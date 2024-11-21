Dengan sebagian besar proses penerbangan yang sekarang didigitalkan, maskapai penerbangan dan industri penerbangan secara keseluruhan harus memprioritaskan keamanan siber. Jika penjahat siber meluncurkan serangan yang mempengaruhi sistem yang terlibat dalam penerbangan, baik sistem maskapai penerbangan atau vendor pihak ketiga, seluruh proses, dari keselamatan hingga kenyamanan penumpang, dapat terpengaruh.
Untuk meningkatkan keamanan dalam industri penerbangan, FAA baru-baru ini mengusulkan aturan baru untuk memperketat keamanan siber di pesawat terbang. Aturan-aturan ini akan “melindungi peralatan, sistem, dan jaringan pesawat kategori transportasi, mesin, dan baling-baling dari interaksi elektronik yang disengaja dan tidak sah (IUEI) yang dapat menciptakan bahaya keselamatan”. Jika disahkan, perubahan tersebut akan mempengaruhi seluruh industri, termasuk maskapai penerbangan, vendor pihak ketiga, dan penumpang.
Serangan keamanan siber dan pelanggaran data telah menyentuh semua bagian industri penerbangan selama beberapa dekade terakhir. Insiden penting termasuk pelanggaran Cathay Pacific yang memengaruhi lebih dari 9 juta informasi pribadi penumpang dan pelanggaran SITA 2021 terhadap anggota frequent flyer, terutama anggota Star Alliance dan OneWorld. Situs web bandara Los Angeles menjadi korban serangan DDoS yang membuat situs webnya offline selama beberapa jam.
“Kenyataannya sangat jelas: industri penerbangan kita terus menerus berada di bawah ancaman serangan siber, naik 74% sejak tahun 2020. Dengan sektor penerbangan menyumbang lebih dari 5% dari PDB kami, 1,9 triliun USD dalam total aktivitas ekonomi, dan mendukung 11 juta pekerjaan, kami harus bangun dan menanggapi ancaman siber penerbangan dengan serius”, ujar U.S. Senator Maria Cantwell pada Sidang Kongres 18 September 2024.
Secara keseluruhan, industri penerbangan saat ini menerima nilai B, menurut laporan The Cyber Risk Landscape of the Global Aviation Industri, 2024. Para peneliti menemukan bahwa organisasi yang berada di peringkat B 2,9 kali lebih mungkin menjadi korban pelanggaran data daripada mereka yang memiliki peringkat A, menggambarkan dampak besar dari perbedaan yang tampaknya kecil. Serangan ransomware tetap menjadi ancaman utama, dengan riset terbaru oleh Bridewell menemukan bahwa 55% pengambil keputusan siber di penerbangan sipil mengakui telah menjadi korban serangan ransomware dalam 12 bulan terakhir. Ketika ditanya tentang dampaknya, 38% melaporkan gangguan operasional dan 41% mengatakan bahwa organisasi mereka kehilangan data.
Ted Theisen, Managing Director di praktik Keamanan Siber FTI Consulting, mengatakan bahwa penggunaan luas peralatan dan sistem lama dalam industri penerbangan tidak memiliki fitur yang dibutuhkan untuk melindunginya, seperti menginstal pembaruan penting dan kompatibilitas dengan protokol baru. Karena industri penerbangan sering melakukan outsourcing layanan kepada pihak ketiga, vendor dapat mengakses sistem dan jaringan, sehingga menimbulkan kerentanan.
“Tenaga kerja yang terdistribusi dan sistem terdistribusi menciptakan permukaan serangan yang diperluas yang meningkatkan titik akses yang dapat dieksploitasi oleh aktor ancaman”, ujar Theisen. “Pengaturan yang tersebar ini mempersulit untuk mengamankan sistem, memantau ancaman keamanan siber, dan mengurangi akses yang tidak sah.”
Sementara keamanan siber penerbangan berfokus pada kerentanan dan serangan pada semua sistem yang terlibat dalam penerbangan, fokus aturan baru adalah pada keamanan siber pesawat itu sendiri. Setiap kali sepotong data, dari lokasi penerbangan hingga peringatan tentang masalah pemeliharaan, dikirim dari pesawat ke jaringan, itu berisiko untuk dilanggar oleh pihak ketiga.
Karena data terus dikirim dari setiap pesawat dalam penerbangan, sejumlah besar data penting berisiko setiap harinya. Asosiasi Penerbangan Bisnis Nasional melaporkan bahwa router pada pesawat yang menyediakan konektivitas bagi awak dan penumpang memiliki kerentanan tinggi, terutama jika kata sandi router tidak diubah secara berkala.
FAA menyatakan bahwa perubahan dalam bagaimana pesawat terbang, bersama dengan mesin dan sistem baling-balingnya, semakin terhubung ke jaringan dan layanan data internal atau eksternal adalah faktor kunci dalam aturan baru. Desain yang saling berhubungan memungkinkan kerentanan datang dari berbagai sumber baru, termasuk laptop pemeliharaan, jaringan publik, dan ponsel. Akibatnya, regulator dan tenaga profesional industri harus memantau sistem lebih dekat untuk ancaman keamanan siber.
Sejak 2009, FAA semakin sering mengeluarkan “kondisi khusus” terkait keamanan siber. Ini adalah peraturan sementara untuk kasus tertentu untuk mengatasi kerentanan baru ini. Direktur Eksekutif Layanan Sertifikasi Pesawat FAA Wesley Mooty menyatakan bahwa masing-masing diskoneksi ini menambah kompleksitas, biaya, dan waktu sertifikasi bagi pemohon dan pembuat peraturan. Akibatnya, FAA mengusulkan paket pembuatan aturan yang mencakup kondisi khusus keamanan siber yang paling umum untuk menstandarkan kriteria untuk mengatasi ancaman keamanan siber, yang akan mengurangi biaya dan waktu sertifikasi.
Aturan baru yang diusulkan menyatakan bahwa pemohon sertifikasi produk harus memastikan bahwa setiap peralatan pesawat, sistem, dan jaringan terlindung dari IUEI yang dapat berdampak buruk pada keselamatan pesawat.
Berikut adalah persyaratan untuk melindungi aset seperti yang diuraikan dalam dokumentasi resmi FFA:
Sementara tujuan dari aturan baru adalah untuk menstandarkan kriteria keamanan siber, aturan tersebut juga diharapkan memiliki efek tambahan. Kecuali produk diperbarui dan harus disertifikasi ulang, aturan baru hanya memengaruhi produk baru, bukan produk yang saat ini sudah ada di pasaran. Karena setiap produk tidak lagi harus menunggu pertimbangan khusus untuk masalah keamanan siber, persetujuan kemungkinan akan lebih cepat, yang berarti produk baru akan masuk ke pasar lebih cepat.
Selain itu, aturan yang diusulkan dapat secara tidak langsung mempengaruhi pengalaman penumpang. Ketika insiden keamanan siber terjadi, maskapai penerbangan, bandara, atau vendor pihak ketiga biasanya offline, yang menyebabkan penundaan. Dengan proses keamanan siber standar dan pengurangan kerentanan, penumpang mungkin lebih kecil kemungkinannya untuk terdampak oleh insiden terkait ancaman siber.
“Penerapan aturan keamanan siber yang lebih ketat juga dapat mengakibatkan peningkatan biaya operasional untuk maskapai penerbangan, yang dapat mempengaruhi harga tiket pesawat,” kata Itay Glick, VP di OPSWAT, sebuah perusahaan solusi keamanan siber. “Sementara penumpang mungkin menemukan biaya tiket yang sedikit lebih tinggi karena maskapai menambahkan biaya kepatuhan, manfaat utama dari peraturan baru ini adalah peningkatan keselamatan dan keamanan.”
Sementara aturan yang diusulkan sedang melalui proses komentar dan persetujuan, organisasi penerbangan, termasuk bandara, vendor pihak ketiga, dan maskapai penerbangan, harus mulai merencanakan pedoman baru. Karena peraturan baru ini akan memberlakukan standar yang lebih ketat, Glick mengatakan bahwa organisasi perlu fokus pada protokol keamanan siber, penilaian keamanan, dan strategi respons insiden.
“Untuk mempersiapkan perubahan ini, maskapai penerbangan harus melakukan penilaian risiko komprehensif untuk mengidentifikasi kerentanan dan berinvestasi dalam pelatihan keamanan siber bagi karyawan untuk meningkatkan kesadaran dan kemampuan respons mereka,” kata Glick. “Selain itu, persyaratan untuk teknologi canggih seperti deteksi ancaman dan perlindungan titik akhir sangatlah penting. Untuk menghindari persyaratan respons insiden, maskapai penerbangan perlu secara proaktif meningkatkan postur keamanan mereka untuk menghindari serangan yang berhasil.”
