主要故事
新近而迫切的危险: 连续性的网络攻击可瘫痪航空公司的运营
环球航空业界说,要阻截网络攻击,政府应放下警惕之心,与航空公司分享保安信息。
September 1st 2015
国际航空运输协会 (IATA) 领导人在最近新加坡举行的民航网络保安会议上向代表们说,不论是恐怖主义、一般刑事罪行,或仅仅是怀有恶意的普通人,这些都有可能牵涉到网络攻击。 Read More » 网络保安已成为空运界最近一个主要的讨论论主题。
IATA总干事及首席执行官汤彦麟 (Tony Tylor) 说:“这是个新的、动态性强的威胁,而学习过程很艰难,而且会一直这样。但它又是个重要而紧急的问题,学习虽然艰难,但我们仍需要迅速掌握情况。”
“业界合作固然必要,但仅靠这个,我们无法达到需要达到的水平。政府有私人部门永远无法企及的情报资源及来源。”
“他们有责任动用这些资源,帮助业界的努力。”
“在安全问题上,过去数十年成功的政府-业界合作是个例子。可惜,在保安问题上我们还没见到同样水平的合作。”
“信息分享是其中一个关键风险元素。今天,挑战特别大的是国家分类系统的制肘,在法律权利上含混的地方,及跨境信息分享机制。但不分享信息的巨大风险迫使我们在这几个领域谋求进步。”
出席这个由新加坡政府主办的会议的人士,都感受到主题的敏感性。会议几乎没有公开宣传过,只有受邀人士才能入席。会议由亚太航空公司协会 (AAPA) 监管及行业事务总监Beatrice Lim主持。
Lim告诉东方航讯:“有些政府认为网络保安只限于恐怖分子威胁及骇客入侵飞机系统,但航空公司的网络保安还有商业的层面。”
“牵涉到的有信用卡欺诈、身份欺诈、飞行常客欺诈,及侵入航空公司数据库的问题,我们关注入侵的威胁是个值得关注的地方,个人信息、乘客信息及信用卡资料也可能被盗取。”
Lim说:“在令飞机坠毁这个最严重的问题上,航空公司正和政府及保安服务提供商密切商讨中。我们仍未能完全明白威胁的性质。会议上的保安专家一般认为令飞机坠毁的可能性挺小。”
汤彦麟在致辞时说:“似乎每天都听到新保安漏洞或数据被窃的新消息。”
“这类攻击所带来的损害以千万美元计,令受害公司声誉一败涂地。网络成功袭击一家航空公司的后果,是公司运营瘫痪,上千的乘客滞留。”
黑客涉嫌窃取有关MH370的调查信息的前一天,飞机失踪3月8日,2014年马来西亚一直在调查涉嫌计算机和参与寻找马航航班MH370官员的电子邮件帐户的黑客。显然,黑客抽走的分类信息和数据传送到在中国的一个位置。马来西亚政府表示,属于参与国际搜索喷气30台电脑被感染了恶意软件伪装成关于飞机失踪,这对黑客发送到官员的新闻文章。该黑客攻击邮件“载有官员的电脑机密资料,包括会议纪要和机密文件”。 |
IATA自己的全球财务系统每年处理约3880亿美元的空中旅运收入,IATA已经把辖下系统升级以应对日益增加的网络攻击威胁。
“举个例子,我们在3月平均每天识别及阻截8万个可疑连接,侦查及清除891个病毒及抗拒5个‘强行闯入’尝试 (以重复尝试的方法扳倒电脑的防御系统) 来连接IATA户口,”汤彦麟说。
“没有业务是例外,但民航系统对意图作网络恶行、盗窃或更坏罪行的人是个特殊目标,对诈骗人士,航空公司是个价值最高的目标。据一家与我们合作的网络保安公司说,近一半的网络钓鱼针对航空公司及民航乘客。”网络钓鱼是一种诈骗手法,常透过电邮的方式尝试偷取个人资料。
汤彦麟继续说:“我想象,对大型财务机构或零售商来说,这类程度的活动可能司空见惯。网络攻击是现代生活里一个现象。但民航系统是个特殊目标,有些人想破坏或干扰这个全球经济所依赖的一体化的民航交通网络。”
AAPA总干事安德鲁·赫德曼 (Andrew Herdman) 告诉东方航讯,这个问题已经放在协会保安委员会的议程上了。
“但这并不足够,因为这不是个能部门化的问题,目前它和其他一些新形成的威胁并列在同一名单上。”
“但现在,我们认识到这是个整体业务风险管理的问题,我们必须有一个如何管理这些风险的分析。这问题已经获得更大的关注,在更高层面被考虑。”
航空公司的IT系统与伙伴航空公司、全球分配系统、机场及服务供应商的系统互为连接,它们储存庞大的信息,包括以千万计的乘客的个人资料。
需要更大保护的不仅是民航系统,航空公司依赖电网及通讯网络,入侵这些基本服务,可能在航空公司之间引起大混乱,导致巨大的财务损失及损害航空公司的品牌。
赫德曼说,不应该以为网络攻击只局限于塔吉特百货 (Target)、索尼、摩根大通及美国国防部,以为那都是独立事件,不会发生在航空公司身上。他没察觉到区内哪一家航空公司受到攻击,但,“航空公司像银行,他们不会公开说这些敏感问题。”但他补充,这类事件如曾发生,也不足为奇。
在其他地方,对航空公司的攻击确曾发生。所知的最近一次在6月,发生在LOT波兰航空公司身上。当骇客侵入控制航空公司航班序列的地勤电脑系统时,10班国内及国际航班被取消,约1400名乘客滞留华沙萧邦机场,受破坏的部分经5小时才被修复。
AAPA的Beatrice Lim相信,问题部分与IT专业人员中常见到的象牙塔心态有关。
Lim说:“IT人员必须与其他部门沟通,他们需要明白业务上的事;他们的工作不仅仅是更新病毒扫描软件。”
“一个要问的问题是:谁是有关风险的持份人?”赫德曼说。
“来自恐怖分子的网络威胁由保安部门处理,但航空运营的其他部门也有网络受袭的可能。这些风险须由IT人员来承担吗?还是这仍然是保安人员的责任?”
“答案是所有部门都要组织起来。有必要建立一个能应对所有网络威胁,和由此引起的种种问题的政策。”
曾有人向航空公司建议,以雇用专家入侵公司系统的方式来作测试。赫德曼说:“别再奢望我们不会被入侵。想一想,假如他们真的进来了,你怎样阻截他们,不让他们把你的东西卷席而逃?”
'不论是恐怖主义、一般刑事罪行,或仅仅是怀有恶意的普通人,这些都有可能牵涉到网络攻击。网络保安已成为空运界最近一个主要的讨论论主题。' |
汤彦麟 国际航空运输协会总干事与首席执行官 |
“军事部门其实用这个方法很多年了。他们雇佣人来攻击你,测试你,以角色扮演的方式找出弱点。我们也有一点类似的方法。”
赫德曼说,航空公司IT系统的其中一个弱点是与第3方系统的相互连接性。他说:“我们把飞行常客计划外判,我们分配系统的性质意味着我们的订位系统与全球分配系统、联盟伙伴相互连系,等等。”
“IT人员说,招致网络渗透的弱点永远在外部。骇客不会从你前门进来,他们找你的侧门,而侧门是你与其他公司的一些长期连系,一些和航空公司有伙伴关系的公司。理解想骇进航空公司系统的人的心态,想象他们怎样寻找系统弱点,这点很重要,因为所有事情都互为连系。”
AAPA其中一个关注点是政府如何界定网络保安,及如何监管以避免受到攻击。赫德曼问:“你必须做这个,你必须做那个,这样的方式有帮助吗?所以,业界与其他部门、与政府商讨我们需应对的问题。如果我们在问题的界定上理解不同,我们不会在所需行动上取得共识。”
赫德曼说很多想进行网络攻击,以之为武器的人不是恐怖分子。他说:“我们其中一个关注是,政府本身把网络攻击作为武器。政府想做的事本事也是问题的一部分。”
“举例,看看政府对银行做了什么,他们要银行把国际汇兑交付系统的编码 (Swift) 的后门程式给他们。看看政府对史诺登揭露的反应,及其他很多事情。”他补充说,政府想你的系统安全,可不想你的系统隐形,不给政府看到。
当然,一方面,业界专注于界定网络威胁到底在哪,需要什么保障措施;另一方面,大家都同意,航空公司必须继续努力保持他们的IT系统有力、强大,准备好在攻击发生时能迅速作出应对。
IATA为应对网络威胁而采取的一些举措 除上年推出航空网络保安工具包外,IATA亦建立了一个三叉战略应对航空界的网络威胁。这三叉是: · 努力理解、界定及评估网络攻击的威胁及风险。 · 提高对网络保安问题的意识及确定通报及信息分享机制。 · 倡议适当的监管及机制以增强业界与政府的合作。 IATA总干事及首席执行官汤彦麟说:“IATA在这方面的角色,是协助航空公司建立一个强大的网络保安策略,协助推进全球性努力的协调,以应付对航运界的网络威胁。” |