با توجه به ضرورت محافظت از دادههای حساس و طبقهبندی شده در صنعت هوانوردی و همچنین زیرساختهای حیاتی این صنعت و در راستای مقابله با هرگونه اقدامات خرابکارانه یا مداخلات غیرقانونی در امور هوانوردی و هواپیمایی و به منظور جلوگیری از وقوع مخاطرات ایمنی و امنیتی احتمالی علیه پروازها و مسافران، ایکائو موضوع امنیت سایبری هوانوردی را در قالب اسناد متعددی از جمله اعلامیه A 40-10 مجمع عمومی مورد توجه ویژه قرار داده و کشورهای عضو را به تدوین و پیادهسازی استراتژیهای ملی امنیت سایبری در هوانوردی، ملزم کرده است.
پیش از پرداختن به اقدامات راهبردی که میتواند بهعنوان بخشی از استراتژی صنعت هوانوردی جهت ارتقای سطح امنیت سایبری در دستور کار قرار گیرد، ذکر این نکته ضروری است که مقوله تهدیدات سایبری علیه حملونقل هوایی، صرفا در سطح مدیریت میانی یا کارشناسی نبوده و مستلزم توجه جدی مدیریت عالی سازمان هواپیمایی کشوری، شرکتهای هواپیمایی، شرکتهای فرودگاهی، ارائهدهندگان خدمات ناوبری هوایی و سایر زیربخشهای صنعت هوانوردی است.
با توجه به تخصصی بودن مقوله فناوری اطلاعات بهصورت عام و پیچیدگی موضوعات امنیت سایبری بهصورت خاص و با در نظر گرفتن احتمال عدم اشراف مدیران عالی صنعت به جزئیات امنیت سایبری، ممکن است ارتباط با کارشناسان موضوعی به دلیل تفاوت رویکردهای سطح راهبردی و عملیات، برآورد هزینههای لازم جهت تامین یا ارتقای امنیت سایبری و بسیاری از موضوعات دیگر، به چالشهای مدیریت کلان و میانی دستگاه تبدیل شوند، بنابراین مدیران ارشد به منظور اجتناب از ورود به موضوعات تاکتیکی و فناورانه، میبایست از زیر مجموعه خود بخواهند به ۵ سوال راهبردی ذیل پاسخ دهند:
1- آیا تهدیداتی که از ناحیه امنیت سایبری متوجه سازمان یا شرکت هستند شناسایی و احصاء شدهاند؟ تاثیر این تهدیدات بر عملکرد سازمان، شرکت و یا کسبوکار چه خواهد بود؟
۲- آیا سطح مخاطرات احتمالی از ناحیه تهدیدات امنیت سایبری برای سازمان یا شرکت محاسبه شده است؟ تمهیدات مقابلهای اندیشیده شده است یا خیر؟ تمهیدات و برنامههای پیادهسازی شده متناسب با سطح مخاطرات است یا خیر؟
۳- آیا برنامه سازمان یا شرکت برای مقابله با تهدیدات سایبری، منطبق با استانداردهای ملی و صنعت هوانوردی است یا خیر؟
۴- چه تعداد و چه نوع تهدیدات یا حملات سایبری در بازه زمانی یک هفتهای، علیه سازمان یا شرکت شناسایی شده و مورد مقابله قرار گرفته است؟
۵- برنامه اجرایی و اضطراری سازمان یا شرکت در صورت مواجه با حملات جدی سایبری و نفوذ به سامانههای مجموعه چیست و در چه بازههایی مورد تست قرار میگیرند؟
حال با این توضیحات، در ادامه به طرح مساله میپردازیم.
صنعت هوانوردی بهصورت مستمر آماج تهدیدات رو به افزایش سایبری است، این تهدیدات با اهداف خرابکارانه، ایجاد وقفه و اخلال در کسبوکار صنعت، سرقت دادهها برای مقاصد سیاسی، بازرگانی و یا با انگیزههای دیگری صورت میگیرد. با در نظر گرفتن تنوع، تعدد، سرعت انتشار و تاثیراتی که تهدیدات یاد شده میتواند بر عملکرد صنعت داشته باشد، ضرورت دارد تدوین و پیادهسازی راهبردهای ملی یکپارچه در سطح صنعت در دستور کار شورای عالی هواپیمایی و سازمان هواپیمایی کشوری قرار گیرد.
در عین حال، چشمانداز صنعت هوانوردی در حوزه امنیت سایبری میبایست با تاکید بر محورهایی نظیر، پایداری و تابآوری صنعت هوانوردی کشور در مقابل تهدیدات و حملات سایبری، ارتقای ایمنی، امنیت و بهرهوری با تاکید بر استفاده از فنآوریهای نوین و قابلیت اعتماد ملی و اعتبار جهانی تعریف و تدوین گردد.
بر این اساس ذینفعان و زیربخشهای صنعت حملونقل هوایی ضمن التزام کامل به مقولههای ایمنی، امنیت، کارایی و توسعه مستمر صنعت، باید نسبت به اتخاذ اقدامات لازم جهت مقابله با تهدیدات سایبری بر مبنای یک رویکرد مبتنی بر آنالیز و تحلیل سطح مخاطرات سایبری اهتمام ورزند.
راهبردهای ملی امنیت سایبری صنعت هوانوردی ایران، میبایست در تطابق با اهداف ملی و بینالمللی صنعت و در قالب ۷ محور ذیل تدوین شوند:
۱- همکاری و استفاده از ظرفیتهای منطقهای و بینالمللی
۲- حکمرانی و مسئولیتپذیری در سطح ملی
۳- تدوین و ابلاغ قوانین و مقررات کارآمد و بازدارنده
۴- تبیین جایگاه امنیت سایبری در برنامههای ملی ایمنی و امنیت هوانوردی کشو.
۵- به اشتراکگذاری دادهها و اطلاعات مرتبط با تهدیدات و حملات سایبری
۶- مدیریت رویدادها و بحرانهای ناشی از تهدیدات و حملات سایبری و بهرهگیری از طرحهای اضطراری
۷- توانمندسازی، آموزش و فرهنگسازی در حوزه امنیت سایبری
استفاده از ظرفیتهای منطقهای و بینالمللی
هر دو مقوله صنعت هوانوردی و امنیت سایبری از ویژگی فرامرزی برخوردارند، بنابراین پرداختن به چالشهای آن نیز مستلزم توجه، اهتمام و همکاری منطقهای و بینالمللی است. مهمترین عامل برای تشویق کشورها در راستای همکاری در مقوله ارتقای امنیت سایبری در صنعت هوانوردی، ارتباط تنگاتنگ سامانهها و وابستگی کشورهای همسایه به استمرار ارائه خدمات ایمن، حفظ ارتباط قابل اعتماد و تبادل به هنگام و مستمر دادههای پروازی و ترافیک هوایی در واحدهای مراقبت پرواز، استفاده از آسمان یکدیگر برای انجام پروازهای عبوری و همچنین بهرهمندی گسترده اتباع یک کشور از ناوگان شرکتهای هواپیمایی یا زیرساختهای فرودگاهی یکدیگر در سفرهای بینالمللی است.
اتخاذ راهبردها، بهکارگیری فنآوریها و روشهای مورد نیاز جهت ارتقای امنیت سایبری میبایست علاوه بر سطح ملی در عرصههای منطقهای و جهانی نیز هماهنگ، دارای اتفاق نظر نسبی و در اولویت همکاری قرار گیرد. در حال حاضر، عرصه مناسب و قابل اطمینان برای هماهنگی اقدامات امنیت سایبری در راستای دستیابی به سطح قابل قبول تابآوری و مقابله با تهدیدات، دفتر منطقهای ایکائو در خاورمیانه است. بنابراین ایران با جلب نظر دفتر منطقهای خاورمیانه و در سطح بالاتر رایزنی فعال با اعضای شورای ایکائو، میبایست ضمن تاکید بر جایگاه راهبردی کشور در منطقه پرترافیک خاورمیانه و غرب آسیا، احتمال توقف یا ایجاد اختلال در ارائه خدمات ناوبری هوایی و فرودگاهی منطقه متاثر از تهدیدات سایبری علیه زیرساختهای هر یک از کشورهای عضو، هرگونه تهدید سایبری علیه صنعت هوانوردی ایران را واجد آثار تبعی سلبی جدی، علیه ناوبری هوایی منطقه معرفی نماید.
پیشنهاد ایجاد یک کارگروه تخصصی جهت بررسی راهبردهای منطقهای و اقدامات هماهنگ، میتواند ضمن کاهش هزینههای صنعت هوانوردی ایران در زمینه ارتقای امنیت سایبری، موجبات بهرهمندی از تجارب منطقهای و حمایت بینالمللی از امنیت زیرساختهای هوانوردی ایران را بهعنوان بخشی از برنامه ی ناوبری هوایی منطقه موسوم به MID Regional Air Navigation Plan فراهم سازد .
ساختار حکمرانی و مسئولیتپذیری در سطح ملی
سازمان هواپیمایی کشوری میبایست ضمن پایبندی و تاکید بر ضرورت استفاده از فنآوریهای رایانهمحور و توسعه روند هوشمندسازی صنعت هوانوردی، در راستای ارتقای ایمنی، امنیت و بهرهوری حملونقل هوایی کشور، با همکاری نهادهای کشوری متولی امنیت سایبری، نسبت به تدوین و تبیین ساختار جامع حکمرانی و فرآیندهای مدیریتی در مقوله امنیت سایبری اقدام کند. سازمان میبایست از هر یک از ذینفعان بخواهد تا در خصوص عملکرد و علل ناکامیهای احتمالی در مقابله با تهدیدات سایبری پاسخگو باشند. طراحی و پیادهسازی ساختار ارتباطی میان نهادهای کشوری مسئول امنیت سایبری و زیربخشهای صنعت هوانوردی کشور از اهمیت بهسزایی برخوردار است که باید در دستور کار قرار گیرد .
تدوین و ابلاغ مقررات کارآمد و بازدارنده
سازمان هواپیمایی کشوری، زیربخشهای صنعت هوانوردی و نخبگان میبایست ضمن بررسی قوانین و مقررات جاری ملی در زمینه امنیت سایبری و شناسایی خلاءهای قانونی احتمالی، نسبت به هماهنگی رویکردها و استانداردهای بینالمللی ایکائو ناظر بر مقابله با اقدامات تروریستی سایبری، مداخلات غیرقانونی و حملات سایبری با مقررات ملی اهتمام ورزیده و با تعامل حداکثری با قوای مقننه و قضائیه در خصوص تصویب و اجرای مقررات و قوانین سختگیرانه، کارآمد و بازدارنده متناسب با آسیبهای احتمالی اقدامات غیرمجاز، صنعت حملونقل هوایی را از اینگونه اقدامات مصون دارند.
جایگاه امنیت سایبری در برنامههای ملی امنیت هوانوردی
بر اساس استانداردهای ایکائو در قالب ضمائم (انکسهای) ۱، ۶، ۱۱، ۱۳، ۱۴ و ۱۹ پیمان شیکاگو، هر یک از کشورهای عضو پیمان موظف است برنامه ملی ایمنی هوانوردی خود موسوم به State Safety Programme را با هدف تامین و تضمین سطح قابل قبولی از ایمنی در صنعت هوانوردی، تدوین و اجرایی نماید. در حوزه امنیت نیز کشورهای عضو پیمان، به موجب استانداردهای مندرج در ضمیمه ۱۷ پیمان شیکاگو به منظور پیشگیری از مداخلات غیرمجاز در امور هواپیمایی از جمله هواپیماربایی، گروگانگیری داخل هواپیما و مبادله دادههای گمراهکننده با هدف اخلال در امنیت هواپیمایی، ملزم هستند برنامه دیگری تحت عنوان برنامه ملی امنیت هواپیمایی کشوری National Civil Aviation Security Programme را تهیه و به ذینفعان و زیربخشهای صنعت ابلاغ کنند.
با در نظر گرفتن تاثیر مستقیم موضوعات امنیت سایبری بر مقولههای ایمنی و امنیت هوانوردی از یکطرف و ضرورت اتخاذ یک رویکرد مبتنی بر محاسبه و آنالیز ریسک (مخاطرات) از طرف دیگر، اعمال راهبردها و سیاستهای ناظر بر امنیت سایبری در دو برنامه ملی یاد شده و همچنین نظام بازرسیها و ممیزیهای ایمنی و امنیتی سازمان هواپیمایی کشوری غیرقابل چشمپوشی است. توصیه میشود سیاستهای امنیت سایبری در تمام مراحل چرخه حیات صنعت اعمال و در فرآیندهای مختلف اداره صنعت و ارائه خدمات، مدنظر قرار گیرد .
به اشتراکگذاری دادهها و اطلاعات مرتبط
صنعت حملونقل هوایی یک سیستم یکپارچه و بهم پیوسته است که از زیربخشها و زیرسیستمهای متعددی تشکیل شده است. هرگونه حمله سایبری به زیرسیستمها و زیربخشهای این صنعت میتواند واجد آثار سلبی بر کل سیستم و عملکرد سایر زیربخشها باشد. به همین منظور تعریف یک مکانیزم مطمئن تبادل و به اشتراکگذاری دادهها و اطلاعات موجب شناسایی بهموقع مخاطرات و مقابله متناسب با این رویدادها و تهدیدات در سایر زیربخشهای این سیستم حساس و پیچیده میگردد.
فرهنگ به اشتراکگذاری اطلاعات امنیت سایبری در میان زیربخشهای سیستم صنعت حملونقل هوایی میتواند همانند فرهنگ تبادل و به اشتراکگذاری دادههای ایمنی، موجبات کاهش مخاطرات و ارتقای عملکرد کل سیستم باشد. بنابراین سازمان هواپیمایی کشوری و نهادهای متولی امنیت سایبری میبایست ایجاد بسترهای مطمئن تبادل دادهها و اطلاعات حملات و تهدیدات سایبری را درون صنعت ایجاد کرده، ترویج فرهنگ اشتراکگذاری دادهها را بهعنوان یک راهبرد ملی در سطح صنعت دنبال کنند.
مدیریت بحرانهای ناشی از حملات سایبری
صنعت هوانوردی ملزم است در راستای استمرار خدمات ایمن و مدیریت بحران، برای زمان وقوع حوادث و بلایای طبیعی یا سوانح هوایی، برنامهها و طرحهای اضطراری موسوم به Contingency Plan را تدوین کرده و براساس مقررات در بازههای مناسب مورد تمرین و بازنگری قرار دهد. تمام زیربخشهای صنعت میبایست طرحهای اضطراری مدون و مناسب بهرهبرداری در سناریوهای مختلف داشته و پرسنل خود را نسبت به این طرحها توجیه کرده و بهروز نگاه دارند.
از مهمترین بخشهای برنامه یا طرح اضطراری، اقدامات ناظر بر بازیابی ارائه ایمن خدمات و بازگشت به شرایط عادی است. بر این اساس ضرورت دارد سازمان هواپیمایی کشوری و سایر زیربخشهای صنعت، پیشبینی سناریوهای مختلف تهدیدات و حملات سایبری را در طرحهای اضطراری در دستور کار قرار داده، تمرینات مرتبط را در سطوح ملی، سازمانی و واحدهای عملیاتی طراحی و با هماهنگی نهادهای ملی متولی امنیت سایبری در کشور اجرا کنند.
توانمندسازی و فرهنگسازی در حوزه امنیت سایبری
منابع انسانی کارآمد یکی از عوامل مهم در ارتقای امنیت سایبری است. در اختیار داشتن پرسنل مسلط به دو مقوله هوانوردی و امنیت سایبری از مهمترین گامهای صنعت جهت مقابله با تهدیدات سایبری و افزایش سطح تابآوری در زمان مواجهه با حملات یاد شده است. استخدام افراد دارای شرایط فوق یا ارتقای سطح آگاهی پرسنل مجرب هوانوردی در ارتباط با مقوله و موضوعات امنیت سایبری و همچنین تشویق کارکنان صنعت به تحصیل در رشتههای دانشگاهی مرتبط، میتواند تاثیر بهسزایی در ارتقای امنیت هوانوردی از منظر سایبری باشد.
تدوین سیلابسها و طرح درس دورههای آموزشی تخصصی امنیت سایبری در صنعت حملونقل هوایی برای تمام سطوح کارکنان صنعت، علاوه بر برگزاری آموزشهای عمومی امنیت سایبری، ازجمله راهبردهایی است که میبایست توسط بخشهای توسعه منابع انسانی ذینفعان مختلف صنعت، در دستور کار قرار گیرد.
تشویق پرسنل به ارائه طرحهای نوآورانه در زمینه ارتقای امنیت سایبری با توجه به اشراف به خلاءهای احتمالی در سطح عملیات روزمره و ترغیب ایشان به رصد علایم حملات سایبری احتمالی و گزارش بهموقع رویدادها به بخش مانیتورینگ امنیت سایبری مجموعه، از جمله اقداماتی است که میبایست مورد اهتمام ویژه قرار گیرد.
برنامهریزی در جهت توانمندسازی نسل آتی متخصصان صنعت هوانوردی از طریق گنجاندن آموزشهای تخصصی مرتبط با امنیت سایبری در سیلابس دورههای آکادمیک تربیت پرسنل کنترل ترافیک هوایی، مهندسان تعمیر و نگهداری هواپیما، خلبانان و سایر بخشهای عملیاتی و ستادی زیربخشهای صنعت از مهمترین راهبردهایی است که میبایست مورد توجه سازمان هواپیمایی کشوری، موسسات و مراکز آموزشی و ذینفعان متعدد صنعت حملونقل هوایی کشور باشد.
منابع:
Gregory J. Touhill & C.Joseph Touhill , Cybersecurity for executives ( A practical guide) , New Jersey , 2014.
Mark F. Grady & Francesco Parisi , The Law and Economics of Cybersecurity , Cambridge , Cambridge University Press , 2006.
Cybersecurity , Protecting Critical Infrastructures from Cyber Attack and Cyber Warfare , Thomas A.Johnson , New York , Taylor and Francis Group , 2015.
Counterterrorism and Cybersecurity , Newton Lee , New York , Springer , 2015.
Current and Emerging Trends in Cyber Operations ( policy , strategy and practice ) , Frederic Lemieux , New York , Palgrave Macmillan , 2015.
Cybersecurity and Cyberwar , P.W. Singer & Allan Fridman , Oxford , Oxford University Press , 2013.
Cybersecurity Policies and Strategies for Cyberwarfare Prevention , Jean-Loup Richet , Hershey PA , IGI Global , 2015.