«Air Traffic Management» (ATM) er en global infrastruktur som sikrer sikker og effektiv flytrafikk. Med økt kompleksitet og sammenkobling av ATM-systemer øker cybersikkerhetsrisikoene. Det er spesielt overgangen fra eldre systemer til moderne IT-systemer som endrer trusselbildet og skaper lengre forsyningskjeder, noe som øker avhengigheten mellom systemene. Vurdering av sikkerhetsrisiko er viktig for å håndtere disse risikoene, men har begrenset omfang og kan overse kaskadeeffekter, hvor en trussel sprer seg og forårsaker flere hendelser. Et eksempel på slike effekter inkluderer utfallet av Microsoft Azure sine tjenester i juli 2024 som førte til betydelige forstyrrelser i luftfarten over hele verden på grunn av en feilaktig tredjeparts programvareoppdatering fra sikkerhetsfirmaet CrowdStrike. Dette viser behovet for bedre forståelse av komplekse risikoer i ATM-systemer.
For å forstå hvordan kaskadeeffekter av angrep kan spre seg i et komplekst system, må vi identifisere og modellere avhengigheter mellom de «støtteresurser» som systemet er bygget opp av (på engelsk refererer vi ofte til disse som «Supporting Assets» når vi utfører risikoanalyse). Typiske eksempler på slike støtteresurser er maskinvare, programvare og nettverkstilkoblinger, men det er i tillegg også relevant å betrakte for eksempel brukere til systemene, lokalene som systemene er installert i, og fysiske dingser som er koblet til nett som støtteresurser.
I luftfart er følgende avhengigheter relevante å vurdere mtp kaskadeeffekter:
- Fysisk avhengighet: Tilstanden til en støtteresurs avhenger av de materielle outputene fra en annen støtteresurs (f.eks. mengden brensel i en tank i et fly er fysisk avhengig av en drivstoffpåfyllingsenhet).
- Cyberavhengighet: Tilstanden til en støtteresurs avhenger av informasjon produsert og overført gjennom en annen støtteresurs (f.eks. programvaren for radarovervåking av flyene er avhengig av informasjon som samles inn via en server).
- Geografisk avhengighet: Tilstanden til en støtteresurs påvirkes av en annen støttekomponent siden de er samlokalisert (f.eks. alle fly som lander på en flyplass er geografisk avhengige av kontrolltårnet på den samme flyplassen).
- Logisk avhengighet: Tilstanden til en støtteresurs avhenger av tilstanden til en annen støtteresurs via en ikke-fysisk, ikke-cyber og ikke-geografisk forbindelse (f.eks. punktlighetsomdømmet til et flyselskap avhenger logisk av punktligheten til selskapets fly).
- Menneskelig avhengighet: Støtteresurser håndteres av de samme menneskene (f.eks. så kan både radiokommunikasjon og signalpistoler opereres av den samme ansatte på flyplassen).
I artikkelen «Modelling and analysing cascading effects of cyberattacks to ATM systems» presenterer vi en metode for å modellere og analysere kaskadeeffekter av angrep i systemer som brukes for luftfart. Resultatet beregnes i form av en kvantitativ verdi: avhengighetsrisikoen for angrep (Dependence Risk of Attack – DRoA) på de forskjellige støtteresursene i et ATM-system.
Vi har testet ut metoden på eksemplet vist i figuren under.
I dette eksemplet viste vi hvordan et tjenestenektingsangrep mot en ruter som brukes i et IP-basert bakkenettverk sprer seg videre i nettet og påvirker en satellittforbindelse, levert av en operatør som i tillegg tilbyr den samme forbindelsen til aktører i det maritime domenet, og hvordan det opprinnelige angrepet mot ruteren da kan påvirke en tjeneste som brukes for identifikasjon og sporing av fartøyer. Ved bruk av den nye metoden for risikovurdering viste vi at alvorlighetsgraden av den opprinnelige hendelsen i virkeligheten er mye større enn hvis vi bare ville tatt konsekvensen for angrepet på det opprinnelige systemet i betraktning.
Artikkelen, som du kan laste ned gratis her: https://zenodo.org/records/14802215 ble presentert av vår samarbeidspartner Zenabyte på luftfartskonferansen ICNS 2025 hvor den ble tatt godt imot av publikum, som besto av både forskere og representanter fra Europeisk luftfartsindustri.
Forskningen bak artikkelen er utført i prosjektet SEC-AIRSPACE (2023-2026).