Sustav kontrole zračnog prometa prenosi podatke putem Interneta. Sustav kontrole zračnog prometa ima niz komponenata, od kojih neke prenose informacije putem Interneta. Prema Pregledu sigurnosti web-aplikacija i otkrivanju provale u sustavima kontrole zračnog prometa, Ured generalnog inspektora, DoT,

..Federalna zrakoplovna uprava (FAA) sve je češće okrenuo se upotrebi komercijalnog softvera i tehnologija temeljenih na internetskom protokolu (IP) za modernizaciju ATC sustava.

Imajte na umu da ATC nije izravno povezan s internetom. Preko interneta se preusmjeravaju veze iza scene. Prema sigurnosnom stručnjaku,

... kada većina menadžera kaže da nema veze s Internetom, nisu svjesni veza za održavanje. Iza kulisa postoje gotovo uvijek poluizravne veze putem usmjerivača koji se dijele između kontrolnog sustava i poslovnih sustava koji se mogu iskoristiti

Zapravo, uporaba interneta za razmjenu informacija se povećava. FAA-ina modernizacija NextGEN uključuje značajnu količinu prijenosa informacija putem Interneta. Prema američkom Vladinom uredu za odgovornost,

NextGen je napor modernizacije započet 2004. godine od strane FAA kako bi se nacionalni zemaljski ATC sustav transformirao u sustav koji koristi satelitske temeljena navigacija i druga napredna tehnologija. ... Te će nove tehnologije za komunikaciju koristiti mrežu zasnovanu na internetskom protokolu (IP).

Slika s GAO-a izvještaj o kontroli zračnog prometa

Ova sve veća povezanost s internetom povećava povezane rizike. Iz istog izvješća GAO:

... prelazak na NextGen tehnologije zahtijevat će da FAA zamijeni svoje vlasničke, relativno izolirane ATC računalne sustave informacijskim sustavima koji međusobno djeluju i dijele podatke tijekom FAA-inih operacija i onih njezinih zrakoplovnih partnera. ... Ovi novi sustavi ... također će upotrijebiti digitalne i internetske tehnologije računalnih mreža, izlažući sustav kontrole zračnog prometa (ATC) novim rizicima kibernetske sigurnosti.

Zašto ATC je povezan s internetom, u osnovi se svodi radi lakšeg rada. Prema [NATS], koji upravlja zračnim prostorom Velike Britanije,

Mi ... sada radimo po cijelom svijetu u industriji u kojoj su sustavi povezani među organizacijama, zemljama i kontinentima.

Takav međusobno povezan svjetski sustav zahtijeva standardnu ​​platformu, koja neće biti moguća (ili je barem vrlo teško održavati) ako se koristi zatvorena zaštićena platforma.

Dakle, ATC koristi internet, iako je to uglavnom za prijenos informacija. Međutim, nisam upoznat sa sigurnosnim sustavima, iako možemo biti sigurni da oni imaju neku vrstu šifriranja (ako sam u pravu, Lockheed Martin isporučuje softver) i imaju zaštitne zidove za zaštitu sustava.

Iznenadili biste se što je povezano s internetom. Ja sam savjetnik za informacijsku sigurnost više od desetljeća i svaki put kad pomislim da sam vidio sve vidim nove razine gluposti. Ne bih očekivao da će ATC sustavi biti izravno dostupni s interneta, jer je to vrlo loša ideja, ali ne bih se iznenadio kad bi se otkrilo da je netko bio dovoljno glup da to učini.

Međutim, ne morate imati sustave izravno povezane s internetom da bi bili ranjivi na napade, zapravo uopće ne moraju biti povezani. Napadači idu za zaštićenim ciljevima stječući uporište na internetskim sustavima i koristeći ih kao odskočne točke za druge sustave. Napadač može biti jedna osoba, mala grupa ili velika državna organizacija za hakiranje.

Vrlo čest scenarij je da napadač zarazi osobna računala korisnika tako što im šalje zlonamjerni softver (virus, trojanski konj, crv itd.) u e-poruci ili e-poštom poveznicama do web lokacija koje su ugrožene. Zlonamjerni softver zaražava računalo korisnika koristeći ranjivosti u operacijskom sustavu ili instaliranim aplikacijama i omogućuje napadaču pristup tom računalu na način koji korisnik ne može otkriti. Jednom kada napadač posjeduje korisničko računalo, on / ona može njuškati po mreži i kompromitirati druge sustave, ponovno koristeći ranjivosti u operativnim sustavima i / ili aplikacijama.

U slučaju ATC-a napadač bi mogao, uz odgovarajuću stručnost i resurse, prodrijeti i mapirati kritičnu računalnu infrastrukturu ATC-a do točke u kojoj bi mogao biti široko poremećen.

Koji ATC organizacije bi trebale raditi isto je kao i sve druge organizacije koje su ciljevi, na primjer:

• krpanje svojih sustava kako bi ih otežalo hakiranje
• izvođenjem redovnih testova penetracije, gdje profesionalni hakeri "bijelog šešira" pronalaze sigurnosne rupe prije nego što negativci to učine
• osoblje za obuku kako bi bili svjesni sumnjivih e-adresa
• zaštita ATC sustava pomoću vatrozida, dvofaktorske provjere autentičnosti, posredničke administracije i drugih kontrola

Kratki odgovor: Komplicirano je .

Ja osobno nisam autoritet po tom pitanju, ali mogu ukazati na neke informacije koje je objavio FAA.

Sustavno upravljanje informacijama (SWIM) mrežna je struktura koja će nositi NextGen digitalne informacije. SWIM će omogućiti isplativu razmjenu i razmjenu podataka u stvarnom vremenu između korisnika Nacionalnog sustava zračnog prostora.

NextGen je tekuća modernizacija američkog Nacionalnog sustava zračnog prostora, pa ovo opisuje trenutnu plan. Imajte na umu da su kontrolori jedna korisnička grupa Nacionalnog sustava zračnog prostora.

Sigurnosne kontrole definirane su u FAA-ovoj naredbi 1370.114 - "Implementacija FAA-inih usluga telekomunikacijske infrastrukture i zahtjeva IS-a u NAS-u". Ovaj dokument nije javan.

"Korisnički priručnik za FAA telekomunikacijsku infrastrukturu (FTI) NAS-ov sustav granične zaštite (NBPS) Svezak II - Za korisnike koji nisu NAS" (dokument)

pruža smjernice vanjskim vlasnicima sustava za omogućavanje povezivanja usluga temeljene na IP-u sa sustavom Nacionalnog sustava zračnog prostora (NAS).

Uključena je ova brojka:

Moja glava! PLIVA SE u skraćenicama ...

• WMSCR (Zamjenski sustav centra za prebacivanje vremenskih poruka): Prikuplja, obrađuje, pohranjuje i širi tekstualne zrakoplovne vremenske proizvode i NOTAM informacije.
• WARP (Procesor vremena i radara): Meteorološki sustav koji pruža podatke o mozairanom vremenskom radaru sljedeće generacije (NEXRAD) kontrolorima zračnog prometa putem zamjene zaslona zaslona ( DSR) i pruža meteorološke proizvode meteorolozima Centra za vremensku službu (CWSU) i stručnjacima za upravljanje prometom (TMU).
• NMR (Nacionalna mreža za razmjenu podataka o zračnom prostoru (NADIN) Rehost Network Switching Network (MSN)): Prenosi planove leta. (izvor)

(mora voljeti ugrađene kratice.)

Dakle, ovisi o tome što smatrate "ATC". To su kritični sustavi koji podržavaju kontrolere i druge. Oni su 'povezani s internetom', premda kroz više slojeva.

Konačno, prema ovoj stranici, ažuriranoj 10. siječnja 2013,

Namjera FAA-a je da što prije prekine veze od točke do točke (lokalne) između NAS sustava FAA i vanjskih entiteta i da ih zamijeni vezama uspostavljenim putem sigurnog prolaza.

... što implicira da postoje (ili su postojale) (više) izravne veze s određenim FAA mrežama koje se preispituju gore opisanim planom.

Zaključak

Postoje mnogi aspekti ATC-a. Nagađalo bi se da su sustavi kao što su primarni i sekundarni radar na odgovarajući način zaštićeni od pijeska. No očito su određeni sustavi na neki način izloženi Internetu, barem da bi se izložili podaci drugima.

ATC se uglavnom oslanjaju na takozvanu operativnu mrežu koja nije izravno povezana s internetom. Kao što spominju aeroalias, postoje veze između operativnih i poslovnih mreža koje bi mogle biti ranjive.

Također raste trend povezivanja sustava radi poboljšanja protoka, čime se povećava izloženost. Ispod je shema koja ilustrira zajedničko donošenje odluka u zračnoj luci.

I na kraju, ali ne najmanje važno, ATC se oslanja na bežičnu komunikaciju između kontrole i aviona, koja je ranjiva na slušanje i lažno predstavljanje. Nije temeljen na internetu, ali je ipak ranjiv na cyber-napad.

preuzeto s http://www.euro-cdm.org/concept_introduction.php