GAO informe seguridad aviación

GAO report backs private Pentagon conclusions that Trump broke the law on  Ukraine – Center for Public Integrity

AW | 2020 10 24 15:55 | AVIATION SAFETY

gao_logo_with_text_belowGAO anuncia recomendaciones sobre ciberseguridad

Un nuevo informe de la Oficina de Responsabilidad Gubernamental (GAO) de los Estados Unidos identifica seis recomendaciones clave para la regulación actual de los requisitos de ciberseguridad de la Administración Federal de Aviación (FAA), que se aplica para los sistemas de aviónica de aeronaves comerciales. El nuevo informe de la GAO dice que las aerolíneas necesitan una nueva política de pruebas de ciberseguridad para los sistemas de aviónica.

El informe exhorta a la agencia de aviación FAA que contrate nuevo personal, que estandarice su proceso para evaluar la resiliencia cibernética de los sistemas de aviónica conectados y establezca nuevos métodos para las pruebas de penetración de las redes de aeronaves. Según los estudios realizados por la GAO también muestran algunas vulnerabilidades de software y la posible interrupción del funcionamiento de la red de aeronaves bajo pruebas de penetración que complican en gran medida cómo la FAA puede abordar las recomendaciones en el futuro. “Específicamente, la FAA no ha evaluado su programa de supervisión para determinar la prioridad de los riesgos de ciberseguridad de aviónica, ha desarrollado un programa de capacitación en ciberseguridad de aviónica, ha emitido orientación para pruebas de ciberseguridad independientes o ha incluido pruebas periódicas como parte de su proceso de monitoreo”, dijo la GAO en el informe.

Otra conclusión clave en el informe es una mayor orientación sobre las pruebas independientes que se integrarán en la forma en que la agencia certifica nuevos aviones. Las seis recomendaciones de la GAO incluyen las siguientes:

  1. Identificar la “prioridad relativa de los riesgos de ciberseguridad de aviónica en comparación con otras preocupaciones de seguridad y desarrollar un plan para abordar esos riesgos”.
  2. Implementar una nueva capacitación para los inspectores de agencias “específica para la ciberseguridad de la aviónica”.
  3. Incluir pruebas independientes en nuevas directrices para las pruebas de ciberseguridad de aviónica de nuevos diseños de aviones
  4. Desarrollar procedimientos para “realizar pruebas independientes” de los controles de ciberseguridad de aviónica en la flota desplegada
  5. Coordinar un mecanismo de seguimiento para garantizar que los problemas de ciberseguridad de aviónica se resuelvan entre las “partes interesadas internas”.
  6. Revisar los recursos de supervisión que la agencia ha comprometido actualmente con la ciberseguridad de la aviónica.

En el informe, los investigadores señalan que la FAA estuvo de acuerdo con cinco de sus seis recomendaciones. “La FAA cree que cualquier tipo de prueba realizada en la flota en servicio podría resultar en una posible corrupción de los sistemas aeronáucos, poniendo en peligro la seguridad en lugar de detectar problemas de seguridad cibernética”, dice el informe.

En el informe se destacan varios riesgos cibernéticos para los sistemas de aviónica, incluidos los ataques de suplantación de datos de vuelo y los sistemas obsoletos en aeronaves heredadas. Otros riesgos incluyen las vulnerabilidades del software y los largos ciclos de actualización que son comunes para los sistemas de aviónica en servicio. También se hace referencia al software malicioso o software malicioso debido a su capacidad para insertarse en una aplicación de Electronic Flight Bag (EFB), que cada vez están más conectados a las computadoras de gestión de vuelos. “Las transmisiones ACARS (Sistema de Notificación y Direccionamiento de Comunicaciones de Aeronaves) no están autenticadas y, por lo tanto, podrían ser interceptadas y alteradas o reemplazadas por transmisiones falsas. Por ejemplo, las comunicaciones ACARS no protegidas podrían falsificarse y manipularse para enviar mensajes falsos o erróneos a un avión, como como información de posicionamiento incorrecta o planes de vuelo falsos , dice el informe.

En los últimos años, varios investigadores de ciberseguridad también han destacado los riesgos y han demostrado vulnerabilidades en los sistemas de conectividad en vuelo en las conferencias y eventos anuales de BlackHat y otras conferencias y eventos profesionales de ciberseguridad. A modo de ejemplo, durante las presentaciones virtuales de BlackHat de agosto de 2020, un investigador de Oxford presentó los resultados de su equipo utilizando algunos equipos básicos de televisión en el hogar para escuchar las señales de satélite que exponen los datos de los pasajeros en vuelo. Esa investigación también pudo ver las comunicaciones y los datos generados por una tableta EFB conectada a una red de aeronaves utilizada por una aerolínea china.

Los fabricantes de aviónica han tomado medidas para abordar las vulnerabilidades destacadas en el informe, y la FAA ha colaborado con la industria para desarrollar un consenso sobre la gestión del riesgo cibernético a los sistemas de aeronaves conectadas principalmente mediante el uso de DO-326/ED-202, una especificación de proceso de seguridad de aeronavegabilidad desarrollada conjuntamente por RTCA (EE.UU.) y EUROCAE (Europa). Funcionarios de la FAA dijeron a la GAO que todavía están desarrollando nuevas políticas y regulaciones oficiales en torno a una mayor consistencia para la forma en que evalúa la ciberseguridad de los sistemas de aviónica.

Algunos proveedores de tecnología también han desarrollado nuevos métodos de monitoreo y mejora de la resiliencia cibernética de los sistemas de aviónica conectados. CCX, un fabricante canadiense de aviónica, fabrica una computadora diseñada para monitorear el tráfico de la red de aeronaves en tiempo real. “La perspectiva es que debe haber un monitoreo perpetuo de las redes a bordo todo el tiempo, la actividad basada en Ethernet y las redes de bus de datos de aviónica patentadas como el tráfico ARINC 429 deben ser monitoreadas. ¿Cómo sabes lo que está pasando con la red de tu avión si no estás monitoreando y alertando sobre ciertos eventos que has establecido previamente como un riesgo? Creo que tiene que haber un cambio de paradigma que ocurra en la industria que en una línea de base debería haber un monitoreo activo de todas las redes a bordo”, dice A. W. Bartlett.

Las aerolíneas también expresaron su preocupación a GAO sobre la capacidad del proceso de certificación de la FAA para abordar la ciberseguridad de la aviónica y la divulgación de los resultados de pruebas independientes de los fabricantes. Bajo el proceso de certificación actual, los solicitantes suelen presentar un plan de pruebas final que incluye pruebas de ciberseguridad antes de entrar en servicio. Después de eso, las aerolíneas están obligadas a adherirse a un Programa de Seguridad de la Red de Aeronaves que se someten a la FAA que cubre cómo mantendrán las redes internas de la aeronave.

El Programa de Seguridad de la Red de Aeronaves también incluye un proceso de análisis forense para abordar incidentes de ciberseguridad relacionados con la seguridad, sin especificación para pruebas periódicas para reducir el riesgo. “A falta de orientación de la FAA, representantes de una aerolínea declararon que han formado un grupo con otras cuatro aerolíneas para tratar de determinar cómo realizar pruebas independientes de forma segura en sus respectivas flotas”, dice el informe. Sin embargo, las pruebas de terceros están empezando a ser más estándar, ya que el informe puso de relieve entrevistas con funcionarios de Airbus y Boeing que permitieron pruebas de penetración de terceros durante el proceso de desarrollo de sus tipos de aeronaves en servicio certificadas más recientemente. Boeing también ha establecido un nuevo programa de divulgación de vulnerabilidades basado en la web donde los investigadores independientes pueden informar directamente de las posibles nuevas amenazas que descubren. “Puede establecer filtros e identificar las causas principales de los problemas si está supervisando constantemente lo que considera una alerta crítica, por ejemplo, un Bus de Datos 429. Si tiene las etiquetas ARINC que identifican las alertas críticas, podrá ver, por ejemplo, si su tasa de ascenso cambia por encima de la capacidad de la aeronave. Cuando estás monitoreando constantemente, puedes hacer análisis forenses de datos y entender lo que realmente sucedió para causar un evento crítico, establecer alertas alrededor de eso y solucionar problemas para descubrir las causas raíz de esos eventos críticos”, dijo A. W. Bartlett. Según la GAO, la FAA está preparando respuestas detalladas a todas las recomendaciones, excepto una de sus: desarrollar un método para probar de forma independiente la flota en servicio.

GAO aviation security report

GAO announces cybersecurity recommendations

A new report from the United States Government Accountability Office (GAO) identifies six key recommendations for current regulation of the Federal Aviation Administration (FAA) cybersecurity requirements, which apply to commercial aircraft avionics systems. The new GAO report says airlines need a new cybersecurity testing policy for avionics systems.

The report calls on the FAA aviation agency to hire new staff, standardize its process for assessing the cyber resilience of connected avionics systems, and establish new methods for penetration testing of aircraft networks. Studies conducted by the GAO also show some software vulnerabilities and possible disruption of the aircraft network operation under penetration testing that greatly complicate how the FAA can address the recommendations in the future. “Specifically, the FAA has not evaluated its oversight program to determine the priority of avionics cybersecurity risks, developed an avionics cybersecurity training program, issued independent cybersecurity testing guidance, or included periodic testing as part of its monitoring process”, GAO said in the report.

Another key finding in the report is further guidance on independent testing that will be integrated into the way the agency certifies new aircraft. GAO’s six recommendations include the following:

  1. Identify the “relative priority of avionics cybersecurity risks compared to other security concerns and develop a plan to address those risks”.
  2. Implement new training for agency inspectors “specific to avionics cybersecurity”.
  3. Include independent testing in new guidelines for avionics cybersecurity testing of new aircraft designs
  4. Develop procedures for “independent testing” of avionics cybersecurity controls on the deployed fleet.
  5. Coordinate a follow-up mechanism to ensure avionics cybersecurity issues are resolved among “internal stakeholders”.
  6. Review the oversight resources that the agency has currently committed to avionics cybersecurity.

In the report, the researchers note that the FAA agreed with five of their six recommendations. “The FAA believes that any type of testing performed on the in-service fleet could result in possible corruption of aeronautical systems, jeopardizing security rather than detecting cybersecurity problems”, the report says.

The report highlights several cyber risks to avionics systems, including flight data spoofing attacks and outdated systems on legacy aircraft. Other risks include software vulnerabilities and long update cycles that are common for avionics systems in service. Malicious software or malicious software is also referred to because of its ability to insert itself into an Electronic Flight Bag (EFB) application, which is increasingly connected to flight management computers. “ACARS (Aircraft Communications Routing and Notification System) transmissions are not authenticated and therefore could be intercepted and tampered with or replaced by spoofed transmissions. For example, unprotected ACARS communications could be forged and manipulated to send messages false or misleading to an aircraft, such as incorrect positioning information or false flight plans”, the report says.

In recent years, various cybersecurity researchers have also highlighted risks and demonstrated vulnerabilities in in-flight connectivity systems at BlackHat’s annual conferences and events and other professional cybersecurity conferences and events. As an example, during the August 2020 BlackHat virtual presentations, an Oxford researcher presented the results of his team using some basic television equipment at home to listen to satellite signals exposing passenger data in flight. . That investigation was also able to see the communications and data generated by an EFB tablet connected to an aircraft network used by a Chinese airline.

Avionics manufacturers have taken steps to address the vulnerabilities highlighted in the report, and the FAA has collaborated with the industry to develop a consensus on managing cyber risk to connected aircraft systems primarily through the use of DO-326/ED.-202, an airworthiness safety process specification jointly developed by RTCA (USA) and EUROCAE (Europe). FAA officials told GAO that they are still developing new official policies and regulations around greater consistency for how it assesses the cybersecurity of avionics systems.

Some technology vendors have also developed new methods for monitoring and enhancing the cyber resilience of connected avionics systems. CCX, a Canadian avionics manufacturer, makes a computer designed to monitor aircraft network traffic in real time. “The perspective is that there must be perpetual monitoring of the on-board networks all the time, Ethernet-based activity and proprietary avionics data bus networks like ARINC 429 traffic must be monitored. How do you know what’s going on? with your plane’s network if you are not monitoring and alerting about certain events that you have previously established as a risk? I think there has to be a paradigm shift that occurs in the industry that in a baseline there should be an active monitoring of all on-board networks”, says A.W. Bartlett.

Airlines also raised concerns with GAO about the ability of the FAA certification process to address avionics cybersecurity and the disclosure of independent test results from manufacturers. Under the current certification process, applicants typically submit a final testing plan that includes cybersecurity testing before entering service. After that, airlines are required to adhere to an Aircraft Network Security Program that they submit to the FAA that covers how they will maintain the aircraft’s internal networks.

The Aircraft Network Security Program also includes a forensic analysis process to address security-related cybersecurity incidents, without specifying for periodic testing to reduce risk. “In the absence of guidance from the FAA, representatives from one airline stated that they have formed a group with four other airlines to try to determine how to safely conduct independent tests on their respective fleets”, the report says. However, third-party testing is becoming more standard as the report highlighted interviews with Airbus and Boeing officials who allowed third-party penetration testing during the development process of their most recently certified in-service aircraft types. . Boeing has also established a new web-based vulnerability disclosure program where independent researchers can directly report potential new threats they discover. “You can set filters and identify root causes of problems if you are constantly monitoring what you consider to be a critical alert, for example a 429 Data Bus. If you have the ARINC tags that identify critical alerts, you will be able to see, for example, if its rate of climb changes above the aircraft’s capacity. When you are constantly monitoring, you can do forensic data analysis and understand what actually happened to cause a critical event, set alerts around it, and troubleshoot to discover root causes of those critical events”, said AW Bartlett. According to the GAO, the FAA is preparing detailed responses to all but one of the recommendations: develop a method to independently test the fleet in service.

Government Accountability Office (GAO)


PUBLISHER: Airgways.com
DBk: Gao.gov / Airgways.com
AW-POST: 202010241555AR

A\W   A I R G W A Y S ®

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s