Wat is die EU se nuwe EAR-inligtingsekuriteitsreëls vir lugvaart?
INHOUDSOPGAWE:
Onlangse hersienings aan EU-wye kuberveiligheidsregulasies vir die lugvaartbedryf kan die aanvaarding van IT-industriestandaarde soos ISO 27001 bevorder.
Die eerste Maklike toegangsreëls (EAR) vir inligtingsekuriteit (Deel IS) van die Europese Unie-lugvaartveiligheidsagentskap (EASA) het "vereistes vir die bestuur van inligtingsekuriteitsrisiko's met 'n potensiële impak op lugvaartveiligheid" uiteengesit. Vorige kuberveiligheidsreëls was beperk tot OEM's – anders as die EAR (Deel IS), wat oor die hele lugvaartsektor geld. Voldoeningsperdatums van Oktober 2025 en Februarie 2026 sal van toepassing wees op verskillende tipes organisasies, soos omskryf in die ondersteuning van EU-wette.
Dit sluit in: instandhoudingsorganisasies, lugwaardigheidsbestuurverskaffers, lugoperateurs, lugvaart-mediese sentrums, lugverkeerbeheerdersopleidingsorganisasies en vlugsimulasietoesteloperateurs. Ook op die lys is lughawens, kommunikasie-infrastruktuurverskaffers, navigasie-infrastruktuurorganisasies, lugtorings en toesiguitrustings.
Die reëls is ontwerp om te verseker dat inligtingsekuriteitsrisiko's doeltreffend bestuur word binne die lugvaartbedryf, 'n belangrike faktor in veiligheid in die algemeen. Belyning met Amerikaanse lugvaartstandaarde is reeds ooreengekom, en gereelde opdaterings aan Maklike Toegang Reëls (Deel IS) word beplan, wat dit 'n stel regulasies maak wat mettertyd sal ontwikkel.
Bespeur, beskerm, reageer en herstel
Die bestuur van 'n inligtingsekuriteitbestuurstelsel (ISMS) is die sleutel vir lugvaartorganisasies wat aan die reëls moet voldoen. Ander belangrike komponente dek sekuriteitsmonitering, oudits en maatreëls wat organisasies na groter kuberveiligheidsvolwassenheid wys. Hulle is:
⦁ Vestig en bedryf 'n ISMS
⦁ Implementeer en handhaaf 'n inligtingsekuriteitsbeleid
⦁ Identifiseer, hersien en herstel inligtingsekuriteitsrisiko's
⦁ Bedreigingopsporing vir gebeure wat verband hou met lugvaartsekuriteit
⦁ Neem regstellende stappe om bevindings aan te spreek wat deur 'n bevoegde owerheid in kennis gestel is
⦁ Sekuriteitsverslaggewing
⦁ Nakomingsmonitering
⦁ Stel 'n deurlopende verbeteringsproses in
Ken Munro is uitvoerende hoof by Pen Test Partners, 'n firma van VK-gebaseerde penetrasietoetsers met kliënte in die lugvaartsektor. Hy sê aan ISMS.online dat die aanvaarding van ISO 27001 die lugvaartsektor-organisasie sal help om aan die nuwe EU-wye regulasies te voldoen.
"Die EAR (Deel IS) volg inderdaad bestaande standaarde soos ISO 27001 redelik noukeurig, so organisasies met bestaande voldoeningsraamwerke behoort kartering redelik eenvoudig te vind," verduidelik hy.
Verskillende vlakke van die aanvaarding van beste praktyke vir kuberveiligheid in die sektor kan egter vir sommige 'n uitdaging wees.
“Ons ervaring in die lugvaartsektor as geheel het baie wisselende vlakke van sekuriteitsvolwassenheid aangedui. Sommige hiervan is verstaanbaar: sou ons verwag dat 'n klein streeklughawe dieselfde vlak van volwassenheid as 'n groot spilpuntlughawe sal hê? Die uitdaging hier is dat die reisiger en hul bagasie gekeur word by die punt van inklok, nie oordrag nie, wat aansluitvlugte kan blootstel,” verduidelik Munro.
“Sou ons eweneens verwag dat 'n groot lugdiens dieselfde vlak van volwassenheid as 'n klein streekoperateur sal hê? Hulle sal soortgelyke vlugveiligheidsregimes hê, maar dieselfde mate van kuberveiligheidsregime is minder waarskynlik.”
Om 'n manier te vind om hierdie swak skakels in die ketting regoor die lugvaartsektor te versterk, is dus 'n uitdaging.
Onstuimigheid vorentoe?
Die nuwe reëls gee 'n paar voorbeelde van toepaslikheid in terme van hul omvang, terwyl dit 'n "bietjie kort van detail" is in vergelyking met ander skemas soos CAA ASSURE, volgens Munro.
Die CAA ASSURE (Cyber Audit)-skema is 'n derdeparty-ouditmodel wat deur die VK se Burgerlugvaartowerheid (CAA) in vennootskap met CREST ontwikkel is.
"Dit [gebrek aan detail in EAR] lyk 'n bietjie in stryd met die CAA ASSURE-skema, wat aansienlike pogings aanwend om kritieke stelsels by lugrederye en lughawens te identifiseer," verduidelik Munro. “Dit het operateurs gehelp om hul pogings te fokus op die stelsels wat vlugveiligheid kan beïnvloed of vlugte kan verhoed. Beide kan aansienlike veiligheidsimpakte hê.”
Munro sluit af: “Daar is 'n poging om 'n paar voorbeelde van potensiële aanvalle in Bylaag 1 te gee, maar dit lyk nogal 'n ewekansige keuse en mis talle belangrike gebiede. Die risiko hier is dat organisasies fokus op die voorbeelde wat gegee word ten koste van ander gebiede.”
Hugo Teso, 'n kommersiële vlieënier en 'n kenner in lugvaartkuberveiligheid, het as 'n eksterne deskundige gedien in die proses wat gelei het tot die ontwikkeling van die regulasie. In 'n pos op LinkedIn sê hy dat die regulasies verder gaan as om net 'n ISMS te vereis vir organisasies wat binne-omvang is.
Die ondersteunende dokument van 278 bladsye wat EAR Part-IS en hul omvang uiteensit, posisioneer 'n ISMS as 'n sleutelkomponent, maar geensins die enigste stap om daaraan te voldoen nie.
Berei voor vir opstyg
ISO 27001 is egter 'n goeie plek om te begin, volgens ander kenners.
"Terwyl lugvaartmaatskappye voorberei vir die komende EU-lugvaart-kubersekuriteitsregulasies EASA EAR Part-IS, is een van die eerste stappe wat hulle kan neem om 'n ISMS te vestig wat aan die ISO 27001-standaard voldoen," argumenteer Sam Peters, ISMS.online Hoofprodukbeampte.
"Deur nou proaktief te werk aan die voldoening aan ISO 27001, kan lugvaartorganisasies 'n voorsprong kry om aan EASA-vereistes te voldoen en aan reguleerders te demonstreer dat hulle kuberveiligheid ernstig opneem."
Peters gaan voort om 'n plan van aksie uit te stippel vir voldoeningsbestuurders en diegene wat verantwoordelik is vir kuberveiligheid in die lugvaartsektor.
"Die eerste fase sal wees om die omvang van die ISMS te definieer gebaseer op die maatskappy se lugvaartdienste en bates wat onder EASA-toesig sal val," sê hy.
“’n Omvattende risiko-evaluering kan dan kuberkwesbaarhede identifiseer en toepaslike beheermaatreëls vanaf ISO 27001 karteer om verdediging in kritieke gebiede te versterk. Dinge soos toegangsbeheerbeleide, verskafferbestuur, insidentreaksieplanne en personeelsekuriteitsopleiding moet geprioritiseer word.”
Ongeag die vereistes van EAR Part-IS, om ISO 27001 te word, sal sakevoordele aan lugvaartsektorverskaffers verleen.
“'n Bykomende voordeel van die aanvaarding van ISO 27001 is dat dit 'n holistiese, prosesgebaseerde benadering tot inligtingsekuriteit neem. Dit maak die ISMS 'n gesonde sakebestuurder, wat lugvaartmaatskappye in staat stel om ondoeltreffendheid te identifiseer, risiko te verminder en datagedrewe beleggingsbesluite oor die hele organisasie te neem,” sluit hy af.
“Namate die sperdatum vir EASA EAR Part-IS voldoening nader, sal die volg van gevestigde ISO 27001-raamwerke lugvaartorganisasies help om aan EASA-ouditeure te demonstreer dat hulle 'n volwasse ISMS geïmplementeer het wat aangepas is vir die unieke kuberrisiko's van die lugvaartbedryf. Deur vandag hierdie proaktiewe stappe te neem, sal die nakomingsreis môre gladder maak.”
