WYBRANE ASPEKTY CYBERBEZPIECZEŃSTWA W LOTNICTWIE CYWILNYM
##plugins.themes.bootstrap3.article.main##
Abstrakt
Lotnictwo cywilne jest jednym z najważniejszych elementów globalnej infrastruktury transportowej, który odgrywa kluczową rolę w transporcie pasażerów i towarów. Rozwój nowych technologii i aktualne kierunki transformacji cyfrowej sprawiają, że coraz więcej obszarów lotnictwa cywilnego jest krytycznie uzależnionych od bezpiecznego funkcjonowania systemów informatycznych. Zależności te zwiększają ryzyko cyberataków, które mogą prowadzić do poważnych konsekwencji dla sektora lotniczego i bezpieczeństwa pasażerów. W związku z tym, cyberbezpieczeństwo jest jednym z kluczowych wyzwań dla lotnictwa cywilnego oraz stanowi istotne zagadnienie badawcze. Celem artykułu było przedstawienie problematyki cyberbezpieczeństwa w lotnictwie cywilnym, z uwzględnieniem zagrożeń, regulacji prawnych oraz wymagań krajowego systemu cyberbezpieczeństwa RP. Na potrzeby realizacji przyjętego celu wykorzystano analizę i syntezę literatury przedmiotu, aktów prawnych oraz danych statystycznych. Wyniki badań dowodzą, że cyberbezpieczeństwo w lotnictwie cywilnym jest zagadnieniem interdyscyplinarnym, które wymaga podejścia systemowego i uwzględnienia aspektów bezpieczeństwa i ochrony. W artykule zaproponowano klasyfikację zagrożeń dla cyberbezpieczeństwa w lotnictwie cywilnym, która może być rozwijana zarówno w obszarze eksponowanych zagrożeń, jak i dodatkowych kryteriów podziału. Analiza danych statystycznych wykazała, że w ostatnim czasie zwiększyła się ilość naruszeń danych, ataków ransomware i ataków DDoS na lotnictwo cywilne. W związku z rosnącym ryzykiem cyberataków podjęto szereg działań na rzecz cyberbezpieczeństwa. W artykule zaprezentowano ramy prawne cyberbezpieczeństwa w lotnictwie cywilnym, które obejmują regulacje międzynarodowe, regionalne i krajowe. Przy czym, kluczowe są również dokumenty strategiczne, normy, standardy i rozwiązania branżowe. Lotnictwo cywilne jest także elementem krajowego systemu cyberbezpieczeństwa RP, co determinuje konieczność realizacji określonych wymagań przez zaangażowane podmioty.
##plugins.generic.usageStats.downloads##
##plugins.themes.bootstrap3.article.details##
Utwór dostępny jest na licencji Creative Commons Uznanie autorstwa – Użycie niekomercyjne – Bez utworów zależnych 4.0 Międzynarodowe.
Bibliografia
Artykuły i monografie
Bielawski R., Bezpieczeństwo bezzałogowych systemów powietrznych w środowisku zakłóceń, „O Bezpieczeństwie i Obronności” 2019, nr 2.
Cieślak E., Bezpieczeństwo cybernetyczne w lotnictwie cywilnym, „SECRETUM. Służby specjalne, bezpieczeństwo, informacja” 2016, wyd. 2.
Elmarady A.A., Rahouma K., Studying Cybersecurity in Civil Aviation, Including Developing and Applying Aviation Cybersecurity Risk Assessment, „IEEE Access” 2021, nr 9, https://doi.org/10.1109/ACCESS.2021.3121230.
Felski A., Strategie monitorowania zagrożeń systemu EGNOS, [w:] Wybrane aspekty zabezpieczenia nawigacji lotniczej, cz. 2, red. J. Ćwiklak, LAW, Dęblin 2020.
Ishtiaq S., Abd Rahman N.A., Cybersecurity Vulnerabilities and Defence Techniques in Aviation Industry, [w:] International Conference on Integrated Intelligent Computing Communication & Security, Atlantis Press, 2021, https://doi.org/10.2991/ahis.k.210913.071.
Khatun M., Wagner F., Jung R., Glaß M., Identification of Interface related Factors between Safety Management System and Cybersecurity Management System for Highly Automated Driving Vehicles, [w:] Proceedings of the 25th International Conference on Enterprise Information Systems, red. J. Filipe, M. Śmiałek, A. Brodsky, S. Hammoudi, SciTePress, Prague 2023.
Koroniotis N., Moustafa N., Schiliro F., Gauravaram P., Janicke H., A Holistic Review of Cybersecurity and Reliability Perspectives in Smart Airports, „IEEE Access”2020, nr 8, https://doi.org/10.1109/ACCESS.2020.3036728.
Markopoulou D., Papakonstantinou V., Hert P., The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation, „Computer Law & Security Review” 2019, nr 35(6), https://doi.org/10.1016/j.clsr.2019.06.007.
Siergiejczyk M., Dudek E., Problematyka bezpieczeństwa informacyjnego w systemach wymiany danych lotniczych, „Prace Naukowe Politechniki Warszawskiej. Transport” 2017, t. 118.
Surendra Kumar M., Kasbekar G., Maity A., Identification of GPS Spoofing as a Drone Cyber-vulnerability and Evaluation of Efficacy of Asynchronous GPS spoofing, „IFAC-PapersOnLine” 2022, nr 55(22), https://doi.org/10.1016/j.ifacol.2023.03.066.
Szczepaniuk E., Szczepaniuk H., Analysis of cybersecurity competencies: Recommendations for telecommunications policy, „Telecommunications Policy” 2022, nr 46(3), https://doi.org/10.1016/j.telpol.2021.102282.
Szczepaniuk H., Szczepaniuk E., Cybersecurity Management within the Internet of Things,[w:] IoT Security Paradigms and Applications Research and Practices, red. S.K. Sharma, B. Bhushan, N.C. Debnath, Taylor & Francis Group, Boca Raton 2021.
Thums J., Künzel L., Klumpp M., Bardmann M., Ruiner C., Future air transportation and digital work at airports – Review and developments, „Transportation Research Interdisciplinary Perspectives” 2023, nr 19, https://doi.org/10.1016/j.trip.2023.100808.
Tsao K.-Y., Girdler T., Vassilakis V.G., A survey of cyber security threats and solutions for UAV communications and flying ad-hoc networks, „Ad Hoc Networks”2022, nr 133, https://doi.org/10.1016/j.adhoc.2022.102894.
Yu X., Man H., Jiyu X., Impact of Emerging Network Attack and Defense Technologies on Civil Aviation Information Systems, 2021 IEEE 3rd International Conference on Civil Aviation Safety and Information Technology, Changsha, 2021, https://doi.org/10.1109/ICCASIT53235.2021.9633537.
Zeng L., Wang B., Tian J., Wang Z., Threat impact analysis to air traffic control systems through flight delay modeling, „Computers & Industrial Engineering” 2021, nr 162, https://doi.org/10.1016/j.cie.2021.10773.
Zhang R., Liu G., Liu J., Nees P.J., Analysis of Message Attacks in Aviation Data-Link Communication, „IEEE Access” 2018, nr 6, https://doi.org/10.1109/ACCESS.2017.2767059.
Żmigrodzka M., Cybersecurity – One of the Greatest Challenges for Civil Aviation in the 21st Century, „Safety & Defense” 2020, nr 6(2), https://doi.org/10.37105/sd.73.
Akty prawne, normy, standardy i dokumenty strategiczne
„Aviation Cybersecurity Strategy”, ICAO, October 2019.
„CANSO Standard of Excellence in Cybersecurity”, CANSO, 2020.
„Cybersecurity Action Plan”, ICAO, January 2022.
„Dojrzałość w obszarze cyberbezpieczeństwa w sektorze transportu w Polsce. Raport 2022”, Ministerstwo Infrastruktury.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (O.J. EU L 191/1, 19.7.2016).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
(OJ L 333, 27.12.2022).
„IOSA Standards Manual (ISM)”, Edition 16, IATA, 2023.
„Krajowy Program Bezpieczeństwa w Lotnictwie Cywilnym”, Ministerstwo Infrastruktury, Urząd Lotnictwa Cywilnego, Warszawa 2020.
NSC 800-34, „Poradnik Planowania Awaryjnego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2021.
NSC 800-39, „Zarządzanie ryzykiem bezpieczeństwa informacji (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2022.
NSC 800-53, „Zabezpieczenia i ochrona prywatności systemów informatycznych oraz organizacji (wer.2.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2021.
NSC 800-61, „Podręcznik postępowania z incydentami naruszenia bezpieczeństwa
komputerowego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa
NSC 800-82, „Przewodnik w zakresie bezpieczeństwa systemów sterowania przemysłowego (wer.1.0)”, Pełnomocnik Rządu ds. cyberbezpieczeństwa, Warszawa 2022.
PN-EN ISO 22301:2020-04, „Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania”, PKN, Warszawa 2021.
PN-EN ISO 27001:2017-06, „Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania”, PKN, Warszawa 2017.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (PE/2/2018/REV/1).
Rozporządzenie Parlamentu Europejskiego i Rady (WE) Nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (OJ L 97, 9.4.2008).
Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r., poz. 1806).
Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r., poz. 2080).
Rozporządzenie wykonawcze Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego (OJ L 299.1, 2015).
Rozporządzenie Wykonawcze Komisji (UE) 2019/1583 z dnia 25 września 2019 r. zmieniające rozporządzenie wykonawcze (UE) 2015/1998 ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego w odniesieniu do środków w zakresie cyberbezpieczeństwa (OJ L 246, 26.9.2019).
Rozporządzenie wykonawcze Komisji (UE) 2023/203 z dnia 27 października 2022 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 w kwestii wymagań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze w odniesieniu do organizacji objętych zakresem stosowania rozporządzeń Komisji (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373 i (UE) 2021/664 oraz właściwych organów objętych zakresem stosowania rozporządzeń Komisji (UE) nr 748/2012, (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373, (UE) nr 139/2014 i (UE) 2021/664 oraz zmieniające rozporządzenia Komisji (UE) nr 1178/2011, (UE) nr 748/2012, (UE) nr 965/2012, (UE) nr 139/2014, (UE) nr 1321/2014, (UE) 2015/340 oraz rozporządzenia wykonawcze Komisji (UE) 2017/373 i (UE) 2021/664 (OJ L 31, 2.2.2023).
„Strategy for Cybersecurity in Aviation”, First Issue, ESCP, September 2019.
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r., poz. 1560).
Załącznik 17 do Konwencji o międzynarodowym lotnictwie cywilnym, „Ochrona międzynarodowego lotnictwa cywilnego przed Aktami Bezprawnej Ingerencji”, ICAO, marzec 2020.
Źródła internetowe
Aircraft cybersecurity, RMT.0648, Issue 1, EASA, 2016, https://www.easa.europa.eu/en/document-library/terms-of-reference-and-group-compositions/tor-rmt0648.
Alqushayri D.F., Cybersecurity Vulnerability Analysis and Countermeasures of CommercialAircraft Avionic Systems, https://commons.erau.edu/cgi/viewcontent.cgi?article=1519&context=edt.
ATM Cybersecurity Maturity Model Level 1, EUROCONTROL, 2017, https://www.eurocontrol.int/publication/atm-cybersecurity-maturity-model.
Cybersecurity Culture in Civil Aviation, ICAO, January 2022, https://www.icao.int/aviationcybersecurity/Documents/Cybersecurity%20Culture%20in%20Civil%20Aviation.EN.pdf.
Cybersecurity risks, Issue 1, RMT.0720, EASA, https://www.easa.europa.eu/en/document-library/terms-of-reference-and-group-compositions/tor-rmt0720.
HablerE. , BittonR. , Shabtai A., Evaluating the Security of Aircraft Systems, https://arxiv.org/pdf/2209.04028.pdf.
EATM-CERT Aviation Cyber Events Map, https://www.google.com/maps/d/embed?mid=1ptVIma0CZqoPiN-zsomzbRVQDRS7BXGk.
ENISA Transport Threat Landscape, European Union Agency for Cybersecurity, 2023, https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape.
Handler S., Schroeder E., Schroeder F., Herr T., Countering Ransomware: Lesson from Aircraft Hijacking, https://www.jstor.org/stable/pdf/resrep35077.pdf.
Resolution A41-19: Addressing Cybersecurity in Civil Aviation, ICAO, https://www.icao.int/aviationcybersecurity/Documents/A41-19.pdf.
Think Paper #12: Aviation under attack: Faced with a rising tide of cybercrime, is our industry resilient enough to cope?, EUROCONTROL EATM-CERT Services, 2021, https://www.eurocontrol.int/sites/default/files/2021-07/eurocontrol-think-paper-12-aviation-under-cyber-attack.pdf.