شناسهٔ خبر: 95752 - سرویس هوایی

نگاه؛

اقدامات راهبردی برای ارتقای امنیت سایبری در صنعت هوانوردی کشور

محمدسعید شرفی محمدسعید شرفی- کارشناس هوانوردی

امروزه، تمامی ساختارها و زیرساخت‌های مهم و حیاتی جوامع مدرن بشری (از قبیل ارتباطات، حمل‌و‌نقل، تجارت و بازرگانی، انرژی، نظام پولی و بانکی و نظام سلامت) وابستگی جدی به فضای سایبری دارند و این فضا نیز طی دو دهه اخیر بصورت فزاینده‌ای تحت تاثیر حملات و تهدیدات سایبری است. در این میان صنعت حمل‌و‌نقل هوایی با هدف ارتقای ایمنی، کارایی و بهره‌وری،  بصورت اجتناب ناپذیری به فناوری‌های نوین وابسته به رایانه‌ها تجهیز شده و به فضای سایبری وابسته است. یکپارچگی و ارتباطات پیچیده درون سیستمی این فناوری‌ها در صنعت هوانوردی، موجب ظهور و بروز تهدیدات و مخاطرات جدیدی شده، بهره‌برداری از سامانه‌های متعددی در زیر بخش‌های متنوع ناوبری هوایی، سامانه‌های کنترل داخل پرواز، سیستم‌های ارتباطی و مخابراتی، خدمات فرودگاهی و رزرواسیون، سامانه‌های اطلاعات پرواز، سامانه‌های نظارت امنیتی و ساختارهای بازرسی در عملیات روزمره، آسیب‌پذیری این صنعت را بشدت بالا برده است. 

با توجه به ضرورت محافظت از داده‌های حساس و طبقه‌بندی‌شده در صنعت هوانوردی و همچنین زیرساخت‌های حیاتی این صنعت و در راستای مقابله با هرگونه اقدامات خرابکارانه یا مداخلات غیرقانونی در امور هوانوردی و هواپیمایی و به منظور جلوگیری از وقوع مخاطرات ایمنی و امنیتی احتمالی علیه پروازها و مسافران، ایکائو موضوع امنیت سایبری هوانوردی را در قالب اسناد متعددی از جمله اعلامیه A 40-10  مجمع عمومی مورد توجه ویژه قرار داده، کشورهای عضو را به تدوین و پیاده‌سازی استراتژی‌های ملی امنیت سایبری در هوانوردی، ملزم کرده است.

پیش از پرداختن به اقدامات راهبردی که می‌تواند بعنوان بخشی از استراتژی صنعت هوانوردی جهت ارتقای سطح امنیت سایبری در دستور کار قرار گیرد، ذکر  این نکته ضروری است که مقوله تهدیدات سایبری علیه حمل‌و‌نقل هوایی، یک مقوله صرفا سطح مدیریت میانی یا کارشناسی نبوده و مستلزم توجه جدی مدیریت عالی سازمان هواپیمایی کشوری، شرکت‌های هواپیمایی، شرکت‌های فرودگاهی، ارائه دهندگان خدمات ناوبری هوایی و سایر زیر بخش‌های صنعت هوانوردی است. 

صنعت هوانوردی بصورت مستمر آماج تهدیدات رو به افزایش سایبری است، این تهدیدات با اهداف خرابکارانه، ایجاد وقفه و اخلال در کسب‌وکار صنعت، سرقت داده‌ها برای مقاصد سیاسی، بازرگانی و یا با انگیزه‌های دیگری انجام می‌شود. با درنظر گرفتن تنوع، تعدد، سرعت انتشار و ابعادی که تهدیدات یاد شده می‌تواند بر عملکرد صنعت داشته باشد، ضرورت دارد تدوین و پیاده‌سازی راهبردهای ملی یکپارچه در سطح صنعت در دستور کار شورای عالی هواپیمایی و سازمان هواپیمایی کشوری قرار گیرد.  چشم انداز صنعت هوانوردی در حوزه امنیت سایبری می‌بایست با تأکید بر محورهایی نظیر پایداری و تاب‌آوری صنعت هوانوردی کشور در مقابل تهدیدات و حملات سایبری، ارتقای ایمنی، امنیت و بهره‌وری با تأکید بر استفاده از فناوری‌های نوین و  قابلیت اعتماد ملی و اعتبار جهانی تعریف و تدوین شود.

بر این اساس ذینفعان و زیربخش‌های صنعت حمل‌و‌نقل هوایی ضمن التزام کامل به مقوله‌های ایمنی، امنیت، کارایی و توسعه مستمر صنعت، نسبت به اتخاذ اقدامات لازم جهت مقابله با تهدیدات سایبری بر مبنای یک رویکرد مبتنی بر آنالیز و تحلیل سطح مخاطرات سایبری اهتمام خواهند داشت. راهبردهای ملی امنیت سایبری صنعت هوانوردی جمهوری اسلامی ایران، می‌بایست در تطابق با اهداف ملی و بین‌المللی صنعت و در قالب ۷ محور ذیل تدوین شوند: 

همکاری و استفاده از ظرفیت‌های منطقه‌ای و بین‌المللی

هر دو مقوله صنعت هوانوردی و امنیت سایبری از ویژگی فرامرزی برخوردارند، پرداختن به چالش‌های دارای ابعاد فرامرزی مستلزم توجه، اهتمام و همکاری منطقه‌ای و بین‌المللی است. بنابراین از طریق همکاری‌های منطقه‌ای و بین‌المللی می‌توان امنیت سایبری را بنحوی ارتقاء داد که منجر به ارتقای سطح ایمنی و امنیت در صنعت هوانوردی شود. مهم‌ترین عامل برای تشویق کشورها در راستای همکاری در مقوله ارتقای امنیت سایبری در صنعت هوانوردی،  ارتباط تنگاتنگ سامانه‌ها و وابستگی کشورهای همسایه به استمرار ارائه خدمات ایمن، حفظ ارتباط قابل اعتماد و تبادل به هنگام و مستمر داده‌های پروازی و ترافیک هوایی در واحدهای مراقبت پرواز، استفاده از آسمان یکدیگر برای انجام پروازهای عبوری و همچنین بهره‌مندی گسترده اتباع یک کشور از ناوگان شرکت‌های هواپیمایی یا زیرساخت‌های فرودگاهی یکدیگر در سفرهای بین‌المللی است. 

اتخاذ راهبردها، بکارگیری فناوری‌ها و روش‌های مورد نیاز جهت ارتقای امنیت سایبری می‌بایست علاوه بر سطح ملی در عرصه‌های منطقه‌ای و جهانی نیز هماهنگ شده، مورد اتفاق نظر نسبی و در اولویت همکاری قرار گیرد. در حال حاضر علاوه بر ضرورت توجه به توافقات دو جانبه با همسایگان، عرصه مناسب و قابل اطمینان برای هماهنگی اقدامات امنیت سایبری در راستای دستیابی به سطح قابل قبول تاب‌آوری و مقابله با تهدیدات، دفتر منطقه‌ای ایکائو در خاورمیانه است. بنابراین جمهوری اسلامی ایران با جلب نظر دفتر منطقه‌ای خاورمیانه و در سطح بالاتر رایزنی فعال با اعضای شورای ایکائو نسبت حساسیت موضوع و ضرورت اتخاذ تصمیمات عاجل و هماهنگ فی‌مابین کشورهای منطقه تاکید کرده، ضمن تاکید بر جایگاه راهبردی ایران در منطقه پرترافیک خاورمیانه و غرب آسیا و با توجه به احتمال توقف یا ایجاد اختلال در ارائه خدمات ناوبری هوایی و فرودگاهی منطقه متأثر از تهدیدات سایبری علیه زیرساخت‌های هر یک از کشورهای عضو، هرگونه تهدید سایبری علیه صنعت هوانوردی ایران را واجد آثار تبعی سلبی جدی علیه ناوبری هوایی منطقه معرفی کند. 

پیشنهاد ایجاد یک کارگروه تخصصی جهت بررسی راهبردهای منطقه‌ای و اقدامات هماهنگ، می‌تواند ضمن کاهش هزینه‌های صنعت هوانوردی ایران در زمینه ارتقاء امنیت سایبری، موجبات بهره‌مندی از تجارب منطقه‌ای و حمایت بین‌المللی از امنیت زیرساخت‌های هوانوردی ایران بعنوان بخشی از برنامه ناوبری هوایی منطقه موسوم به MID Regional Air Navigation Plan  را فراهم سازد.

ساختار حکمرانی و مسئولیت پذیری در سطح ملی 

سازمان هواپیمایی کشوری می‌بایست ضمن پایبندی و تاکید بر ضرورت استفاده از فناوری‌های رایانه‌محور و توسعه روند هوشمندسازی صنعت هوانوردی، در راستای ارتقای ایمنی، امنیت و بهره‌وری حمل‌و‌نقل هوایی کشور، با همکاری نهادهای کشوری متولی امنیت سایبری، نسبت به تدوین و تبیین ساختار جامع حکمرانی و فرآیندهای مدیریتی مقوله امنیت سایبری  اقدام کند. سازمان می‌بایست از هر یک از ذینفعان بخواهد تا در خصوص عملکرد و علل ناکامی‌های احتمالی در مقابله با تهدیدات سایبری پاسخگو باشند. طراحی و پیاده‌سازی ساختار ارتباطی میان نهادهای کشوری مسئول امنیت سایبری و زیربخش‌های صنعت هوانوردی کشور از اهمیت بسزایی برخوردار است که می‌بایست در دستور کار قرار گیرد.

تدوین و ابلاغ قوانین و مقررات کارآمد و بازدارنده 

سازمان هواپیمایی کشوری، زیربخش‌های صنعت هوانوردی و نخبگان می‌بایست ضمن بررسی قوانین و مقررات جاری ملی در زمینه امنیت سایبری و  شناسایی خلاء های قانونی احتمالی، نسبت به هماهنگی اعمال رویکردها و استانداردهای بین‌المللی ایکائو ناظر بر مقابله با اقدامات تروریستی سایبری، مداخلات غیرقانونی و حملات سایبری علیه زیرساخت‌های مهم و حیاتی صنعت، در مقررات ملی اهتمام ورزیده و با تعامل حداکثری با قوای مقننه و قضائیه در خصوص تصویب و اجرای مقررات و قوانین سختگیرانه، کارآمد و بازدارنده متناسب با آسیب‌های احتمالی اقدامات غیرمجاز یادشده، صنعت حمل و نقل هوایی را از اینگونه اقدامات مصون دارند. 

تبیین جایگاه امنیت سایبری در برنامه‌های ملی ایمنی و امنیت هوانوردی کشور 

بر اساس استانداردهای ایکائو  در قالب ضمائم (انکس‌های) ۱، ۶، ۱۱، ۱۳، ۱۴، و ۱۹ پیمان شیکاگو، هر یک از کشورهای عضو پیمان موظف است برنامه ملی ایمنی هوانوردی خود موسوم به State Safety Programme  را با هدف تأمین و تضمین سطح قابل قبولی از ایمنی در صنعت هوانوردی تدوین و اجرایی کند. در حوزه امنیت نیز کشورهای عضو پیمان، به موجب استانداردهای مندرج در ضمیمه ۱۷ پیمان شیکاگو به منظور پیشگیری از مداخلات غیرمجاز در امور هواپیمایی از جمله هواپیماربایی، گروگانگیری داخل هواپیما و مبادله داده‌های گمراه کننده با هدف اخلال در امنیت هواپیمایی، ملزم هستند برنامه دیگری تحت عنوان برنامه ملی امنیت هواپیمایی کشوری National Civil Aviation Security Programme را تهیه و به ذینفعان و زیربخش‌های صنعت ابلاغ کنند. 

با در نظر گرفتن تأثیر مستقیم موضوعات امنیت سایبری بر مقوله‌های ایمنی و امنیت هوانوردی از یکطرف و ضرورت اتخاذ یک رویکرد مبتنی بر محاسبه و آنالیز ریسک (مخاطرات) از طرف دیگر، اعمال راهبردها و سیاست‌های ناظر بر امنیت سایبری در دو برنامه ملی یاد شده و همچنین نظام بازرسی‌ها و ممیزی‌های ایمنی و امنیتی سازمان هواپیمایی کشوری از زیربخش‌های مختلف صنعت غیرقابل چشم پوشی است. توصیه می‌شود سیاست‌های امنیت سایبری در تمام مراحل چرخه حیات صنعت اعمال و در فرآیندهای مختلف اداره صنعت و ارائه خدمات، مدنظر قرار گیرد.

به اشتراک گذاری  داده‌ها و اطلاعات مرتبط با تهدیدات و حملات سایبری 

صنعت حمل‌و‌نقل هوایی یک سیستم یکپارچه و بهم پیوسته است که از زیر‌بخش‌ها و زیرسیستم‌های متعددی تشکیل شده است. هرگونه حمله سایبری به زیرسیستم‌ها  و زیربخش‌های این صنعت می‌تواند واجد آثار سلبی بر کل سیستم و عملکرد سایر زیر‌بخش‌ها باشد. به همین منظور تعریف یک مکانیزم مطمئن تبادل و به اشتراک‌گذاری داده‌ها و اطلاعات موجب شناسایی به موقع مخاطرات و مقابله متناسب با این رویدادها و تهدیدات در سایر زیر‌بخش‌های این سیستم حساس و پیچیده می‌شود. 

فرهنگ به اشتراک گذاری اطلاعات امنیت سایبری در میان زیر‌بخش‌های سیستم صنعت حمل‌و‌نقل هوایی می‌تواند همانند فرهنگ تبادل و به اشتراک‌گذاری داده‌های ایمنی، موجبات کاهش مخاطرات و ارتقای عملکرد کل سیستم باشد. بنابراین سازمان هواپیمایی کشوری و نهادهای متولی امنیت سایبری می‌بایست ایجاد بسترهای مطمئن تبادل داده‌ها و اطلاعات حملات و تهدیدات سایبری را درون صنعت ایجاد کرده، ترویج فرهنگ اشتراک‌گذاری داده‌ها را بعنوان یک راهبرد ملی در سطح صنعت دنبال کنند. 

مدیریت رویدادها و بحران‌های ناشی از تهدیدات و حملات سایبری و بهره‌گیری از طرح‌های اضطراری

صنعت هوانوردی ملزم است در راستای استمرار خدمات ایمن و مدیریت بحران،  برای زمان وقوع حوادث و بلایای طبیعی یا سوانح هوایی، برنامه‌ها و طرح‌های اضطراری موسوم به Contingency Plan تدوین کرده و بر اساس مقررات در بازه‌های مناسب مورد تمرین و بازنگری قرار دهد. تمام زیربخش‌های صنعت می‌بایست طرح‌های اضطراری مدون و مناسب بهره‌برداری در سناریوهای مختلف داشته و پرسنل خود را نسبت به این طرح‌ها توجیه کرده و به روز نگاه دارند. از مهم‌ترین بخش‌های برنامه یا طرح اضطراری، اقدامات ناظر بر بازیابی ارائه ایمن خدمات و بازگشت به شرایط عادی است. بر این اساس ضرورت دارد سازمان هواپیمایی کشوری و سایر زیر‌بخش های صنعت درج سناریوهای تهدیدات و حملات سایبری در طرح‌های اضطراری را در دستور کار قرار داده، تمرینات مرتبط را در سطوح ملی، سازمانی و واحد‌های عملیاتی طراحی و با هماهنگی نهادهای ملی متولی امنیت سایبری در کشور اجراء کنند. 

توانمندسازی، آموزش و فرهنگ‌سازی در حوزه امنیت سایبری

منابع انسانی کارآمد یکی از عوامل مهم در ارتقای امنیت سایبری است. در اختیار داشتن پرسنل مسلط به دو مقوله هوانوردی و امنیت سایبری از مهم‌ترین گام‌های صنعت جهت مقابله با تهدیدات سایبری و افزایش سطح تاب‌آوری در زمان مواجهه با حملات یاد شده است. استخدام افراد دارای شرایط فوق‌الذکر یا ارتقای سطح آگاهی پرسنل مجرب هوانوردی در ارتباط با مقوله و موضوعات امنیت سایبری و همچنین تشویق کارکنان صنعت به تحصیل در رشته‌های دانشگاهی مرتبط، می‌تواند تأثیر بسزایی در ارتقای امنیت هوانوردی از منظر سایبری داشته باشد. 

تدوین سیلابس‌ها و طرح درس دوره‌های آموزشی تخصصی امنیت سایبری در صنعت حمل‌و‌نقل هوایی برای تمام سطوح کارکنان صنعت، علاوه بر برگزاری آموزش‌های عمومی امنیت سایبری، از راهبردهایی است که می‌بایست توسط بخش‌های توسعه منابع انسانی ذینفعان مختلف صنعت، در دستور کار قرار گیرد. 

تشویق پرسنل به ارائه طرح‌های نوآورانه در زمینه ارتقاء امنیت سایبری با توجه به اشراف ایشان به خلاء‌های احتمالی در سطح عملیات روزمره و ترغیب ایشان به رصد علائم حملات سایبری احتمالی و گزارش به موقع رویدادها به بخش مانیتورینگ امنیت سایبری مجموعه، از جمله اقداماتی است که می بایست مورد اهتمام ویژه قرار گیرد. 

برنامه‌ریزی در جهت توانمندسازی نسل آتی متخصصان صنعت هوانوردی از طریق گنجاندن آموزش‌های تخصصی مرتبط با امنیت سایبری در سیلابس دوره‌های آکادمیک تربیت پرسنل کنترل ترافیک هوایی، مهندسان تعمیر و نگهداری هواپیما، خلبانان و سایر بخش‌های عملیاتی و ستادی زیر‌بخش‌های صنعت از مهم‌ترین راهبردهایی است که می‌بایست مورد توجه سازمان هواپیمایی کشوری، موسسات و مراکز آموزشی و ذینفعان متعدد صنعت حمل‌و‌نقل هوایی کشور باشد.