В 2022 году Экспертный совет МОД «Аэронавигация Без Границ» в публикации М.В. Орлова и Е.М. Ватрухина в очередной раз поднимал тему, связанную с вопросами обеспечения кибербезопасности критической информационной инфраструктуры гражданской авиации, см. здесь >>
Риски стремительно растут, налицо острая необходимость в устойчивом механизме обеспечения кибербезопасности на международном, региональном и национальном уровнях при использовании воздушного пространства.
19 июля 2024 года мир в очередной раз колыхнуло кибератакой (вне сомнений) на незащищённые IT-облачные решения фирмы Microsoft, используемые достаточно широко во многих сферах этого рынка. Область гражданской авиации, как наиболее глобальная по своей сути, одной из первых почувствовала болезненный шок от сбоя работы некоторых своих сервисов, ориентированных на продукт Microsoft, повлекшего задержки и отмены рейсов, неразбериху и финансовые потери авиаперевозчиков и аэропортов.
Отечественная авиационная инфраструктура, судя по реакции, осталась, видимо, незатронутой и это даёт основания полагать, что работы по замене импортных программных продуктов на отечественные в критической информационной инфраструктуре отрасли в соответствии с государственной политикой всё-таки идут и, вероятно, уже демонстрируют определенный результат.
Полагать при этом, что нас это не коснулось, поскольку мы киберзащищены, было бы самоуспокоенностью. В отрасли даже нормативные требования к киберзащите не сформированы.
За прошедшее с 2013 года время, когда проблема кибербезопасности в гражданской авиации стала общепризнанной и приоритетной, сформировались необходимые национальные и международные организационные и методические рекомендации для формирования национальной политики в области кибербезопасности.
И эти рекомендации для отечественной авиационной отрасли, включая государственную авиацию, целесообразно было бы изложить, прежде всего, в двух базовых документах: «Стратегии развития аэронавигационной системы РФ до 2030 года» и «Аэронавигационного плана РФ», проекты которых были разработаны по заказу Государственной корпорации по организации воздушного движения (ГК по ОрВД) в 2016 — 2018 годах.
В 2018 году эти документы, будучи представленными Минтрансу России и другим ведомствам на экспертную оценку и согласование, к сожалению, не содержали ни слова о необходимости защиты информационного поля Аэронавигационной системы.
Учитывая замечания специалистов, Минтранс России предложил исполнителю включить в документы понятие и необходимые работы по обеспечению информационной безопасности аэронавигационной системы (АНС) РФ и, в частности:
«…обеспечить необходимость защиты оперативно передаваемых данных между системами в контроля, организации и мониторинга ВП, в том числе информации о планах полётов, центров ЕС ОрВД, органов ЕС АКПС и военного управления, а также в цифровых ЛПД «борт-земля» пилотируемой и беспилотной авиации» (исх. МТ РФ № 01-05/9747-ис от 10.05.2018).
Это означает, что защищены должны быть все наземные и бортовые программно-аппаратные средства и все каналы связи и обмена информацией воздушного судна с внешней средой, включая каналы голосовой радиосвязи.
Реакция Минобороны была более короткой и категоричной — «согласовывать преждевременно», вероятно, по причине полного отсутствия в документах упоминания вопроса информационной безопасности, как основы национальной безопасности.
Реакция Проектного офиса, сформированного для рассмотрения этих документов, неизвестна, как и неизвестна была дальнейшая судьба Стратегии АНС и Аэронавигационного плана РФ.
Прошло 6 лет. Мировое авиационное сообщество продвигает «блочную концепцию»(ASBU) развития авиационных систем, чётко и последовательно изложенную в Глобальном аэронавигационном плане ИКАО. Появились дополнения в документе ИКАО «Авиационная электросвязь» (Приложение 10) в части необходимости киберзащиты линии управления и контроля (С2) в дистанционно пилотируемых авиационных системах (ДПАС).
Однако, на сегодня ни в Воздушном кодексе РФ, ни в других нормативных актах в сфере гражданской авиации, включая процедуры подтверждения соответствия (сертификации), ни в последних редакциях Стратегии, АНП и Плана мероприятий (дорожной карты) соответствующих изменений в части кибербезопасности нет.
Первый тайм мы уже проиграли?
Ведущиеся в настоящее время работы по совершенствованию инфраструктуры и средств Аэронавигационной системы РФ выполняются промышленностью в условиях и обстоятельствах, указывающих на недостаточность нормативной базы, которая, как представляется, должна включать в себя соответствующие стратегические для отрасли документы, некоторые из которых пока отсутствуют.
Вероятно, пора вернуться в исходную точку и, уже с учётом проблем беспилотной авиации, их подготовить (доработать ранее разработанные), согласовать и представить авиационному сообществу.
В данной публикации отражено мнение членов Экспертного совета МОД «Аэронавигация Без Границ».