Hoe sterk is de beveiliging van de controlesystemen van vliegtuigen?

De Government Accountability Office (GAO) van de Verenigde Staten heeft een onderzoek uitgevoerd naar de vernieuwing van Air Traffic Control (ATC) systemen door de Federal Aviation Administration (FAA). In dit onderzoek is een aantal risicoscenario’s geïdentificeerd welke theoretisch kunnen leiden tot ongeautoriseerd gebruik van controlesystemen binnen vliegtuigen. Hoe zit dat precies?

De Amerikaanse luchtvaartorganisatie is sinds 2004 bezig met het vernieuwen van de communicatiestromen binnen het Air Traffic Control domein. Tot dit domein behoort alle communicatie tussen verschillende locaties van de verkeersvluchtleiding, radarsystemen en de communicatie tussen het vliegtuig en de grond. Door vernieuwing van deze netwerken worden vliegtuigen beter begeleid door het luchtruim binnen veranderende omstandigheden en is de piloot beter op de hoogte van weersomstandigheden en andere relevante zaken.

Nieuw netwerk maakt gebruik van IP networking

In de oude situatie binnen de ATC-netwerken waren systemen voornamelijk met elkaar verbonden door gebruik te maken van directe links tussen systemen. Daarnaast was een groot deel van dit netwerk gescheiden van het internet, waardoor het moeilijk was van buitenaf het netwerk in te komen. Het nieuwe netwerk daarentegen maakt gebruik van IP networking, waarop ook het internet is gebaseerd, om te kunnen communiceren binnen de FAA en met derde partijen. Dit betekent dat systemen die op zichzelf relatief weinig security maatregelen bevatten opeens vanaf een groot aantal andere – en mogelijk zelfs externe – systemen benaderbaar zijn. Dit is een trend die zich jaren geleden al binnen de telecommunicatiesector heeft voltrokken en zich nu ook aftekent binnen industriële systemen.

Focus op cyber security van deze systemen

Binnen de vliegtuigen zelf ziet de GAO ook dat steeds meer IP connectiviteit wordt gebruikt. Dit betekent in de praktijk dat het netwerk van de avionics (vliegtuigsystemen waarmee het toestel wordt bestuurd) zich in hetzelfde netwerk bevindt als bijvoorbeeld internet in het vliegtuig voor passagiers. Avionics-systemen zijn een goed voorbeeld van systemen die ontworpen zijn om in een geïsoleerde omgeving te werken. Omdat dit altijd het geval is geweest zal de focus op security bij deze systemen niet altijd optimaal zijn geweest.

Scheiding WiFi-netwerk passagiers en netwerk avionics

Het WiFi-netwerk waarvan de passagiers gebruik maken is in de meeste gevallen slechts door een firewall gescheiden van de avionics. Omdat de firewall slechts een stuk software is, is het mogelijk dat avionics via het WiFi-netwerk beïnvloed worden via eventuele kwetsbaarheden, zo beredeneert het GAO. Daarnaast is het gehele netwerk aangesloten op het internet en zou het beïnvloeden van de avionics theoretisch ook mogelijk kunnen zijn vanaf het internet.

Betekent dit dan dat we nu direct bang moeten zijn bij iedere vlucht? In principe niet, maar uitsluiten kan je het niet. Dagelijks worden meer dan 100.000 commerciële passagiersvluchten uitgevoerd. Om daadwerkelijk misbruik te kunnen maken van de geïdentificeerde risicoscenario’s moet een aanvaller eerst een kwetsbaarheid zien te vinden in de gebruikte firewall voordat hij de avionics mogelijk zou kunnen manipuleren.

Omdat deze scenario’s ondertussen bekend zijn gemaakt dienen luchtvaartmaatschappijen tijdig de security van het vliegtuigsystemen te verifiëren op (bekende) kwetsbaarheden. Bijvoorbeeld door de avionics fysiek gescheiden te houden van het netwerk waar de passagiers gebruik van maken. De praktijk leert echter dat in andere bedrijfstakken, waar goede beveiliging ook van cruciaal belang is, altijd achterblijvers bestaan met het oplossen van reeds bekende kwetsbaarheden. Door hier scherp op te zijn en te blijven kunnen passagiers met een gerust hart gebruik maken van het internet in het vliegtuig en al vanuit de lucht de tijd van arriveren doorgeven aan degene die op hen wacht op de luchthaven.

Dit artikel is geschreven door Ivo Noppen van Deloitte.