Kubervoorvalle toets die veerkragtigheid van globale lugdienste

Deur Danny Bradbury • 15 Julie 2025

Die volgende keer as jy stadig deur 'n vliegtuiggang stap, dink aan die ongelooflike werk wat jou daar gebring het, van lugvaartingenieurswese tot operateurs wat meer as 5,000 XNUMX vliegtuie op enige gegewe tydstip in die lug hou; die lugvaartbedryf staar verstommende uitdagings in die gesig.

In die afgelope paar dekades het hulle nog iets anders te doen gehad: kuberveiligheidsdreigemente. Verlede maand het ons voorbeelde gesien van wat gebeur wanneer indringers hul stelsels binnedring.

Drie kuberaanvalle in een maand

Vroeg in Junie het Westjet, een van Kanada se gewildste lugdienste, die eerste keer besef dat iets verkeerd was met sy stelsels. Die maatskappy is deur 'n kuberinsident getref, wat gebruikers verhinder het om by sy webwerf en mobiele toepassing aan te meld.

Westjet het die probleem vinnig aangespreek, soos dit op sy adviesbladsy oor die volgende paar dae. Dit was egter nie 'n geïsoleerde voorval nie. Die lugredery was een van drie wat aanvalle gely het. Qantas en Hawaiian Airlines is ook getref.

Hawaiian Airlines het sy eie oortreding op 23 Junie opgespoor en dit drie dae later via 'n bondige boodskap op sy webwerf. Die vlugskedule was operasioneel, en gaste se reise is nie beïnvloed nie, het dit gesê.

Toe was dit Australië se beurt. Die Qantas-lugredery het ongewone aktiwiteit gesien op 'n derdeparty-platform wat deur hul kontaksentrum gebruik word. Die aanvaller het daarin geslaag om kliënte se name, adresse, telefoonnommers, geboortedatums en gereelde vliegnommers te steel.

Op 2 Julie het Qantas verklaar dat dit diensrekords vir ses miljoen kliënte op die platform gehad het en verwag het dat die proporsie gesteelde data “beduidend” sou wees. Die diewe het egter nie met betalingsinligting weggekom nie, het dit bygevoeg.

Hierdie aanvalle lyk gekoördineerd. Scattered Spider, die bedreigingsgroep wat ook vermoedelik verantwoordelik is vir aanvalle op die MGM Grand Casino en, meer onlangs, Marks & Spencer, het sy aandag op die lugvaartsektor gevestig, het die FBI gewaarsku.

Volgens die Buro kompromitteer die kriminele groep werknemersrekeninge deur hulptoonbanke te besoek en werknemers of kontrakteurs voor te doen, en operateurs te oortuig om hulle rekeningtoegang te gee. Dit sal dan dikwels daardie operateurs oortuig om MFA-toegang tot die rekeninge by te voeg, wat die wettige gebruikers uitsluit. Bronne het aangedui dat die lugredery-aanvalle die werk van hierdie groep blyk te wees.

'n Dekade van digitale turbulensie

Dit is nie die eerste keer dat 'n lugredery 'n kuberaanval in die gesig gestaar het nie. In 2015 het die Poolse lugredery LOT ly aan 'n DDoS-aanval wat dit verhoed het om vlugplanne uit te reik, wat 1,400 20 passasiers gestrand en XNUMX vlugte gekanselleer het.

Drie jaar later het aanvallers British Airways geteister deur 'n BA-netwerkrekening wat uitgereik is aan 'n werknemer by die vragverwerkingsmaatskappy Swissport, in gevaar te stel. 'n Gebrek aan MFA het die aanvallers in staat gestel om die rekening te kompromitteer en 'n kwesbaarheid in Citrix te benut om toegang tot die breër BA-netwerk te verkry. Van daar af het hulle toegang verkry tot geloofsbriewe op 'n Windows-domeindadministrateurrekening wat in gewone teks gestoor is. Die aanvaller, Magecart, het JavaScript op die lugredery se webwerf geplant en gesteel die betaalkaartbesonderhede van 380,000 20 kliënte. BA het 'n boete van £183 miljoen vrygespring, verminder van £XNUMX miljoen.

Voorvalle soos hierdie is gereeld genoeg om die lugvaartbedryf se kopieboek te vernietig. Sekuriteitsbestuursagtewaremaatskappy Security Scorecard gee die sektor 'n 'B' vir kuberveiligheid. Dit is nie 'n druippunt nie, sê die organisasie, maar dit maak maatskappye in hierdie sektor byna drie keer meer geneig om 'n oortreding te ly as dié in A-gegradeerde sektore.

Reguleerders neem kennis

Dis geen wonder nie, gegewe die uitgestrekte aanvalsoppervlak vir die meeste lugdienste. Dis nie net administratiewe stelsels wat 'n teiken is nie. Operasionele stelsels, wat wissel van toerusting by die lughawe tot toerusting aan boord, word ook bedreig.

Die meeste lugvaartoortredings is administratief en fokus op passasiers- en betalingsinligting eerder as die vliegtuie self; dinge sou egter baie ernstiger word as iemand operasionele tegnologie op vliegtuie in vlug sou teiken. Tot dusver was sulke oortredings meestal bewys-van-konsep-toetse. Reguleerders tref egter steeds voorkomende maatreëls. Die FAA voorgestelde nuwe reëls verlede jaar om vliegtuigstelsels te beskerm.

Die Amerikaanse Vervoersekuriteitsadministrasie (TSA) Opgelê nuwe kuberveiligheidsreëls vir lughawe- en vliegtuigoperateurs in 2023, insluitend netwerksegmenteringsvereistes. Die EU gepubliseer die Implementeringsverordening (EU) 2023/203 (Deel-IS) in Oktober 2022, wat reëls uiteensit vir die identifisering en bestuur van sekuriteitsrisiko's in lugvaartorganisasies. Dit tree vanjaar in werking.

Bou van Veerkragtige Lugvaartbedrywighede

Wat kan lugvaartmaatskappye doen om hulself teen groeiende kuberrisiko te beskerm? Alhoewel die regulatoriese standaarde sektorspesifiek is, het reguleerders in sommige gevalle die moeite gedoen om oorvleuel met ISO 27001Alhoewel lugvaartbedryfsorganisasies moontlik addisionele werk moet onderneem om aan spesifieke lugvaartveiligheidsvereistes wat in Deel IS uiteengesit word, te voldoen, is hulle nietemin "konsekwent en in lyn met ISO-IEC 27001" volgens die EU-lugvaartveiligheidsagentskap (EASA).

Die sekuriteitsmaatreëls wat lugvaartmaatskappye in plek moet stel, is nie vuurpylwetenskap nie. Die TSA se fokus is op netwerksegmenteringsbeleide en toegangsbeheer om te keer dat indringers jou netwerk binnedring. Vermanings om sagteware op te dateer, verskyn ook. Aanbevelings soos hierdie is selfs meer algemeen as badkamerrye op 'n langafstandvlug.

Net soos om nie op 'n vlug te rook nie, is die aanneem van goeie kuberveiligheidspraktyke op lugvaartnetwerke ononderhandelbaar. Die steel van passasiersrekeningdata is erg genoeg, maar sonder effektiewe beskerming kan die uitkomste van 'n meer gekoördineerde aanval deur 'n operateur wat deur iets anders as wins gedryf word, veel, veel erger wees.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 5 Februarie 2026

waarom reguleerders en beleggers verwag dat maatskappye 'n drievoudige risiko-blog sal aanspreek

Waarom Reguleerders en Beleggers Verwag dat Maatskappye 'n Drievoudige Risiko Aanspreek

Organisasies is bekommerd oor sekuriteits- en privaatheidsrisiko's. En meer onlangs het hulle aandag gegee aan KI-risiko's. Maar hoe gereeld dink hulle aan alles ...

Danny Bradbury

cyber Security 15 Januarie 2026

Van Perimetersekuriteit tot Identiteit as Sekuriteit

Jy kan deesdae nêrens na 'n sekuriteitsgebeurtenis kyk sonder om die frase 'nul vertroue' te sien nie. Dis 'n modewoord, nè?

Danny Bradbury

cyber Security 18 Desember 2025

hoe om deur die Amerikaanse KI-nakomingsdoolhofbanier te navigeer

Hoe om deur die Amerikaanse KI-nakomingsdoolhof te navigeer

Wanneer dit by regulering kom, is die term 'Verenigde State' 'n oksimoron. Staatswette is alles behalwe verenigd, met elke jurisdiksie wat tradisioneel...

Danny Bradbury