Η περίπτωση του Κλάδου Αερομεταφορών
Το παρόν άρθρο παρουσιάστηκε στο 11ο Εθνικό Συνέδριο της Επιστημονικής Εταιρείας Χρηματοοικονομικής Μηχανικής και Τραπεζικής (FEBS), στο Αμερικανικό Κολλέγιο Ελλάδος, στις 21-22 Δεκεμβρίου 2021.
Η Κυβερνοασφάλεια (Cyber Security) είναι μια διαδικασία κατά την οποία ένας οργανισμός, μια επιχείρηση ή μια κυβέρνηση αρχίζει να ενδιαφέρεται για τις ψηφιακές απειλές, μαθαίνει να τις αναγνωρίζει και να τις αποτρέπει (βλ. Κ. Ζοπουνίδης και Ε. Λιβάνης, Διαχείριση κινδύνων κυβερνοχώρου: η νέα πρόκληση για τους CEOs & CFOs, Ναυτεμπορική, Παρασκευή 22 Ιουνίου 2018).
Οι κυβερνοαπειλές (Cyber Threats) είναι ενέργειες που γίνονται από τρίτους με σκοπό να πάρουν πρόσβαση σε πόρους που δεν έχουν τα κατάλληλα δικαιώματα, να καταστρέψουν ευαίσθητες και σημαντικές πληροφορίες, να αποσπάσουν χρήματα από χρήστες ή να διακόψουν τη ροή εργασιών μιας επιχείρησης.
Οι κίνδυνοι κυβερνοχώρου αναφέρονται στην ενδεχόμενη ζημία που μπορεί να προκύψει από μη εξουσιοδοτημένη πρόσβαση, χρήση, διαρροή, δυσλειτουργία, τροποποίηση ή καταστροφή δεδομένων ή/και πληροφοριακών συστημάτων και επικοινωνιών μιας επιχείρησης.
Οι αεροπορικές εταιρείες συνεχίζουν να αποτελούν κύριο στόχο κυβερνοεπιθέσεων, με απώλεια περίπου 1 δισ. δολαρίων ετησίως.
Κάθε εβδομάδα, ένας παράγοντας/φορέας του χώρου των αερομεταφορών, υφίσταται μία κυβερνοεπίθεση παγκοσμίως.
Δεν έχει υπάρξει ακόμη καμία επίπτωση στην ασφάλεια των πτήσεων.
Πολλοί φορείς της αεροπορικής βιομηχανίας, συμπεριλαμβανομένης της εφοδιαστικής αλυσίδας, εκτίθενται σε πρόσθετο κίνδυνο, με το να μην εφαρμόζουν, συστηματικά βασικούς ελέγχους ασφάλειας των πληροφοριακών συστημάτων τους.
Οι ψηφιακές ταυτότητες πρέπει να προστατεύονται καλύτερα, κάτι για το οποίο η Ευρώπη χρειάζεται την EACP (European Aviation Common Public Key Infrastructure), μια λύση οπού τελεί υπό ανάπτυξη από το Eurocontol και τους εταίρους.
Για την αποτελεσματική διαχείριση αυτών των κινδύνων οι CEO και CFO θα πρέπει πρώτα να κατανοήσουν τα χαρακτηριστικά αυτών των κινδύνων. Για το σκοπό αυτό θα μπορούσε να γίνει χρήση της παρακάτω ταξινόμησης των κινδύνων κυβερνοχώρου που έχει παρουσιαστεί σε σχετικά πρόσφατη εργασία (Livanis, 2016).
Η παρακάτω ταξινόμηση αποτελείται από έξι πυλώνες οι οποίοι αναφέρονται στους φορείς των κινδύνων, στα κίνητρα, στους στόχους, στις μεθόδους, στα περιουσιακά στοιχεία που βρίσκονται σε κίνδυνο και στις επιπτώσεις τους.
Αυτή η ταξινόμηση μπορεί να αποτελέσει πλαίσιο αναφοράς για ερευνητές και επαγγελματίες να αξιολογήσουν τους κινδύνους στον κυβερνοχώρο και να αναπτύξουν ένα στρατηγικό σχέδιο για την αποτελεσματική διαχείρισή αυτών.
Περιπτώσεις αεροπορικών εταιρειών
Το Eurocontrol ανέφερε περισσότερες από 30 κυβερνοεπιθέσεις στην αεροπορία το πρώτο εξάμηνο του 2019.
Cathay Pacific
Η αεροπορική εταιρεία Cathay Pacific του Χονγκ Κονγκ ήταν ο στόχος μιας επίθεσης που παραβίασε δεδομένα των πελατών της, τον Νοέμβριο του 2018. Πιο συγκεκριμένα, προκάλεσε τη διαρροή περισσότερων από 9 εκατομμυρίων προσωπικών δεδομένων.
LOT Polish Airlines
Το 2015, 1.400 επιβάτες των πολωνικών κρατικών αερογραμμών LOT περίμεναν για ώρες στο αεροδρόμιο «Σοπέν» της Βαρσοβίας λόγω κυβερνοεπίθεσης σε υπολογιστές που εκδίδουν σχέδια πτήσης. Δέκα διεθνείς και εσωτερικές πτήσεις ακυρώθηκαν και τουλάχιστον άλλες τόσες καθυστέρησαν λόγω της επίθεσης, είχε ανακοινώσει η LOT, η οποία προσέφερε δωρεάν διαμονή σε ξενοδοχεία για όσους επιβάτες δεν κατάφεραν να ταξιδέψουν μέχρι το βράδυ.
Ο εκπρόσωπος της εταιρείας τόνισε ότι η επίθεση δεν επηρέασε πτήσεις που βρίσκονταν ήδη στον αέρα ή συστήματα άλλων αεροδρομίων.
Η επίθεση στη LOT, φαίνεται ότι ακολούθησε την τακτική DoS (Denial of Service ή άρνηση παροχής υπηρεσιών), κατά την οποία οι επιτιθέμενοι κατακλύζουν το στόχο με αιτήματα σύνδεσης μέχρι να τον θέσουν εκτός λειτουργίας λόγω υπερφόρτωσης.
Οι περισσότερες επιθέσεις DoS βάζουν στο στόχαστρο δημόσιους δικτυακούς τόπους, ωστόσο η LOT δεν έχει δικό της δικτυακό τόπο.
Εκπρόσωπος της LOT είχε επισημάνει το εξής, για ολόκληρη την αεροπορική βιομηχανία: «Το βασικό για μια αεροπορική εταιρεία είναι η ικανότητα εφαρμογής έκτακτων μέτρων σε τέτοιες καταστάσεις. Πιστεύω ότι περάσαμε το τεστ», ήταν η δήλωση που έκανε, περιοριστικά.
British Airways
Το Σεπτέμβριο του 2018, η British Airways δήλωσε ότι δεχόταν διαρκή κυβερνοεπίθεση δύο εβδομάδων.
Πιο συγκεκριμένα, χάκερς, έκλεβαν τα στοιχεία πιστωτικών καρτών επιβατών από περισσότερες από 400.000 συναλλαγές που είχαν γίνει μέσω της ιστοσελίδας της BA και μέσω της εφαρμογής για κινητά τηλέφωνα μεταξύ 10:58 μ.μ στις 21 Αυγούστου 2018 και 09:45 στις 5 Σεπτεμβρίου 2018.
Οι χάκερς απέκτησαν πρόσβαση στο όνομα των κατόχων τους, τη διεύθυνση διαμονής, την ηλεκτρονική τους διεύθυνση, τον αριθμό πιστωτικής κάρτας, την ημερομηνία λήξης και τους κωδικούς ασφαλείας.
Τον Οκτώβριο του 2020, η British Airways τιμωρήθηκε με πρόστιμο 20 εκατ. στερλινών, τη μεγαλύτερη μέχρι σήμερα τέτοια ποινή, από τη βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων, για την αδυναμία της να προστατεύσει προσωπικά και οικονομικά στοιχεία των πελατών της, κατά τη διάρκεια της κυβερνοεπίθεσης του 2018.
«Η αποτυχία της να λάβει μέτρα ήταν απαράδεκτη και επηρέασε εκατοντάδες χιλιάδες πολιτών», κάτι που πιθανόν να προκάλεσε κάποια αναστάτωση και άγχος, σημείωσε η Αρχή.
EasyJet
Στόχος κυβερνοεπίθεσης, η οποία προήλθε από ιδιαίτερα “εξελιγμένη πηγή”, έγινε η αεροπορική εταιρεία χαμηλού κόστους easyJet, το Μάϊο του 2020.
Η αεροπορική εταιρεία ενημέρωσε ότι απέκλεισε τη μη εξουσιοδοτημένη πρόσβαση, ωστόσο αποκάλυψε ότι στο πλαίσιο της έρευνας που διεξήγαγε για την εν λόγω επίθεση, διαπιστώθηκε ότι υπεκλάπησαν διευθύνσεις ηλεκτρονικού ταχυδρομείου και στοιχεία ταξιδιών περίπου 9 εκατομμυρίων πελατών, αλλά και στοιχεία πιστωτικών καρτών περισσότερων από 2.000 πελατών.
«Δεν υπάρχουν στοιχεία ότι έγινε κακή χρήση προσωπικών πληροφοριών οποιασδήποτε φύσης, ωστόσο επικοινωνούμε με τους σχεδόν εννέα εκατομμύρια πελάτες μας στις ταξιδιωτικές πληροφορίες των οποίων οι χάκερς είχαν πρόσβαση, ώστε να τους συμβουλεύσουμε να λάβουν μέτρα προστασίας για να μειωθεί ο κίνδυνος υποκλοπής», τόνισε η εταιρεία.
«Λαμβάνουμε πολύ σοβαρά υπόψη μας τα ζητήματα ασφαλείας και συνεχίζουμε να επενδύουμε ώστε να ενισχύσουμε περαιτέρω το περιβάλλον ασφαλείας μας», ανέφερε η easyJet σε ανακοίνωσή της προς το χρηματιστήριο.
Star Alliance
Την Πέμπτη 04/03/2021, περισσότεροι από μισό εκατομμύριο πελάτες της Singapore Airlines επηρεάστηκαν από κυβερνοεπίθεση που έγινε στα συστήματα πληροφορικής της εταιρείας τεχνολογίας του τομέα των αερομεταφορών SITA., αν και δεν είναι σαφές εάν έχουν χρησιμοποιηθεί δεδομένα για εγκληματικό σκοπό.
Η SITA ενημέρωσε τη Malaysia Airlines, τη Finnair και την Jeju Air ότι οι επιβάτες τους, ενδέχεται να έχουν επηρεαστεί από τους διακομιστές παραβίασης του συστήματος εξυπηρέτησης επιβατών (PSS).
Η Air New Zealand έχει επίσης επηρεαστεί και οι πελάτες της έχουν ενημερωθεί. Άλλες αεροπορικές εταιρείες μέλη της Star Alliance που περιλαμβάνουν τις United Airlines, Lufthansa, Air Canada, Swiss, SAS και Croatia Airlines, πιθανώς να έχουν επηρεαστεί.
Η παράβαση φαίνεται να συνδέεται με δεδομένα συχνών πτήσεων, αλλά δεν περιλαμβάνει κωδικούς μέλους, στοιχεία πιστωτικής κάρτας ή άλλα προσωπικά δεδομένα πελατών.
Συμπεράσματα – Παρατηρήσεις
Ο κίνδυνος ασφάλειας στον κυβερνοχώρο είναι μια σχετικά νέα πρόκληση για την αεροπορική βιομηχανία.
Οι αεροπορικές μεταφορές βασίζονταν πάντοτε σε μεγάλο βαθμό σε διάφορα συστήματα ασφάλειας και αποτελεσματικότητας στις επιχειρήσεις τους.
Η αεροπορική βιομηχανία σημειώνει ένα μεγάλο άλμα προς τα εμπρός όσον αφορά τη ψηφιοποίηση. Αυτή η επανάσταση θα αποφέρει μεγάλα οφέλη βοηθώντας στην αντιμετώπιση ορισμένων από τις κύριες προκλήσεις που αντιμετωπίζει σήμερα η βιομηχανία (αποτελεσματικός σχεδιασμός πτήσεων, μειωμένες εκπομπές / κατανάλωση καυσίμου, καθυστερήσεις, εκπαίδευση ή ασφάλεια).
Η αεροπορική βιομηχανία έχει αποκομίσει τα οφέλη της ψηφιοποίησης τα τελευταία δέκα χρόνια, αλλά αυτό έχει επίσης προκαλέσει νέους κινδύνους, συμπεριλαμβανομένων των κοινωνικών και τεχνικών αδυναμιών που δεν έχουν προηγουμένως αντιμετωπιστεί.
*Πανεπιστήμιο Μακεδονίας, Τμήμα Λογιστικής και Χρηματοοικονομικής
**Πανεπιστήμιο Μακεδονίας, Τμήμα Οργάνωσης και Διοίκησης Επιχειρήσεων
***Πολυτεχνείο Κρήτης, Σχολή Μηχανικών Παραγωγής και Διοίκησης, Audencia Business School, France
