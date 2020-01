Scheepsgigant Maersk leed in 2017 bijna een half miljard dollar aan verliezen toen het werd geïnfecteerd door de NotPetya sabotageware. Maersk was niet eens een doelwit van die aanval. Zou hetzelfde kunnen gebeuren in de luchtvaart?

In de luchtvaartsector begint het besef door te dringen dat dat inderdaad zou kunnen. Bij de Maersk-aanval werd het bedrijf geraakt, niet de schepen. Maar zoals veiligheidsonderzoeker Chris Kubeka onlangs meldde, strekken de cybersecurity-risico's in de luchtvaart zich uit tot vliegtuigen in de lucht.

Moderne vliegtuigen zijn "vliegende datacenters" die de hele wereld rondreizen, maar de luchtvaartindustrie begrijpt niet goed hoe ze passagiers moet beschermen tegen cybersecurity-risico's, volgens een nieuw rapport van de Atlantische Raad over cybersecurity in de luchtvaart.

Zonder het risico volledig te begrijpen, zonder de technische expertise om dat risico te beperken, en zonder voldoende financiële of regelgevende stimulansen om dat te doen, struikelt de industrie de toekomst in en hoopt ze dat er niets ergs gebeurt terwijl ze de materie probeert te doorgronden..

Terwijl de luchtvaartindustrie onvoorbereid lijkt om deze uitdaging aan te gaan, biedt het nieuwe verslag inzicht in wat de obstakels zijn..

Risico's en beloningen van digitalisatie

De luchtvaartindustrie heeft een sprong voorwaarts gemaakt ten opzichte van security om de efficiencywinst te oogsten die de snelle digitalisering met zich meebrengt, en kijkt nu over haar schouder mee om te beseffen dat beveiligingsproblemen op elk moment weer kunnen opduiken, met gevolgen die variëren van verstoring van terrestrische systemen, tot malware-infecties van vliegtuigen, of zelfs - aan het uiterst onwaarschijnlijke einde van het spectrum - een massabreuk die honderden of duizenden vliegtuigen in één klap treft.

Een luddiet zou kunnen zeggen dat het verlaten van analoog een vergissing was. Maar de efficiencywinst die de overstap naar digitaal oplevert, mag niet worden onderschat, vertelt Pete Cooper, een cybersecurity-deskundige bij de Atlantische Raad. Hij wijst erop dat de veiligheid van vliegtuigen is verbeterd met meer granulaire gegevensverzameling. "Als de gegevens van een systeem bijvoorbeeld ertoe leiden dat je het onderhoud doet op basis van de werkelijke levensduur en niet op basis van willekeurige data/tijden, kan het de technische uitvaltijd drastisch verminderen", zegt hij. "Bovendien, als die systeemgegevens plotseling een hoge mate van slijtage vertonen (bijvoorbeeld), dan betekent dit dat ze in een vroeg stadium kunnen worden binnengebracht voor controle op basis van de conditie".

Een verhoogde gegevensverzameling leidt ook tot efficiëntere vliegroutes, kortere vliegtijden, een lager brandstofverbruik en een lagere CO2-uitstoot, zo zegt hij.

De keerzijde van de medaille is echter het risico van een catastrofaal cybersecurityincident. In tegenstelling tot analoge veiligheidskwesties, zoals een versleten onderdeel of een gebrekkige procedure die leidt tot een fout van de piloot, schalen veiligheidskwesties, zoals corrupte software, zich op. Er is slechts één enkele kwetsbaarheid nodig voor een andere Petya of NotPetya om dat te laten gebeuren.

Veiligheid vs. beveiliging

Vliegen blijft een van de veiligste manieren om te reizen en dat is voor een groot deel te danken aan de voortdurende inspanningen om de veiligheid in de luchtvaart te verbeteren. De culturele normen in de luchtvaart hebben een klokkenluiderscultuur beloond en gestimuleerd, waarbij de laagste monteur een rode vlag kan gooien en een jet kan verbieden om op te stijgen als hij een potentieel veiligheidsprobleem opmerkt.

Dit in tegenstelling tot de vaak beladen kwestie van het melden van veiligheidslekken, waar schaamte en vingerwijzing de norm zijn. Het rapport benadrukt het probleem en schrijft: "In een groot deel van het cybersecurity-landschap blijft er aantoonbaar een stigma bestaan over het bespreken van cybersecurity-kwetsbaarheden en uitdagingen die verder gaan dan het managen van gevoelige kwetsbaarheden."

Een worm-exploit of een backdoored software-update - zoals de backdoored MeDoc software-update waarmee de Petya-worm is begonnen - kan veiligheidsproblemen op grote schaal veroorzaken. Het is onduidelijk of het traditionele veiligheidsdenken van de luchtvaartindustrie voldoende is om deze uitdaging aan te gaan.

Het rapport roept bijvoorbeeld op tot een betere uitwisseling van informatie over cybersecurity-dreigingen in de luchtvaart, erkent het risico van een Maersk-achtig scenario en stelt vast dat "andere sectoren de schaal en de kosten van één enkele kwetsbaarheid en 'wormbare' exploit hebben gezien". Gezien het kritieke karakter van de sector, in combinatie met verstoringen die snel zouden kunnen optreden, moet er nog veel worden gedaan om het veiligheidslandschap van de luchtvaart te begrijpen.

In het verslag wordt er ook op gewezen dat men zich er steeds meer van bewust wordt dat er behoefte is aan betrouwbare veiligheidsonderzoekers (white hats), maar dat het uitzoeken hoe men daarmee om moet gaan, tot enige consternatie in de sector leidt. "Er was sterke overeenstemming over het feit dat security-onderzoekers die ter goeder trouw zijn een positieve zaak waren voor de luchtvaartindustrie, maar de perspectieven op begeleiding, juridische duidelijkheid en het gemak van de onthulling van de kwetsbaarheid blijven allemaal onduidelijk of moeilijk te sturen," merkt het rapport op.

En dat maakt dat we voorlopig onze seatbelts vastgeklikt houden in afwachting van mogelijk sterke turbulentie.