Kritik Altyapı Güvenliği, Standartlar, Düzenlemeler ve Uyumluluk
Federal Havacılık İdaresi Uçaklar İçin Yeni Siber Kurallar Hakkında Halkın Görüşünü Arıyor
Chris Riotta (@chrisriotta) •
21 Ağustos 2024
Uçaklar da kara taşımacılığındaki muadillerinden farklı değil: Bunlar, iç ağlarla birbirine bağlanan ve dijital ekranlara sahip kontrol üniteleriyle donatılmış, giderek daha fazla hareket edebilen bilgisayarlar.
Ayrıca bakınız: Siber Güvenlik Trendleri Raporu 2020: Bangladeş
ABD Federal Havacılık İdaresi’nin Çarşamba günü attığı düzenleyici bir adım, siber güvenliği uçuşa elverişlilik sertifikasyonunun bir bileşeni haline getirmeyi amaçlıyor; ancak kurum ve uzmanlar, bunun sonucunda uçak siber güvenliğinin özünde çok az şey değişeceğini söylüyor.
Önerilen kural, bir uçağın uçmaya uygun olup olmadığının belirlenmesinde siber güvenlik sağlamlığını resmi bir unsur haline getirecek.
Güvenlik firması RunSafe Security’nin CEO’su ve kurucusu Joseph Saunders, yeni düzenlemenin “harika bir adım” olduğunu ancak bilinmeyen güvenlik açıklarına karşı korumada “yeterince ileri gitmediğini” söyledi. Saunders, siber güvenlik gereksinimlerinin şu anda üretici ve operatörün, uçuşa elverişliliği etkileyen gelecekteki yazılım güvenlik açıklarını gidermek için uçağı ne zaman güncelleyeceklerine birlikte karar vermeleri için bir süreçten yoksun olduğunu söyledi.
“Geçici cıvatalar veya arızalı sensörlerden farklı olarak, siber saldırılar, tüm bir filoyu anında yere serebilecek büyük ölçekli, uzaktan sabotaj saldırısı potansiyeli taşıyor” dedi.
FAA, 2009’da uygulamaya başladığı “aynı esaslı gereklilikleri” değiştirmeyi düşünmediğini söyledi. Bir uçağı hacklemek – uçuş ekiplerinin uçakları güvenli bir şekilde havada tutmak için kullandıkları gerçek aviyonikler – kolay bir iş değil.
2015’te bir araştırmacı, yerleşik eğlence sistemi aracılığıyla bir United uçağının kontrolünü kısa süreliğine ele geçirdiğini iddia etti – ancak gerçekten ele geçirip geçirmediği belli değil. Rapid7 araştırmacısının 2019 tarihli bir makalesinde, bir uçağın kablolarına fiziksel erişimi olan bir bilgisayar korsanının, motor durumu, irtifa ve hava hızı gibi yanlış telemetri verilerini görüntüleyecek bir cihaz takabileceği belirtiliyor. “Bu cihaz okumalarına güvenen bir pilot, yanlış veriler ile gerçek okumalar arasındaki farkı söyleyemez, bu nedenle bu, acil inişe veya etkilenen uçağın kontrolünün felaketle kaybedilmesine neden olabilir,” diye yazdı araştırmacı.
Hükümet Hesap Verebilirlik Ofisi uzun zamandır FAA’ya uçaklar için siber güvenlik denetimini güçlendirmesi çağrısında bulunuyor ve 2020’de “FAA denetimi önceliklendirmezse gelişen siber tehditler ve uçaklar ile diğer sistemler arasındaki artan bağlantının gelecekteki uçuş güvenliğini riske atabileceği” uyarısında bulunuyordu.
FAA, Federal Sicil’e yayımladığı bir bildiride, önerilen kuralların siber güvenlik tehditlerini ele alma kriterlerini “mevcut özel koşullar tarafından sağlanan aynı güvenlik seviyesini korurken” standartlaştırmayı amaçladığını söyledi. Önemli paydaşların yeni kurallar hakkında kamuoyuna yorum yapmaları için 21 Ekim’e kadar süreleri var.