با توجه به ضرورت محافظت از داده‌های حساس و طبقه‌بندی شده در صنعت هوانوردی و همچنین زیرساخت‌های حیاتی این صنعت و در راستای مقابله با هرگونه اقدامات خرابکارانه یا مداخلات غیرقانونی در امور هوانوردی و هواپیمایی و به منظور جلوگیری از وقوع مخاطرات ایمنی و امنیتی احتمالی علیه پروازها و مسافران، ایکائو موضوع امنیت سایبری هوانوردی را در قالب اسناد متعددی از جمله اعلامیه A 40-10 مجمع عمومی مورد توجه ویژه قرار داده و کشورهای عضو را به تدوین و پیاده‌سازی استراتژی‌های ملی امنیت سایبری در هوانوردی، ملزم کرده است.

پیش از پرداختن به اقدامات راهبردی که می‌تواند به‌عنوان بخشی از استراتژی صنعت هوانوردی جهت ارتقای سطح امنیت سایبری در دستور کار قرار گیرد، ذکر این نکته ضروری است که مقوله تهدیدات سایبری علیه حمل‌ونقل هوایی، صرفا در سطح مدیریت میانی یا کارشناسی نبوده و مستلزم توجه جدی مدیریت عالی سازمان هواپیمایی کشوری، شرکت‌های هواپیمایی، شرکت‌های فرودگاهی، ارائه‌دهندگان خدمات ناوبری هوایی و سایر زیربخش‌های صنعت هوانوردی است.

با توجه به تخصصی بودن مقوله فناوری اطلاعات به‌صورت عام و پیچیدگی موضوعات امنیت سایبری به‌صورت خاص و با در نظر گرفتن احتمال عدم اشراف مدیران عالی صنعت به جزئیات امنیت سایبری، ممکن است ارتباط با کارشناسان موضوعی به دلیل تفاوت رویکردهای سطح راهبردی و عملیات، برآورد هزینه‌های لازم جهت تامین یا ارتقای امنیت سایبری و بسیاری از موضوعات دیگر، به چالش‌های مدیریت کلان و میانی دستگاه تبدیل شوند، بنابراین مدیران ارشد به منظور اجتناب از ورود به موضوعات تاکتیکی و فناورانه، می‌بایست از زیر مجموعه خود بخواهند به ۵ سوال راهبردی ذیل پاسخ دهند:

1- آیا تهدیداتی که از ناحیه امنیت سایبری متوجه سازمان یا شرکت هستند شناسایی و احصاء شده‌اند؟ تاثیر این تهدیدات بر عملکرد سازمان، شرکت و یا کسب‌وکار چه خواهد بود؟

۲- آیا سطح مخاطرات احتمالی از ناحیه تهدیدات امنیت سایبری برای سازمان یا شرکت محاسبه شده است؟ تمهیدات مقابله‌ای اندیشیده شده است یا خیر؟ تمهیدات و برنامه‌های پیاده‌سازی شده متناسب با سطح مخاطرات است یا خیر؟

۳- آیا برنامه سازمان یا شرکت برای مقابله با تهدیدات سایبری، منطبق با استانداردهای ملی و صنعت هوانوردی است یا خیر؟

۴- چه تعداد و چه نوع تهدیدات یا حملات سایبری در بازه زمانی یک هفته‌ای، علیه سازمان یا شرکت شناسایی شده و مورد مقابله قرار گرفته است؟

۵- برنامه اجرایی و اضطراری سازمان یا شرکت در صورت مواجه با حملات جدی سایبری و نفوذ به سامانه‌های مجموعه چیست و در چه بازه‌هایی مورد تست قرار می‌گیرند؟

حال با این توضیحات، در ادامه به طرح مساله می‌پردازیم.

صنعت هوانوردی به‌صورت مستمر آماج تهدیدات رو به افزایش سایبری است، این تهدیدات با اهداف خرابکارانه، ایجاد وقفه و اخلال در کسب‌وکار صنعت، سرقت داده‌ها برای مقاصد سیاسی، بازرگانی و یا با انگیزه‌های دیگری صورت می‌گیرد. با در نظر گرفتن تنوع، تعدد، سرعت انتشار و تاثیراتی که تهدیدات یاد شده می‌تواند بر عملکرد صنعت داشته باشد، ضرورت دارد تدوین و پیاده‌سازی راهبردهای ملی یکپارچه در سطح صنعت در دستور کار شورای عالی هواپیمایی و سازمان هواپیمایی کشوری قرار گیرد.

در عین حال، چشم‌انداز صنعت هوانوردی در حوزه امنیت سایبری می‌بایست با تاکید بر محورهایی نظیر، پایداری و تاب‌آوری صنعت هوانوردی کشور در مقابل تهدیدات و حملات سایبری، ارتقای ایمنی، امنیت و بهره‌وری با تاکید بر استفاده از فن‌آوری‌های نوین و قابلیت اعتماد ملی و اعتبار جهانی تعریف و تدوین گردد.

بر این اساس ذی‌نفعان و زیربخش‌های صنعت حمل‌ونقل هوایی ضمن التزام کامل به مقوله‌های ایمنی، امنیت، کارایی و توسعه مستمر صنعت، باید نسبت به اتخاذ اقدامات لازم جهت مقابله با تهدیدات سایبری بر مبنای یک رویکرد مبتنی بر آنالیز و تحلیل سطح مخاطرات سایبری اهتمام ورزند.

راهبردهای ملی امنیت سایبری صنعت هوانوردی ایران، می‌بایست در تطابق با اهداف ملی و بین‌المللی صنعت و در قالب ۷ محور ذیل تدوین شوند:

۱- همکاری و استفاده از ظرفیت‌های منطقه‌ای و بین‌المللی

۲- حکمرانی و مسئولیت‌پذیری در سطح ملی

۳- تدوین و ابلاغ قوانین و مقررات کارآمد و بازدارنده

۴- تبیین جایگاه امنیت سایبری در برنامه‌های ملی ایمنی و امنیت هوانوردی کشو.

۵- به اشتراک‌گذاری داده‌ها و اطلاعات مرتبط با تهدیدات و حملات سایبری

۶- مدیریت رویدادها و بحران‌های ناشی از تهدیدات و حملات سایبری و بهره‌گیری از طرح‌های اضطراری

۷- توانمندسازی، آموزش و فرهنگ‌سازی در حوزه امنیت سایبری

 

استفاده از ظرفیت‌های منطقه‌ای و بین‌المللی

هر دو مقوله صنعت هوانوردی و امنیت سایبری از ویژگی فرامرزی برخوردارند، بنابراین پرداختن به چالش‌های آن نیز مستلزم توجه، اهتمام و همکاری منطقه‌ای و بین‌المللی است. مهم‌ترین عامل برای تشویق کشورها در راستای همکاری در مقوله ارتقای امنیت سایبری در صنعت هوانوردی، ارتباط تنگاتنگ سامانه‌ها و وابستگی کشورهای همسایه به استمرار ارائه خدمات ایمن، حفظ ارتباط قابل اعتماد و تبادل به هنگام و مستمر داده‌های پروازی و ترافیک هوایی در واحدهای مراقبت پرواز، استفاده از آسمان یکدیگر برای انجام پروازهای عبوری و همچنین بهره‌مندی گسترده اتباع یک کشور از ناوگان شرکت‌های هواپیمایی یا زیرساخت‌های فرودگاهی یکدیگر در سفرهای بین‌المللی است.

اتخاذ راهبردها، به‌کارگیری فن‌آوری‌ها و روش‌های مورد نیاز جهت ارتقای امنیت سایبری می‌بایست علاوه بر سطح ملی در عرصه‌های منطقه‌ای و جهانی نیز هماهنگ، دارای اتفاق نظر نسبی و در اولویت همکاری قرار گیرد. در حال حاضر، عرصه مناسب و قابل اطمینان برای هماهنگی اقدامات امنیت سایبری در راستای دستیابی به سطح قابل قبول تاب‌آوری و مقابله با تهدیدات، دفتر منطقه‌ای ایکائو در خاورمیانه است. بنابراین ایران با جلب نظر دفتر منطقه‌ای خاورمیانه و در سطح بالاتر رایزنی فعال با اعضای شورای ایکائو، می‌بایست ضمن تاکید بر جایگاه راهبردی کشور در منطقه پرترافیک خاورمیانه و غرب آسیا، احتمال توقف یا ایجاد اختلال در ارائه خدمات ناوبری هوایی و فرودگاهی منطقه متاثر از تهدیدات سایبری علیه زیرساخت‌های هر یک از کشورهای عضو، هرگونه تهدید سایبری علیه صنعت هوانوردی ایران را واجد آثار تبعی سلبی جدی، علیه ناوبری هوایی منطقه معرفی نماید.

پیشنهاد ایجاد یک کارگروه تخصصی جهت بررسی راهبردهای منطقه‌ای و اقدامات هماهنگ، می‌تواند ضمن کاهش هزینه‌های صنعت هوانوردی ایران در زمینه ارتقای امنیت سایبری، موجبات بهره‌مندی از تجارب منطقه‌ای و حمایت بین‌المللی از امنیت زیرساخت‌های هوانوردی ایران را به‌عنوان بخشی از برنامه ی ناوبری هوایی منطقه موسوم به MID Regional Air Navigation Plan فراهم سازد .

 

ساختار حکمرانی و مسئولیت‌پذیری در سطح ملی

سازمان هواپیمایی کشوری می‌بایست ضمن پایبندی و تاکید بر ضرورت استفاده از فن‌آوری‌های رایانه‌محور و توسعه روند هوشمندسازی صنعت هوانوردی، در راستای ارتقای ایمنی، امنیت و بهره‌وری حمل‌ونقل هوایی کشور، با همکاری نهادهای کشوری متولی امنیت سایبری، نسبت به تدوین و تبیین ساختار جامع حکمرانی و فرآیندهای مدیریتی در مقوله امنیت سایبری اقدام کند. سازمان می‌بایست از هر یک از ذی‌نفعان بخواهد تا در خصوص عملکرد و علل ناکامی‌های احتمالی در مقابله با تهدیدات سایبری پاسخگو باشند. طراحی و پیاده‌سازی ساختار ارتباطی میان نهادهای کشوری مسئول امنیت سایبری و زیربخش‌های صنعت هوانوردی کشور از اهمیت به‌سزایی برخوردار است که باید در دستور کار قرار گیرد .

 

تدوین و ابلاغ مقررات کارآمد و بازدارنده

سازمان هواپیمایی کشوری، زیربخش‌های صنعت هوانوردی و نخبگان می‌بایست ضمن بررسی قوانین و مقررات جاری ملی در زمینه امنیت سایبری و شناسایی خلاء‌های قانونی احتمالی، نسبت به هماهنگی رویکردها و استانداردهای بین‌المللی ایکائو ناظر بر مقابله با اقدامات تروریستی سایبری، مداخلات غیرقانونی و حملات سایبری با مقررات ملی اهتمام ورزیده و با تعامل حداکثری با قوای مقننه و قضائیه در خصوص تصویب و اجرای مقررات و قوانین سختگیرانه، کارآمد و بازدارنده متناسب با آسیب‌های احتمالی اقدامات غیرمجاز، صنعت حمل‌ونقل هوایی را از اینگونه اقدامات مصون دارند.

 

جایگاه امنیت سایبری در برنامه‌های ملی امنیت هوانوردی

بر اساس استانداردهای ایکائو در قالب ضمائم (انکس‌های) ۱، ۶، ۱۱، ۱۳، ۱۴ و ۱۹ پیمان شیکاگو، هر یک از کشورهای عضو پیمان موظف است برنامه ملی ایمنی هوانوردی خود موسوم به State Safety Programme را با هدف تامین و تضمین سطح قابل قبولی از ایمنی در صنعت هوانوردی، تدوین و اجرایی نماید. در حوزه امنیت نیز کشورهای عضو پیمان، به موجب استانداردهای مندرج در ضمیمه ۱۷ پیمان شیکاگو به منظور پیشگیری از مداخلات غیرمجاز در امور هواپیمایی از جمله هواپیماربایی، گروگانگیری داخل هواپیما و مبادله داده‌های گمراه‌کننده با هدف اخلال در امنیت هواپیمایی، ملزم هستند برنامه دیگری تحت عنوان برنامه ملی امنیت هواپیمایی کشوری National Civil Aviation Security Programme را تهیه و به ذینفعان و زیربخش‌های صنعت ابلاغ کنند.

با در نظر گرفتن تاثیر مستقیم موضوعات امنیت سایبری بر مقوله‌های ایمنی و امنیت هوانوردی از یک‌طرف و ضرورت اتخاذ یک رویکرد مبتنی بر محاسبه و آنالیز ریسک (مخاطرات) از طرف دیگر، اعمال راهبردها و سیاست‌های ناظر بر امنیت سایبری در دو برنامه ملی یاد شده و همچنین نظام بازرسی‌ها و ممیزی‌های ایمنی و امنیتی سازمان هواپیمایی کشوری غیرقابل چشم‌پوشی است. توصیه می‌شود سیاست‌های امنیت سایبری در تمام مراحل چرخه حیات صنعت اعمال و در فرآیندهای مختلف اداره صنعت و ارائه خدمات، مدنظر قرار گیرد .

 

به اشتراک‌گذاری داده‌ها و اطلاعات مرتبط

صنعت حمل‌ونقل هوایی یک سیستم یکپارچه و بهم پیوسته است که از زیربخش‌ها و زیرسیستم‌های متعددی تشکیل شده است. هرگونه حمله سایبری به زیرسیستم‌ها و زیربخش‌های این صنعت می‌تواند واجد آثار سلبی بر کل سیستم و عملکرد سایر زیربخش‌ها باشد. به همین منظور تعریف یک مکانیزم مطمئن تبادل و به اشتراک‌گذاری داده‌ها و اطلاعات موجب شناسایی به‌موقع مخاطرات و مقابله متناسب با این رویدادها و تهدیدات در سایر زیربخش‌های این سیستم حساس و پیچیده می‌گردد.

فرهنگ به اشتراک‌گذاری اطلاعات امنیت سایبری در میان زیربخش‌های سیستم صنعت حمل‌ونقل هوایی می‌تواند همانند فرهنگ تبادل و به اشتراک‌گذاری داده‌های ایمنی، موجبات کاهش مخاطرات و ارتقای عملکرد کل سیستم باشد. بنابراین سازمان هواپیمایی کشوری و نهادهای متولی امنیت سایبری می‌بایست ایجاد بسترهای مطمئن تبادل داده‌ها و اطلاعات حملات و تهدیدات سایبری را درون صنعت ایجاد کرده، ترویج فرهنگ اشتراک‌گذاری داده‌ها را به‌عنوان یک راهبرد ملی در سطح صنعت دنبال کنند.

 

مدیریت بحران‌های ناشی از حملات سایبری

صنعت هوانوردی ملزم است در راستای استمرار خدمات ایمن و مدیریت بحران، برای زمان وقوع حوادث و بلایای طبیعی یا سوانح هوایی، برنامه‌ها و طرح‌های اضطراری موسوم به Contingency Plan را تدوین کرده و براساس مقررات در بازه‌های مناسب مورد تمرین و بازنگری قرار دهد. تمام زیربخش‌های صنعت می‌بایست طرح‌های اضطراری مدون و مناسب بهره‌برداری در سناریوهای مختلف داشته و پرسنل خود را نسبت به این طرح‌ها توجیه کرده و به‌روز نگاه دارند.

از مهم‌ترین بخش‌های برنامه یا طرح اضطراری، اقدامات ناظر بر بازیابی ارائه ایمن خدمات و بازگشت به شرایط عادی است. بر این اساس ضرورت دارد سازمان هواپیمایی کشوری و سایر زیربخش‌های صنعت، پیش‌بینی سناریوهای مختلف تهدیدات و حملات سایبری را در طرح‌های اضطراری در دستور کار قرار داده، تمرینات مرتبط را در سطوح ملی، سازمانی و واحدهای عملیاتی طراحی و با هماهنگی نهادهای ملی متولی امنیت سایبری در کشور اجرا کنند.

 

توانمندسازی و فرهنگ‌سازی در حوزه امنیت سایبری

منابع انسانی کارآمد یکی از عوامل مهم در ارتقای امنیت سایبری است. در اختیار داشتن پرسنل مسلط به دو مقوله هوانوردی و امنیت سایبری از مهم‌ترین گام‌های صنعت جهت مقابله با تهدیدات سایبری و افزایش سطح تاب‌آوری در زمان مواجهه با حملات یاد شده است. استخدام افراد دارای شرایط فوق‌ یا ارتقای سطح آگاهی پرسنل مجرب هوانوردی در ارتباط با مقوله و موضوعات امنیت سایبری و همچنین تشویق کارکنان صنعت به تحصیل در رشته‌های دانشگاهی مرتبط، می‌تواند تاثیر به‌سزایی در ارتقای امنیت هوانوردی از منظر سایبری باشد.

تدوین سیلابس‌ها و طرح درس دوره‌های آموزشی تخصصی امنیت سایبری در صنعت حمل‌ونقل هوایی برای تمام سطوح کارکنان صنعت، علاوه بر برگزاری آموزش‌های عمومی امنیت سایبری، ازجمله راهبردهایی است که می‌بایست توسط بخش‌های توسعه منابع انسانی ذینفعان مختلف صنعت، در دستور کار قرار گیرد.

تشویق پرسنل به ارائه طرح‌های نوآورانه در زمینه ارتقای امنیت سایبری با توجه به اشراف به خلاء‌های احتمالی در سطح عملیات روزمره و ترغیب ایشان به رصد علایم حملات سایبری احتمالی و گزارش به‌موقع رویدادها به بخش مانیتورینگ امنیت سایبری مجموعه، از جمله اقداماتی است که می‌بایست مورد اهتمام ویژه قرار گیرد.

برنامه‌ریزی در جهت توانمندسازی نسل آتی متخصصان صنعت هوانوردی از طریق گنجاندن آموزش‌های تخصصی مرتبط با امنیت سایبری در سیلابس دوره‌های آکادمیک تربیت پرسنل کنترل ترافیک هوایی، مهندسان تعمیر و نگهداری هواپیما، خلبانان و سایر بخش‌های عملیاتی و ستادی زیربخش‌های صنعت از مهم‌ترین راهبردهایی است که می‌بایست مورد توجه سازمان هواپیمایی کشوری، موسسات و مراکز آموزشی و ذی‌نفعان متعدد صنعت حمل‌ونقل هوایی کشور باشد.

منابع:

Gregory J. Touhill & C.Joseph Touhill , Cybersecurity for executives ( A practical guide) , New Jersey , 2014.

Mark F. Grady & Francesco Parisi , The Law and Economics of Cybersecurity , Cambridge , Cambridge University Press , 2006.

Cybersecurity , Protecting Critical Infrastructures from Cyber Attack and Cyber Warfare , Thomas A.Johnson , New York , Taylor and Francis Group , 2015.

Counterterrorism and Cybersecurity , Newton Lee , New York , Springer , 2015.

Current and Emerging Trends in Cyber Operations ( policy , strategy and practice ) , Frederic Lemieux , New York , Palgrave Macmillan , 2015.

Cybersecurity and Cyberwar , P.W. Singer & Allan Fridman , Oxford , Oxford University Press , 2013.

Cybersecurity Policies and Strategies for Cyberwarfare Prevention , Jean-Loup Richet , Hershey PA , IGI Global , 2015.