Министерството на вътрешната сигурност на САЩ планира да издаде предупреждение за сигурността на малки самолети, защото съвременните летателни системи са уязвими за хакване, ако някой успее да получи физически достъп до самолета, съобщава АП.

Сигнал от екипа за реагиране на аварийни ситуации с критична инфраструктура DHS препоръчва на собствениците на самолети да гарантират, че ограничават неразрешения физически достъп до своите самолети, докато индустрията не разработи защитни мерки за справяне с проблема, който е открит от базирана в Бостън компания за киберсигурност и докладван на федералното правителство.

Повечето летища разполагат със сигурност за ограничаване на неоторизиран достъп и няма доказателства някой да е използвал уязвимостта.

Но служител на DHS коментира пред Асошиейтед прес, че агенцията независимо потвърждава уязвимостта на сигурността с външни партньори и национална изследователска лаборатория решава, че е необходимо да се издаде предупреждение.

Фирма за киберсигурност открива, че нападател може потенциално да наруши електронните съобщения, предавани през мрежата на малък самолет, например чрез прикачване на малко устройство към окабеляването му, което би засегнало самолетните системи.

Показанията на двигателя, данните за компаса, надморската височина и други показания "всички биха могли да бъдат манипулирани, за да се покажат неверни измервания на пилота", съгласно сигналът на DHS, получен от АП.

Предупреждението отразява факта, че самолетните системи все повече разчитат на мрежови комуникационни системи, подобно на съвременните автомобили. Автомобилната индустрия вече предприе стъпки за справяне с подобни проблеми, след като изследователи разкриха уязвимости.

Доклад на компанията Rapid7 се фокусира само върху малки самолети, тъй като техните системи са по-лесни за разглеждане от изследователите.

Големите самолети често използват по-сложни системи и трябва да отговарят на допълнителни изисквания за сигурност. Предупреждението на DHS не се отнася за по-стари малки самолети с механични системи за управление.

Патрик Кили, водещи изследовател на Rapid7 по този въпрос, заявява, че нападателят може да използва уязвимостта с достъп до самолет или като заобиколи сигурността на летището. "Някой за пет минути и набор от ключалки може да получи достъп (или) има лесен достъп двигателното двигателното отделение".

Джефри Трой, президент на Центъра за споделяне и анализ на информацията за авиацията, индустриална организация за информация за киберсигурност коментира, че има нужда от подобряване на сигурността в мрежовите операционни системи, но подчертава, че хакът зависи от заобикалянето на контрола за физическа сигурност.

С достъпа "имате стотици възможности да прекъснете някоя система или част от самолет", каза Трой.

Федералното управление на въздухоплаването обяснява, че сценарий, при който някой е имал неограничен физически достъп, е малко вероятен, но докладът също е "важно напомняне за бдителност" относно процедурите за самолети във физическата и киберсигурността.

Авиационната киберсигурност е въпрос на нарастваща загриженост по целия свят.

През март генералният инспектор на Министерството на транспорта на САЩ установи, че FAA "не е завършила цялостната рамка за стратегическа политика за идентифициране и смекчаване на рисковете от киберсигурност". FAA заяви, че ще изготви план до края на Септември.

Органът на ООН за авиация предложи първата си стратегия за защита на гражданската авиация от хакери, която се очаква да се приеме преди Общото събрание през септември, заяви Пийт Купър, бивш кралски пилот и офицер по кибероперации, който съветва авиационната индустрия.

Докладът за разкриване на уязвимостта е продукт на почти 2-годишни изследвания на Rapid7. След като техните изследователи оценяват недостатъка, компанията алармира DHS.

Предупреждението на DHS препоръчва на производителите да прегледат как прилагат тези отворени електронни системи, известни като CAN шина, за да ограничат способността на хакери да извършат такава атака.

CAN функционира като централна нервна система. Хакването може да позволи на нападател да открадне показанията за пилота или дори да поеме контрола над самолета, според доклада на Rapid7, получен от АП.

"CAN шината е напълно несигурна", обяснява Крис Кинг, експерт по киберсигурност, който е работил върху анализа на уязвимостта. "Никога не е проектирано да бъде в такава среда (каквато е съвременната)" и няма кака да се потвърди че това, което се нарежда на системата да извърши, идва от оторизиран и законен източник.

Само преди няколко години повечето производители на автомобили използваха отворената система CAN в своите автомобили. Но след като изследователи публично демонстрираха как може да се хакне, производителите на автомобили добавят слоеве на сигурност, като поставяне на критични функции в отделни мрежи, които са по-трудни за достъп отвън.

Разкритието изтъква проблемите в автомобилната и авиационната индустрии относно това дали уязвимостта на софтуера трябва да се третира като дефект на безопасността - с потенциала си за скъпоструващо изтегляне и поемане на отговорност - и каква отговорност трябва да имат производителите, за да гарантират, че техните продукти са защитени срещу подобни атаки.

Уязвимостта също така подчертава реалността, че става все по-трудно да се отдели киберсигурността от сигурността като цяло.

"Много хора от авиацията не виждат припокриване между информационната сигурност, киберсигурността на самолет и безопасността", коментира Боу Уудс, сътрудник по въпросите на кибербезопасността в Атлантическия съвет, Вашингтон. "Те ги разглеждат като различни неща."

Схемата за свързване CAN е разработена през 80-те години на миналия век и е изключително популярна за използване в лодки, дронове, космически кораби, самолети и автомобили - всички области, където има по-големи смущения на шума и е изгодно да има по-малко окабеляване.

Всъщност все по-често се използва в самолетите днес поради лекотата и разходите за изпълнение, допълва Кили. Като се има предвид, че самолетите имат по-дълъг производствен цикъл, "това, което се опитваме да направим, е да изпреварим всичко това".