- PVSM.RU - https://www.pvsm.ru -
В качестве введение, в авиации принято все летательные аппараты «обзывать» воздушными судами и только потом делить на самолеты, вертолеты и т. д. Поэтому в тексте будет использован именно этот термин.
В ходе последних событий из мира авиации, где специалистами в области кибербезопасности (пример [1]) была открыта возможность получения доступа к бортовым системам воздушных судов, специалисты отрасли (и не только) задумались:
А что мы делаем для обеспечения безопасности?
А делаем довольно много. Есть множество существующих руководств, содержащих рекомендации и практику, например: RTCA DO-178 [2] «Software Considerations in Airborne Systems and Equipment Certification» содержит рекомендации по оценке безопасности и гарантии качества программного обеспечения. Имеет место разделение доступа, т. к. все системы так или иначе завязаны друг с другом через бортовую сеть (взять хотя бы maintance для определения отказов):
Как можно видеть из картинки, степень интеграции систем высока и при разработке такой архитектуры. Никто и подумать не мог, что какие-то личности (скажем так) захотят влезть в бортовую сеть и улететь не по назначению. Теперь пора изменять статистику по катастрофам и инцидентам?
Недавно ко мне «на глаза» попало письмо [3]от Congressional Research Service (GAO; Исследовательская служба Конгресса США) от 2015 года. В письме присутствуют достаточно интересные заявления, например:
В связи с чем GAO настоятельно рекомендовал FAA:
Разве этого достаточно? Нет. FAA по-прежнему считает руководства RTCA приемлемыми для сертификации ПО, хоть и признают, что руководства не в полной мере охватывают все области разработки ПО и процессов жизненного цикла, а иногда могут быть неправильно истолкованы.
Отступление. Чтобы правильно истолковать требования ARP4754A было потрачено более 2 лет и привести их в нашем российском Руководстве 4754А, а указанный DO-178C согласовывался с Квалификационными Требованиями Части 178С (КТ-178С) с 2012 года и вскоре будет принят.
Не стоит говорить, что проблема наконец-то признана. Она есть, она существует. Некоторые задумались об этом при просмотре фильма discovery «внутри авиакатастрофы»- краш-тест Boeing, выполненный удаленно. Некоторые начали разводить панику [6] и разоблачение. И тем не менее, в настоящее время не существует единого комплексного подхода к кибербезопасности в области гражданской авиации. Американский институт аэронавтики и астронавтики (AIAA) опубликовал общие рамки [7]по авиационной кибербезопасности. Международная ассоциация воздушного транспорта (IATA) разработала набор инструментов кибербезопасности. Однако, FAA не одобрило их и поставило цель разработать свою собственную стратегию, определяющую подходы к кибербезопасности ко всей авиационной системе. Собственно, работы ведутся у нас в авиации медленно, но с глубочайшим контролем и анализом всего и вся, чтобы вы могли быть спокойны и уверены, что полетите в безопасности.
P.S. После опубликования письма Конгресс должен был определить роль и ответственность FAA в области сертификации бортового оборудования, а также правила для NextGen, но никакой информации по этим вопросам так и не появилось.
P.P.S. Есть стандарты по, например, шифрованию, криптографии рекомендованные к применению в авиации (один из таких: ISO/IEC 27002 — Code of practice for information security management), но в российской практике не встречались ни разу.
Автор: deniska_bulatov
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/198474
Ссылки в тексте:
[1] пример: http://www.computerworld.ru/articles/FBR-haker-zastavil-samolet-nabrat-vysotu
[2] RTCA DO-178: https://en.wikipedia.org/wiki/DO-178C
[3] письмо : https://www.fas.org/sgp/crs/homesec/IN10296.pdf
[4] SWIM : http://www.faa.gov/nextgen/programs/swim/
[5] ADS-B: http://www.faa.gov/nextgen/programs/adsb/
[6] панику: http://matveychev-oleg.livejournal.com/4183943.html
[7] рамки : https://www.aiaa.org/uploadedFiles/Issues_and_Advocacy/AIAA-Cyber-Framework-Final.pdf
[8] Источник: https://geektimes.ru/post/281406/
Нажмите здесь для печати.