SELECTED ASPECTS OF CYBERSECURITY IN CIVIL AVIATION
Main Article Content
Abstract
Civil aviation is one of the most important elements of the global transport infrastructure, which plays a crucial role in transporting passengers and goods. The development of new technologies and current directions in digital transformation mean that an increasing number of areas within civil aviation are critically dependent on the secure functioning of computer systems. These dependencies increase the risk of cyberattacks, which can lead to serious consequences for the aviation sector and passenger safety. Therefore, cybersecurity is one of the significant challenges for civil aviation and is an important research topic. The article aims to present the issues of cybersecurity in civil aviation, taking into account the threats, legal framework, and requirements of the national cybersecurity system of the Republic of Poland. In order to achieve the adopted research objective, the analysis and synthesis of the literature on the subject, legal acts, and statistical data were used. The research results prove that cybersecurity in civil aviation is an interdisciplinary issue that requires a systemic approach and considers both safety and security aspects. The article proposes a classification of threats to cybersecurity in civil aviation, which can be developed both in the area of exposed threats and additional division criteria. Statistical data analysis has shown that recently there has been an increase in the number of data breaches, ransomware attacks, and DDoS attacks on civil aviation. Due to the growing risk of cyberattacks, a number of cybersecurity measures have been taken. The paper presents the legal framework of cybersecurity in civil aviation, which includes international, regional, and national regulations. Strategic documents, norms, standards, and industry solutions are also of key importance. Civil aviation is also an element of the national cybersecurity system of the Republic of Poland, which determines the need to meet specific requirements by the entities involved.
Downloads
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
References
Artykuły i monografie
Bielawski R., Bezpieczeństwo bezzałogowych systemów powietrznych w środowisku zakłóceń, „O Bezpieczeństwie i Obronności” 2019, nr 2.
Cieślak E., Bezpieczeństwo cybernetyczne w lotnictwie cywilnym, „SECRETUM. Służby specjalne, bezpieczeństwo, informacja” 2016, wyd. 2.
Elmarady A.A., Rahouma K., Studying Cybersecurity in Civil Aviation, Including Developing and Applying Aviation Cybersecurity Risk Assessment, „IEEE Access” 2021, nr 9, https://doi.org/10.1109/ACCESS.2021.3121230.
Felski A., Strategie monitorowania zagrożeń systemu EGNOS, [w:] Wybrane aspekty zabezpieczenia nawigacji lotniczej, cz. 2, red. J. Ćwiklak, LAW, Dęblin 2020.
Ishtiaq S., Abd Rahman N.A., Cybersecurity Vulnerabilities and Defence Techniques in Aviation Industry, [w:] International Conference on Integrated Intelligent Computing Communication & Security, Atlantis Press, 2021, https://doi.org/10.2991/ahis.k.210913.071.
Khatun M., Wagner F., Jung R., Glaß M., Identification of Interface related Factors between Safety Management System and Cybersecurity Management System for Highly Automated Driving Vehicles, [w:] Proceedings of the 25th International Conference on Enterprise Information Systems, red. J. Filipe, M. Śmiałek, A. Brodsky, S. Hammoudi, SciTePress, Prague 2023.
Koroniotis N., Moustafa N., Schiliro F., Gauravaram P., Janicke H., A Holistic Review of Cybersecurity and Reliability Perspectives in Smart Airports, „IEEE Access”2020, nr 8, https://doi.org/10.1109/ACCESS.2020.3036728.
Markopoulou D., Papakonstantinou V., Hert P., The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation, „Computer Law & Security Review” 2019, nr 35(6), https://doi.org/10.1016/j.clsr.2019.06.007.
Siergiejczyk M., Dudek E., Problematyka bezpieczeństwa informacyjnego w systemach wymiany danych lotniczych, „Prace Naukowe Politechniki Warszawskiej. Transport” 2017, t. 118.
Surendra Kumar M., Kasbekar G., Maity A., Identification of GPS Spoofing as a Drone Cyber-vulnerability and Evaluation of Efficacy of Asynchronous GPS spoofing, „IFAC-PapersOnLine” 2022, nr 55(22), https://doi.org/10.1016/j.ifacol.2023.03.066.
Szczepaniuk E., Szczepaniuk H., Analysis of cybersecurity competencies: Recommendations for telecommunications policy, „Telecommunications Policy” 2022, nr 46(3), https://doi.org/10.1016/j.telpol.2021.102282.
Szczepaniuk H., Szczepaniuk E., Cybersecurity Management within the Internet of Things,[w:] IoT Security Paradigms and Applications Research and Practices, red. S.K. Sharma, B. Bhushan, N.C. Debnath, Taylor & Francis Group, Boca Raton 2021.
Thums J., Künzel L., Klumpp M., Bardmann M., Ruiner C., Future air transportation and digital work at airports – Review and developments, „Transportation Research Interdisciplinary Perspectives” 2023, nr 19, https://doi.org/10.1016/j.trip.2023.100808.
Tsao K.-Y., Girdler T., Vassilakis V.G., A survey of cyber security threats and solutions for UAV communications and flying ad-hoc networks, „Ad Hoc Networks”2022, nr 133, https://doi.org/10.1016/j.adhoc.2022.102894.
Yu X., Man H., Jiyu X., Impact of Emerging Network Attack and Defense Technologies on Civil Aviation Information Systems, 2021 IEEE 3rd International Conference on Civil Aviation Safety and Information Technology, Changsha, 2021, https://doi.org/10.1109/ICCASIT53235.2021.9633537.
Zeng L., Wang B., Tian J., Wang Z., Threat impact analysis to air traffic control systems through flight delay modeling, „Computers & Industrial Engineering” 2021, nr 162, https://doi.org/10.1016/j.cie.2021.10773.
Zhang R., Liu G., Liu J., Nees P.J., Analysis of Message Attacks in Aviation Data-Link Communication, „IEEE Access” 2018, nr 6, https://doi.org/10.1109/ACCESS.2017.2767059.
Żmigrodzka M., Cybersecurity – One of the Greatest Challenges for Civil Aviation in the 21st Century, „Safety & Defense” 2020, nr 6(2), https://doi.org/10.37105/sd.73.
Akty prawne, normy, standardy i dokumenty strategiczne
„Aviation Cybersecurity Strategy”, ICAO, October 2019.
„CANSO Standard of Excellence in Cybersecurity”, CANSO, 2020.
„Cybersecurity Action Plan”, ICAO, January 2022.
„Dojrzałość w obszarze cyberbezpieczeństwa w sektorze transportu w Polsce. Raport 2022”, Ministerstwo Infrastruktury.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (O.J. EU L 191/1, 19.7.2016).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
(OJ L 333, 27.12.2022).
„IOSA Standards Manual (ISM)”, Edition 16, IATA, 2023.
„Krajowy Program Bezpieczeństwa w Lotnictwie Cywilnym”, Ministerstwo Infrastruktury, Urząd Lotnictwa Cywilnego, Warszawa 2020.
NSC 800-34, „Poradnik Planowania Awaryjnego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2021.
NSC 800-39, „Zarządzanie ryzykiem bezpieczeństwa informacji (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2022.
NSC 800-53, „Zabezpieczenia i ochrona prywatności systemów informatycznych oraz organizacji (wer.2.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2021.
NSC 800-61, „Podręcznik postępowania z incydentami naruszenia bezpieczeństwa
komputerowego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa
NSC 800-82, „Przewodnik w zakresie bezpieczeństwa systemów sterowania przemysłowego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2022.
PN-EN ISO 22301:2020-04, „Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania”, PKN, Warszawa 2021.
PN-EN ISO 27001:2017-06, „Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania”, PKN, Warszawa 2017.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (PE/2/2018/REV/1).
Rozporządzenie Parlamentu Europejskiego i Rady (WE) Nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (OJ L 97, 9.4.2008).
Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r., poz. 1806).
Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r., poz. 2080).
Rozporządzenie wykonawcze Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego (OJ L 299.1, 2015).
Rozporządzenie Wykonawcze Komisji (UE) 2019/1583 z dnia 25 września 2019 r. zmieniające rozporządzenie wykonawcze (UE) 2015/1998 ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego w odniesieniu do środków w zakresie cyberbezpieczeństwa (OJ L 246, 26.9.2019).
Rozporządzenie wykonawcze Komisji (UE) 2023/203 z dnia 27 października 2022 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 w kwestii wymagań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze w odniesieniu do organizacji objętych zakresem stosowania rozporządzeń Komisji (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373 i (UE) 2021/664 oraz właściwych organów objętych zakresem stosowania rozporządzeń Komisji (UE) nr 748/2012, (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373, (UE) nr 139/2014 i (UE) 2021/664 oraz zmieniające rozporządzenia Komisji (UE) nr 1178/2011, (UE) nr 748/2012, (UE) nr 965/2012, (UE) nr 139/2014, (UE) nr 1321/2014, (UE) 2015/340 oraz rozporządzenia wykonawcze Komisji (UE) 2017/373 i (UE) 2021/664 (OJ L 31, 2.2.2023).
„Strategy for Cybersecurity in Aviation”, First Issue, ESCP, September 2019.
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r., poz. 1560).
Załącznik 17 do Konwencji o międzynarodowym lotnictwie cywilnym, „Ochrona międzynarodowego lotnictwa cywilnego przed Aktami Bezprawnej Ingerencji”, ICAO, marzec 2020.
Źródła internetowe
Aircraft cybersecurity, RMT.0648, Issue 1, EASA, 2016, https://www.easa.europa.eu/en/document-library/terms-of-reference-and-group-compositions/tor-rmt0648.
Alqushayri D.F., Cybersecurity Vulnerability Analysis and Countermeasures of CommercialAircraft Avionic Systems, https://commons.erau.edu/cgi/viewcontent.cgi?article=1519&context=edt.
ATM Cybersecurity Maturity Model Level 1, EUROCONTROL, 2017, https://www.eurocontrol.int/publication/atm-cybersecurity-maturity-model.
Cybersecurity Culture in Civil Aviation, ICAO, January 2022, https://www.icao.int/aviationcybersecurity/Documents/Cybersecurity%20Culture%20in%20Civil%20Aviation.EN.pdf.
Cybersecurity risks, Issue 1, RMT.0720, EASA, https://www.easa.europa.eu/en/document-library/terms-of-reference-and-group-compositions/tor-rmt0720.
HablerE. , BittonR. , Shabtai A., Evaluating the Security of Aircraft Systems, https://arxiv.org/pdf/2209.04028.pdf.
EATM-CERT Aviation Cyber Events Map, https://www.google.com/maps/d/embed?mid=1ptVIma0CZqoPiN-zsomzbRVQDRS7BXGk.
ENISA Transport Threat Landscape, European Union Agency for Cybersecurity, 2023, https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape.
Handler S., Schroeder E., Schroeder F., Herr T., Countering Ransomware: Lesson from Aircraft Hijacking, https://www.jstor.org/stable/pdf/resrep35077.pdf.
Resolution A41-19: Addressing Cybersecurity in Civil Aviation, ICAO, https://www.icao.int/aviationcybersecurity/Documents/A41-19.pdf.
Think Paper #12: Aviation under attack: Faced with a rising tide of cybercrime, is our industry resilient enough to cope?, EUROCONTROL EATM-CERT Services, 2021, https://www.eurocontrol.int/sites/default/files/2021-07/eurocontrol-think-paper-12-aviation-under-cyber-attack.pdf.