגנת סיסמא. במצב כיבוי, הגנת נתונים צריכה להתבצע בצורת אחסון מוצפן או טכנולוגיה מתוחכמת למניעת שינויים המוטמעת גם בחומרה וגם בתוכנה.
בחינה
לבסוף, בחינת אבטחה צריכה לחפש אחר פרצות ספציפיות בקוד מערכת ההפעלה ובקושחה, כגון קוד רשת, וכן באפליקציות. בחינה צריכה לכסות מאפיינים רבים של פגיעויות אבטחה כגון חיסיון, שלמות, אימות, זמינות, הרשאות ו-non-repudiation. רמת הבחינה צריכה להיות מזוהה כבר בשלבי תיחום האבטחה והאיומים, וחייבת לכלול תכנית לבחינה נוספת לאורך מחזור חיי המכשיר, גם מבחינת הפתרון הקיים וגם האיומים הבאים.
אחרית דבר
המעבר הבלתי נמנע למטוס מקוון יספק יתרונות רבים למפעילים, יצרנים ונוסעים, אבל היתרונות יתקבלו רק אם שירותים נוספים יוכלו להפוך למאובטחים, ללא פשרה לגבי בטיחות.
