安全を確保するために何をしますか?
そして、私たちは非常に多くのことをしています。 推奨事項と実践を含む多くの既存のガイドがあります。たとえば、 RTCA DO-178 「航空機搭載システムと機器の認証におけるソフトウェアの考慮事項」には、セキュリティの評価とソフトウェアの品質保証に関する推奨事項が含まれています。 すべてのシステムが何らかの方法でオンボードネットワークを介して互いに接続されているため、アクセスの分離があります(少なくともメンテナンスを行って障害を特定します)。
この図からわかるように、このようなアーキテクチャを開発する場合、システム統合の度合いは高くなります。 一部の個人(そう言ってみましょう)がオンボードネットワークに入り、他の目的のために飛び立ちたいと思う人はいませんでした。 今、災害とインシデントに関する統計を変更する時ですか?
私は最近、2015年から議会調査サービス(CRS;米国議会調査サービス)から手紙を受け取りました。 手紙には、次のような非常に興味深い声明が含まれています。
- 航空機搭載機器(私たち全員が努力しているもの)の高度な統合により、セキュリティの脆弱性が生じます。
- FAA(米国連邦航空局)は、次世代航空輸送システム(NextGen)(航空交通管制システム)に関する要件を適切に実装しませんでした。
- 航空機の衛星航法、追跡、デジタル音声およびデータ送信に基づいたSWIMと呼ばれる統合情報管理ネットワークは、サイバーセキュリティの重大かつ未解決の問題を作成します。
- ADS-Bテクノロジーは、従来のレーダーに取って代わることが計画されていますが、そのオープンアーキテクチャと暗号化されていない信号の使用により、本質的にハッキングに対して脆弱です。
したがって、GAOはFAAを強く推奨しました。
- NIST(国立標準技術研究所、脆弱性のデータベースも維持)によって開発された「システムのライフサイクル全体にわたる情報セキュリティに関する推奨事項」を完全に適用するため。
- 航空機搭載システムの品質保証を重視し、耐空性の認証中に安全性と完全性の問題を考慮する。
それで十分ですか? いや FAAはRTCAガイドラインをソフトウェア認証に受け入れられると考えていますが、ガイドラインはソフトウェア開発およびライフサイクルプロセスのすべての領域を完全に網羅しているわけではなく、誤解される場合があることを認めています。
リトリート。 ARP4754Aの要件を正しく解釈するために、2年以上が費やされ、ロシアのマニュアル4754Aに取り込まれました。示されたDO-178Cは、2012年からのパート178C(KT-178C)の認定要件と一致し、まもなく採用されます。
言うまでもなく、問題は最終的に認識されます。 彼女は、彼女が存在します。 発見映画「Inside A Plane Crash」を見ている間、それについて考えた人もいました。これはボーイングの衝突試験が遠隔で行われました。 一部はパニックと暴露を引き起こし始めました。 それにもかかわらず、現時点では民間航空の分野におけるサイバーセキュリティへの単一の統合アプローチはありません。 アメリカ航空宇宙工学研究所(AIAA)は、航空サイバーセキュリティの一般的なフレームワークを公開しています。 国際航空運送協会(IATA)は、一連のサイバーセキュリティツールを開発しました。 しかし、FAAはそれらを承認せず、航空システム全体に対するサイバーセキュリティアプローチを定義する独自の戦略を開発するという目標を設定しました。 実際には、私たちの航空機ではゆっくりと作業が行われていますが、安全で飛行することを落ち着いて自信を持てるように、あらゆるものを徹底的に制御および分析しています。
PS手紙が発行された後、議会は航空機搭載機器の認証分野におけるFAAの役割と責任、およびNextGenの規則を決定することになったが、これらの問題に関する情報は明らかにされていない。
PPSたとえば、航空での使用に推奨される暗号化、暗号化の標準があります(そのうちの1つ:ISO / IEC 27002-情報セキュリティ管理の実践基準)。しかし、ロシアの実践では見られません。