SecurityScorecard’a göre havacılık sektörü geleneksel olarak fiziksel güvenlik tehditlerine odaklanıyor, ancak Boeing’in tedarik zincirindeki risklerle ilgili son ortaya çıkanlar, tedarik zinciri riskini ölçme ve azaltmanın kritik ihtiyacını vurguluyor.
Rapor, dünya çapındaki düzenleyici kurumların havacılık sektörü için siber güvenlik gereksinimlerini artırmasıyla birlikte geldi. ABD Ulaştırma Güvenlik İdaresi Mart 2023’te yeni zorunluluklar getirdi ve AB’nin Uygulama Yönetmeliği 2023/203, havacılık bilgi güvenliği risk yönetimi için yeni bir standart belirleyerek 2026’da yürürlüğe girecek. Havacılık endüstrisi tedarik zinciri siber tehditleriyle boğuşurken, bu risklerin tüm kapsamını ve etkisini anlamak, etkili azaltma stratejileri geliştirmek için çok önemlidir.
Havacılık sektörü siber güvenlikte “B” notu aldı
Havacılık endüstrisi ortalama olarak “B” notu alıyor. Bu başarısız bir not olmasa da önemli farklılıklar mevcut. B notu alan kuruluşların veri ihlallerinin kurbanı olma olasılığı A notu alan kuruluşlara göre 2,9 kat daha fazla.
Özellikle, havacılık sektörüne özgü yazılım ve BT tedarikçileri, 83’lük ortalama puanla en düşük puanı alarak havayolu müşterileri için önemli üçüncü taraf riskleri oluşturuyor. Aynı şekilde, müşteriler de tedarikçileri için üçüncü taraf riskleri oluşturabilir. Örneğin, bu araştırma, havayollarında havacılık ve havacılık tedarikçileri hakkında bilgileri ifşa eden üç yeni ihlal örneği ortaya koydu. Yazılım ve diğer BT ürünleri ve hizmetleri genel olarak tüm sektörlerde üçüncü taraf ihlallerinin %75’ine kadarını mümkün kılıyor.
Örneklemdeki şirketlerin %7’si geçen yıl ihlalleri kamuoyuna bildirdi; %17’sinin geçen yıl en az bir tehlikeye atılmış makineye dair kanıtı vardı. Ayrıca, havayolları, düşük puanlı tedarikçilerdeki güvenlik açıkları nedeniyle üçüncü taraf risklerini artırdıkları için sektör kıyaslamasından %4 daha fazla ihlal yaşadı.
Batı Avrupa ve Avustralya gibi gelişmiş ekonomiler, gelişmekte olan pazarlardan önemli ölçüde daha yüksek puanlarla daha iyi siber güvenlik sonuçları elde ediyor. Çin gibi ülkelerden gelen saldırgan ulus-devlet tehditleri, ileride büyük bir türbülansa işaret ediyor.
Havacılık ve seyahat endüstrisi analistleri ve tüketici yayınlarından en iyi performans sıralamasına sahip havayollarının güvenlik derecelendirmeleri ortalamanın üzerindedir. Bütçeli havayollarının ortalama puanları tam hizmetli havayollarının puanlarıyla hemen hemen aynıdır.
Fidye yazılımı en büyük tehditlerden biridir
Uygulama güvenliği, havacılık kuruluşlarının en düşük puan aldığı en yaygın alandır. Puanlar üzerinde en kötü etkiye sahip olan en yaygın uygulama güvenliği sorunları, yönlendirme zincirlerinde HTTP kullanımı ve oturum çerezlerinde iki temel niteliğin olmamasıdır.
“Güvenli” niteliklerin eksikliği, HTTP bağlantıları üzerinden çerez iletimini mümkün kılar ve saldırganlar tarafından ele geçirilme ve erişim elde etme riski taşır. “HTTPOnly” niteliklerinin eksikliği, JavaScript gibi istemci tarafı betiklerinin bunlara erişmesine izin verir ve saldırganların oturumları ele geçirebileceği siteler arası betik çalıştırma ve diğer saldırıların riskini artırır.
Fidye yazılımı, bu sektöre yönelik saldırıların kamuoyuna duyurulmasında baskın temadır. Havacılık sektörünü aktif olarak hedef alan fidye yazılımı operatörleri arasında BlackCat, LockBit, BianLian ve Dunghill Leak yer almaktadır.
Fiziksel güvenlik sistemleri teknolojisi, havayollarının yer operasyonları etrafındaki kapsamlı fiziksel güvenlik kısıtlamaları ve havacılık donanımlarının hassasiyeti göz önüne alındığında, bu sektör için bir diğer hassas hedeftir. Örneğin, Fransız havacılık üreticisi ve havacılık hizmetleri sağlayıcısı Thales, birkaç başka kuruluşla birlikte, Haziran 2023’te fiziksel erişim kontrol sistemleri tedarikçisi Belçika merkezli Automatic Systems aracılığıyla üçüncü taraf bir veri ihlali yaşadı.
Sektör ve tüketici standartlarına göre sıralanan en iyi performans gösteren havayollarının güvenlik puanları ortalamanın üzerindedir. Bu durum, genel olarak operasyonel mükemmellik ile özel olarak siber güvenlik performansı arasında bir bağlantı olduğunu göstermektedir.
“Havacılık sektörü karmaşık bir ortaklık ağı üzerinde faaliyet gösteriyor, ancak bir şirketin güvenliği yalnızca en zayıf halkası kadar güçlüdür. Araştırmamız, havayollarının üçüncü taraf riskleri konusunda kör uçuş yaptığını gösteriyor. Türbülans bir felakete dönüşmeden önce sektörün kontrolü ele alması ve tüm ekosistemlerinde sağlam güvenlik önlemlerine öncelik vermesinin zamanı geldi,” dedi Tehdit Araştırmaları ve İstihbarat Kıdemli Başkan Yardımcısı Ryan Sherstobitoff.