Departament Bezpieczeństwa Wewnętrznego USA (DHS) ogłosił, że był w stanie włamać się do systemów wewnętrznych samolotu, stojącego na pasie startowym. Na stronie internetowej "Defense Daily Network" przeczytać można, że eksperci korzystali tylko i wyłącznie z narzędzi, które nie wzbudziłyby podejrzeń w trakcie rutynowej kontroli bezpieczeństwa na lotnisku. Do przeprowadzenia ataku nie był też konieczny fizyczny dostęp do systemów samolotu, ani współpraca z jakąkolwiek "wtyczką". Szczegóły dotyczące ataku oraz jego zakres są trzymane w ścisłej tajemnicy. Ujawniono jedynie informację, że istotną rolę w uzyskaniu dostępu do systemów samolotu odegrała komunikacja radiowa. Do eksperymentu wykorzystano wyjątkowo popularny model samolotu – Boeing 757.
Brak modyfikacji — to błąd?
Oprogramowanie instalowane w samolotach jest rzadko modyfikowane, ponieważ każdy element wchodzący w jego skład wymaga odpowiedniej certyfikacji przed zastosowaniem w samolocie. Podobnie jak w przypadku sprzętu medycznego – ten proces jest bardzo czasochłonny i kosztowny. Z tego powodu wszelkie większe modyfikacje wprowadzane są "hurtowo”, by zaoszczędzić na wielokrotnej certyfikacji przy każdej, nawet drobnej zmianie. Czasem, pod warunkiem uzasadnienia kosztów, samolot może zostać wyposażony w zupełnie nowy pakiet oprogramowania w ramach przeglądu. Użyte pakiety są jednak z reguły instalowane w niezmodyfikowanej formie – takiej, w jakiej zostały dostarczone.
Sprawdzone rozwiązania
Niektóre systemy i programy wykorzystywane w samolotach komercyjnych mają dziesięć lub więcej lat. Gdy wsiadasz do samolotu, bardzo prawdopodobne jest, że oprogramowanie, które nim steruje, jest dużo starsze niż to, które zainstalowałeś na swoim smartphonie. Jakkolwiek dramatycznie to brzmi, nie ma w takim rozwiązaniu nic strasznego.
Oświadczenie wydane przez rzecznika zaatakowanego Boeinga, pokazała, że firma traktuje informacje uzyskane przez grupę ekspertów za cenne, jednak o niskiej przydatności praktycznej. Prawdą bowiem jest, że ten typ ataku wymaga specjalistycznej wiedzy, do której przeciętny człowiek nie ma dostępu. Z tego powodu odkrycia specjalistów nie potraktowano jako powszechnego zagrożenia bezpieczeństwa.
Co dalej?
Systemy IT i sieci w samolotach pasażerskich bardzo różnią się od „normalnych” komputerów oraz od znanej nam infrastruktury sieciowej. Naprawianie jakichkolwiek luk w oprogramowaniu dla przemysłu lotniczego to niezwykle skomplikowane zadanie, a przede wszystkim, procedura ta kosztuje majątek. Według jednego z członków zespołu DHS naprawa jednej linijki kodu w takim programie może kosztować od miliona dolarów wzwyż, a jej uwzględnienie w produkcji może trwać latami. Do tego należałoby doliczyć koszt kolejnego skutku wymiany oprogramowania - każdej godziny uziemienia samolotu, która jest dla operatorów stratą pieniędzy. Rozkład lotów poszczególnych maszyn jest z reguły ustalany z wielotygodniowym wyprzedzeniem. Gdy dany samolot przechodzi sześciotygodniowy przegląd generalny (inaczej „D Check”), z reguły tego samego dnia, w którym wspomniany przegląd dobiegnie końca, wyrusza on w pierwszy lot. Z tego powodu koszty ponoszone przez producentów i operatorów w związku z naprawą jakichkolwiek usterek szybko nawarstwiają się i osiągają niewyobrażalne wartości.
Nowe stare wyzwania
Dobra wiadomość jest taka, że produkcja nowoczesnych systemów i nowego typu maszyn uwzględnia zwiększony poziom zabezpieczeń (także w zakresie IT). Zmiany te często jednak nie wnoszą niczego nowego dla starszych samolotów, chyba że przejdą one kompletną modyfikację, co jest możliwe wyłącznie, jeśli operator jest w stanie znaleźć ekonomiczne uzasadnienie. Większość samolotów latających obecnie po niebie ma co najmniej kilka lat. Samolot pasażerski jest często w aktywnej eksploatacji przez 15 do 20 lat, a czasem i dłużej. - Przemysł lotniczy staje obecnie w obliczu wyzwania, które dotyczy także innych sektorów: trzeba znaleźć sposób na zabezpieczenie systemu, który opracowano w czasach, gdy nikt jeszcze nie zdawał sobie sprawy, że nastanie chwila, w której każdy będzie miał dostęp do narzędzi mogących narazić ten system na poważne niebezpieczeństwo - tłumaczy Robert Dziemianko z firmy G DATA, która od ponad 30 lat dostarcza na rynek oprogramowanie antywirusowe.
Do rozważenia pozostaje jedna kwestia, która niektórych z pewnością uspokoi: mimo że obecnie samoloty są niemal w pełni zautomatyzowane, za ich sterami wciąż zasiadają odpowiednio wykwalifikowani piloci, do których należy ostatnie słowo.