مع رقمنة معظم عمليات الطيران الآن، يجب على شركات الطيران وصناعة الطيران ككل إعطاء الأولوية للأمن الإلكتروني. إذا أطلق مجرم إلكتروني هجومًا يؤثِّر في نظام يشارك في مجال الطيران - سواء أكان نظامًا تابعًا لشركة طيران أم بائعًا تابعًا لجهة خارجية - فقد تتأثر العملية بأكملها، بدءًا من السلامة وحتى راحة الركاب.
لتحسين الأمن في صناعة الطيران، اقترحت إدارة الطيران الفيدرالية (FAA) مؤخرًا قواعد جديدة لتشديد الأمن الإلكتروني على الطائرات. وتهدف هذه القواعد إلى "حماية أجهزة وأنظمة وشبكات الطائرات المخصّصة للنقل، إضافةً إلى المحركات والدوافع، من التفاعلات الإلكترونية غير المصرّح بها المتعمَّدة (IUEI) التي قد تشكِّل مخاطر على السلامة". وفي حال اعتمادها بشكل نهائي، ستؤثر هذه التغييرات في الصناعة بأكملها، بما في ذلك شركات الطيران والبائعون الخارجيون والركاب.
لقد أثَّرت هجمات الأمن الإلكتروني واختراقات أمن البيانات في جميع أجزاء صناعة الطيران على مدى العقود العديدة الماضية. تشمل الحوادث البارزة اختراق Cathay Pacific الذي طال معلومات أكثر من 9 ملايين مسافر، بالإضافة إلى اختراق SITA في عام 2021 الذي أثَّر في أعضاء برامج المسافر الدائم، وخاصةً أعضاء Star Alliance وOneWorld. تعرَّض الموقع الإلكتروني لمطار لوس أنجلوس لهجوم موزع لحجب الخدمة (DDoS) أدى إلى تعطيله لعدة ساعات.
"الحقيقة واضحة كالشمس: تتعرض صناعة الطيران لتهديدات مستمرة من الهجمات الإلكترونية، ارتفعت بنسبة 74% منذ عام 2020. خلال جلسة استماع في الكونجرس بتاريخ 18 سبتمبر 2024، قالت السيناتور الأمركية Maria Cantwell: "مع مساهمة قطاع الطيران بأكثر من 5% من الناتج المحلي الإجمالي، وبإجمالي نشاط اقتصادي يصل إلى 1.9 تريليون دولار أمريكي، ودعمه لنحو 11 مليون وظيفة، أصبح من الضروري أن نستيقظ ونتعامل بجدية مع هذه التهديدات الإلكترونية في الطيران".
يحصل قطاع الطيران عالميًا في الوقت الحالي على تقييم بدرجة B، وذلك وفقًا لتقرير The Cyber Risk Landscape of the Global Aviation Industry لعام 2024. وجد الباحثون أن المؤسسات التي حصلت على تقييم B كانت أكثر عرضةً لحوادث تسريب البيانات بمقدار 2.9 مرة مقارنةً بالمؤسسات الحاصلة على تقييم A، ما يُبرز حجم التأثير الذي قد تُحدثه فروق قد تبدو صغيرة. تظل هجمات برامج الفدية من أكبر التهديدات، حيث أظهر بحث حديث أجرته Bridewell أن 55% من صنّاع قرارات الأمن الإلكتروني في قطاع الطيران المدني اعترفوا بتعرضهم لهجمات برامج الفدية خلال آخر 12 شهرًا. عند سؤالهم عن التأثير، أشار 38% إلى حدوث تعطُّل في العمليات، فيما أفاد 41% بأن مؤسستهم تعرّضت لفقدان بيانات.
صرَّح Ted Theisen، المدير التنفيذي في قسم الأمن الإلكتروني بشركة FTI Consulting، أن الاستخدام الواسع للمعدات والأنظمة القديمة في صناعة الطيران يفتقر إلى الميزات اللازمة لحمايتها، مثل القدرة على تثبيت التحديثات الحرجة والتوافق مع البروتوكولات الجديدة. ونظرًا لأن صناعة الطيران غالبًا ما تستعين بمقدِّمي خدمات خارجيين، فإن هؤلاء البائعين يمكنهم الوصول إلى الأنظمة والشبكات، ما يفتح الباب أمام الثغرات الأمنية.
يقول Theisen: "تشكِّل القوى العاملة والأنظمة الموزعة سطح هجوم موسَّعًا يزيد من نقاط الوصول التي يمكن استغلالها من قِبل عناصر التهديد. وهذا التوزيع يجعل تأمين الأنظمة ورصد التهديدات الإلكترونية والتصدي للوصول غير المصرّح به أمرًا صعبًا.
بينما يركِّز الأمن الإلكتروني في صناعة الطيران على الثغرات الأمنية والهجمات على جميع الأنظمة المرتبطة بالطيران، فإن القواعد الجديدة تركِّز على الأمن الإلكتروني للطائرة نفسها. في كل مرة يتم فيها إرسال أي بيانات من الطائرة إلى الشبكة، سواء أكانت موقع الرحلة أم تنبيهًا بشأن مشكلة صيانة، فإنها تكون معرضة لخطر الاختراق من قِبل طرف ثالث.
نظرًا لإرسال البيانات بشكل مستمر من كل طائرة أثناء الرحلة، فإن كمية كبيرة من البيانات الحيوية تكون معرضة للخطر يوميًا. ذكرت National Business Aviation Association أن جهاز التوجيه على الطائرة، الذي يوفر الاتصال لأفراد الطاقم والركاب، يمثِّل نقطة ضعف رئيسية، خاصةً إذا لم يتم تغيير كلمة المرور الخاصة به بانتظام.
ذكرت FAA أن التغيير في كيفية اتصال الطائرات، إلى جانب محركاتها وأنظمة المراوح، بشكل متزايد بالشبكات والخدمات الداخلية أو الخارجية كان عاملًا رئيسيًا في صياغة القواعد الجديدة. تُتيح التصاميم المترابطة إمكانية ظهور ثغرات أمنية من مجموعة متنوعة من المصادر الجديدة، بما في ذلك أجهزة الكمبيوتر المحمول المخصصة للصيانة والشبكات العامة والهواتف المحمولة. نتيجةً لذلك، يجب على الجهات التنظيمية والمتخصصين في الصناعة مراقبة الأنظمة عن كثب لرصد التهديدات الإلكترونية.
منذ عام 2009، كثّفت إدارة الطيران الفيدرالية (FAA) إصدار المزيد من "الشروط الخاصة" المتعلقة بالأمن الإلكتروني. وهذه هي اللوائح المؤقتة لحالة محددة لمعالجة هذه الثغرات الأمنية الجديدة. صرَّح Wesley Mooty، المدير التنفيذي لخدمة اعتماد الطائرات في FAA، أن كل هذه الانقطاعات تزيد من تعقيد الاعتماد، وتكاليفه، والوقت المطلوب لكلٍّ من مقدِّم الطلب والجهات التنظيمية. ونتيجةً لذلك، اقترحت FAA حزمة قواعد تغطي أكثر الشروط الخاصة المتعلقة بالأمن الإلكتروني شيوعًا، بهدف توحيد المعايير لمواجهة التهديدات الإلكترونية، ما سيؤدي إلى تقليل تكاليف ومدة الاعتماد.
تنص القواعد الجديدة المقترحة على أنه يجب على المتقدمين للحصول على شهادات المنتجات ضمان حماية جميع معدات وأنظمة وشبكات الطائرة من الأجهزة الإلكترونية غير المرغوب فيها (IUEIs) التي قد تؤثِّر سلبًا في سلامة الطائرة.
وفيما يلي المتطلبات الخاصة بحماية الأصول كما وردت في الوثائق الرسمية لإدارة FAA:
رغم أن الهدف من القواعد الجديدة هو توحيد معايير الأمن الإلكتروني، فمن المتوقع أن يكون لها آثارٌ إضافية أيضًا. ما لم يتم تحديث المنتج وتتعين إعادة اعتماده، فإن القواعد الجديدة تنطبق فقط على المنتجات الجديدة وليس على المنتجات المتاحة حاليًا في السوق. ونظرًا لأن كل منتج لم يَعُد مضطرًا للانتظار للحصول على اعتبار خاص لقضايا الأمن الإلكتروني، فمن المرجح أن تكون الموافقات أسرع، ما يعني وصول المنتجات الجديدة إلى السوق بسرعة أكبر.
بالإضافة إلى ذلك، قد تؤثِّر القواعد المقترحة بشكل غير مباشر في تجربة الركاب. عند وقوع حادث الأمن الإلكتروني، عادةً ما تتوقف شركة الطيران أو المطار أو البائعون الخارجيون عن العمل، ما يتسبب في حدوث تأخيرات. ومع وجود عمليات موحَّدة للأمن الإلكتروني وتقليل الثغرات الأمنية، قد يكون الركاب أقل عرضة للتأثر بالحوادث المتعلقة بالأمن الإلكتروني.
يقول Itay Glick، نائب الرئيس في شركة OPSWAT لحلول الأمن الإلكتروني: قد يؤدي تطبيق قواعد صارمة للأمن الإلكتروني إلى زيادة التكاليف التشغيلية لشركات الطيران، ما قد يؤثِّر في أسعار التذاكر. قد يواجه الركاب زيادة طفيفة في أسعار التذاكر مع قيام شركات الطيران بتحميلهم جزءًا من تكاليف الامتثال، لكن الفائدة الأساسية لهذه القواعد الجديدة ستكون تعزيز السلامة والأمن".
بينما تخضع القواعد المقترحة لعملية التعليق والموافقة، يجب أن تبدأ مؤسسات الطيران، بما في ذلك المطارات والمورِّدون الخارجيون وشركات الطيران، في التخطيط للإرشادات الجديدة. ونظرًا لأن القواعد الجديدة ستفرض معايير أكثر صرامة، يقول Glick إن المؤسسات بحاجة إلى التركيز على بروتوكولات الأمن الإلكتروني والتقييمات الأمنية واستراتيجيات الاستجابة للحوادث لديها.
يقول Glick: "للاستعداد لهذه التغييرات، يجب على شركات الطيران إجراء تقييمات شاملة للمخاطر لتحديد الثغرات الأمنية، والاستثمار في تدريب الموظفين على الأمن الإلكتروني لتعزيز وعيهم وقدرتهم على الاستجابة. بالإضافة إلى ذلك، تُعَد المتطلبات المتعلقة بالتقنيات المتقدمة مثل كشف التهديدات وحماية نقاط النهاية أمرًا حيويًا. ولتجنُّب أي متطلبات للاستجابة للحوادث، يجب على شركات الطيران تعزيز وضعها الأمني بشكل استباقي لمنع حدوث هجوم ناجح".
