Cyberatak skierowany na transport lotniczy przy użyciu komputerów może mieć katastrofalne skutki. W dodatku – jak podkreśla ekspert – jego przeprowadzenie w porównaniu z konwencjonalnymi metodami jest dużo łatwiejsze, bo dokonanie ataku wymaga mniejszych kosztów finansowych, jest obarczone mniejszym ryzykiem dla samego atakującego, który nie musi angażować się fizycznie, może także zachować anonimowość unikając odpowiedzialności. Jak tłumaczy, zagrożenie dla infrastruktury krytycznej, w tym transportu lotniczego, może płynąć z wielu kierunków – ze strony aktorów państwowych (motywacja polityczna), ze strony przestępców (szantaż i chęć osiągnięcia zysków finansowych), czy też ze strony terrorystów, którzy zamiast wnoszenia bomb na pokład mogą zakłócić lot samolotu doprowadzając do jego katastrofy.
O tym, że niebezpieczeństwa są realne świadczą fakty. W kwietniu tego roku FBI ostrzegała Federal Aviation Administration (amerykański organ nadzoru lotniczego) o działaniach hakerów, którzy mogą być zainteresowani zaatakowaniem systemy teleinformatyczne transportu lotniczego. Ponadto Government Accountability Office opublikowało raport, w którym wskazywało szereg realnych podatności na jakie narażone są sieci teleinformatyczne używane w lotnictwie. Ocena ryzyka ataków pokazała jak bardzo realny to problem. – Przykłady te pokazują, że kraje uważne za dalece bardziej zaawansowane w zakresie działań związanych z cyberbezpieczeństwem niż Polska, także mają problemy. Oznacza to, że musimy podjąć jeszcze bardziej zdeterminowane działania, aby zmniejszać ryzyko. Po pierwsze konieczny jest wzrost inwestycji w bezpieczeństwo – mówi Joanna Świątkowska. – Właściciele infrastruktury krytycznej muszą zrozumieć, że zwiększenie wydatków w cyberbezpieczeństwo to nie zmarnowane pieniądze. Po pierwsze, jak pokazuje przykład transportu lotniczego, może chodzić o życie i zdrowie ludzi. Jednocześnie, nawet jeśli nie dojdzie do katastrofy, to potencjalny atak i wynikające z niego opóźnienia, odwołania lotów i utrata zaufania klientów może przynieść olbrzymie straty. Lepiej zatem działać w myśl zasady – lepiej zapobiegać niż leczyć – twierdzi ekspert Instytutu Kościuszki.
Po drugie – jak zaznacza – konieczna jest edukacja i wzrost świadomości. – Najczęstszymi przyczynami awarii są błędy ludzkie lub niezachowanie higieny korzystania z komputerów. To sprzyja dokonaniu udanych ataków opartych na inżynierii społecznej. Osoby pracujące w systemie lotniczym powinny zachowywać najwyższe standardy bezpieczeństwa. Konieczne są nieustanne szkolenia i działania udoskonalające. Po trzecie – współpraca. Operatorzy i właściciele infrastruktury krytycznej powinni raportować najważniejsze ataki, jak również wymieniać się informacjami z właściwymi podmiotami publicznymi. Taka wymiana informacji znacznie zwiększa możliwości przygotowania i wdrażania skutecznych mechanizmów obrony – wylicza i dodaje, że w Polsce powinniśmy rozpocząć dyskusję nad koniecznością obligatoryjnego wdrażania standardów związanych z cyberbezpieczeństwem przez operatorów i właścicieli infrastruktury krytycznej. – Standardy powinny być wypracowywane przy ścisłym udziale branży i powinny być dostosowywane do specyfiki sektora. Przy czym pamiętać należy, że nie musimy tu wynajdywać koła od nowa. Wiele dobrych rozwiązań już istnieje i powinniśmy je implementować na naszym gruncie – wyjaśnia Joanna Świątkowska.
