Problematyka bezpieczeństwa informacyjnego w systemach wymiany danych lotniczych Selected aspects of information security in the aeronautical data exchange systems

z. 118 Transport 2017

Mirosław Siergiejczyk, Ewa Dudek

Politechnika Warszawska, Wydział Transportu

PROBLEMATYKA BEZPIECZEŃSTWA

INFORMACYJNEGO W SYSTEMACH WYMIANY

DANYCH LOTNICZYCH

Rękopis dostarczono: lipiec 2017

Streszczenie: W artykule zaprezentowano zagadnienia związane z analizą otoczenia

telekomunikacyjnego transportu lotniczego. Opisano istotę danych i informacji lotniczych oraz scharakteryzowano rozwiązania telekomunikacyjne realizujące ich transmisję. Przedstawiono podstawowe kwestie związane z migracją sieci wykorzystujących protokół X.25 do sieci wykorzystujących w warstwie sieciowej protokół IP. Dokonano analizy zagrożeń w systemach wymiany danych lotniczych. Przeanalizowano wybrane aspekty przeciwdziałania zagrożeniom, które mogą być istotnym czynnikiem wpływającym na bezpieczeństwo funkcjonowania systemu transportu lotniczego. Szczególna uwagę zwrócono na zagrożenia i mechanizmy przeciwdziałające tym zagrożeniom, dla stałej lotniczej sieć telekomunikacyjna pracującej z wykorzystaniem stosu protokołów TCP/IP. Przedstawiono model bezpieczeństwa informacyjnego systemu wymiany danych lotniczych wykorzystując zalecenia budowy systemu zarządzania bezpieczeństwem informatycznym.

Słowa kluczowe: informacje, dane, transmisja, zagrożenia, bezpieczeństwo, transport lotniczy

1. WSTĘP

Transport lotniczy jest jedną z gałęzi transportu, w której zauważalny jest gwałtowny przyrost wykonywania usługi transportowej. Zwiększony popyt na przemieszczanie się zarówno ludzi jak i towarów sprawia, że liczba operacji lotniczych każdego roku jest o kilkanaście procent większa niż w roku poprzednim. Od wielu lat problem przepustowości przestrzeni powietrznej jest problemem, z którym starają się uporać inżynierowie zajmujący się ruchem lotniczym. Założeniem które im przyświeca jest jednak fakt, iż żadne działanie które podejmą, nie może mieć wpływu na zmniejszenie się bezpieczeństwa ruchu lotniczego i zwiększenie prawdopodobieństwa kolizji powietrznych, zatem zwiększanie liczby statków powietrznych w poszczególnych sektorach, może się odbyć jedynie z usprawnieniem systemów transmisji informacji o sytuacji w poszczególnych sektorach dróg powietrznych.

Stale wzrastające natężenie ruchu lotniczego pociąga za sobą konieczność dokonywania modyfikacji w istniejącym systemie zarządzania ruchem lotniczym. Działania te dotyczą zarówno zmian organizacyjnych, proceduralnych, jak i modyfikacji istniejących systemów

teleinformatycznych wspomagających zarządzanie w zakresie płynności i bezpieczeństwa ruchu lotniczego. Dzięki sieciom łączności stałej lotnictwo komunikacyjne jest w stanie funkcjonować. Zapewniają one możliwość wymiany informacji między służbami naziemnymi, bez których istnienie lotnictwa nie byłoby możliwe. To właśnie pomiędzy służbami naziemnymi wymieniane jest większość informacji odnoszącej się do bezpiecznego przebiegu lotu statków powietrznych [13]. Gromadzenie danych dotyczących warunków meteorologicznych oraz lotnisk, dostępności służb, wprowadzonych ograniczeniach oraz późniejsze rozpowszechnianie różnych depesz jest możliwe dzięki wykorzystaniu sieci stałych. Takie czynności jak zgłaszanie i obrabianie planów lotu, koordynacja działań między organami kontroli ruchu lotniczego stanowią zaledwie część całkowitego potoku informacji [2].

Przy doborze parametrów oraz technologii wykonania kanałów łączności trzeba uwzględniać też realizowane przez podsystemy zadania, oraz ich priorytet. Najwyższy priorytet powinny mieć połączenia realizowane przez systemy mające bezpośredni wpływ na bezpieczeństwo operacji lotniczych. Przy wdrażaniu takich podsystemów i wyborze technologii trzeba szczególnie brać pod uwagę możliwość i niezawodność ich działania

w sytuacjach kryzysowych i awaryjnych [13]. Zastosowanie urządzeń

telekomunikacyjnych i informatycznych sprawia, że systemy wymiany danych są w rzeczywistości systemami teleinformatycznymi. Stąd też nabiera istotnego znaczenia problematyka bezpieczeństwa informacyjnego systemów wymiany danych w lotnictwie. W artykule zostaną zasygnalizowane wybrane problemy związane z zapewnieniem bezpieczeństwa przepływu danych, poufności transmisji informacji pomiędzy elementami tych systemów oraz z zapewnieniem ochrony dostępu do zasobów systemów informatycznych i przechowywanych w nich danych.

2. ANALIZA WYMAGAŃ DOTYCZĄCYCH JAKOŚCI

DANYCH I INFORMACJI LOTNICZYCH

Dane i informacje lotnicze publikowane są w celu zapewnienia bezpiecznej i regularnej żeglugi powietrznej, zgodnie ze szczegółowymi wymaganiami Załącznika 15 [8], który określa rodzaj informacji, jakie mają być udostępniane, oraz ich wymagania jakościowe. Jednym z ważniejszych dokumentów lotniczych, stanowiących bazę do planowania i bezpiecznego wykonania lotu jest Zintegrowany Pakiet Informacji Lotniczych. Zintegrowany Pakiet Informacji Lotniczych zapewniany jest przez Służbę Informacji Lotniczej Polskiej Agencji Żeglugi Powietrznej. Informacje w nim zawarte muszą zawsze być aktualne i gotowe do użycia i odpowiadać zalecanym poziomom spójności. Podstawowym dokumentem Zintegrowanego Pakietu Informacji Lotniczych jest Zbiór Informacji Lotniczych – AIP (Aeronautical Information Publication) Polska, stanowiący główne źródło informacji stałych i informacji o czasowych zmianach o charakterze długotrwałym. Drugim istotnym dokumentem mającym wpływ na planowe i bezpieczne wykonywanie operacji lotniczych są depesze NOTAM (NOtice To AirMan), które zgodnie z definicją [4] służą do rozpowszechniane za pomocą środków telekomunikacyjnych,

zawierające informacje (nt. ustanowienia, stanu lub zmian urządzeń lotniczych, służb, procedur, a także o niebezpieczeństwie), których znajomość we właściwym czasie jest istotna dla personelu, związanego z operacjami lotniczymi. Szczególną cechą NOTAM jest możliwość przekazywania wszystkich istotnych informacji operacyjnych, które można opublikować w formie krótkiej informacji bez dużej ilości tekstu i/lub grafiki, bezzwłocznie po stwierdzeniu takiej potrzeby, a więc z pominięciem terminów publikacji w cyklu AIRAC (Aeronautical Information Regulation And Control).

W załączniku IV (Wymagania odnoszące się do jakości danych) wspomnianego Rozporządzenia nr 73/2010 [11] w odniesieniu do każdego elementu danych w zakresie danych i informacji lotniczych określono wymagania odnoszące się do jakości danych, uwzględniając:

 dokładność i rozdzielczość danych,  poziom spójności danych,

 możliwość ustalenia pochodzenia danych,

 poziom gwarancji udostępniania danych kolejnemu docelowemu użytkownikowi przed datą/czasem rzeczywistego rozpoczęcia okresu ważności i ich nieusuwania przed datą/czasem rzeczywistego zakończenia okresu ważności.

W odniesieniu do wyżej wymienionych atrybutów jakości w Załączniku 15 ICAO [17] oraz Załącznikach 11 [15] i 14 [16] Rada ICAO określiła klasyfikację spójności (danych lotniczych), opartą na potencjalnym ryzyku wykorzystania zniekształconych danych. Dla danych lotniczych przyjmuje się następującą klasyfikację i poziomy spójności:

 dane krytyczne, poziom spójności 1·10−8 _{: przy wykorzystaniu zafałszowanych} danych krytycznych istnieje wysokie prawdopodobieństwo, że bezpieczny lot i lądowanie statku powietrznego będą zagrożone znacznym ryzykiem wystąpienia wypadku lotniczego,

 dane ważne, poziom spójności 1·10−5_{: przy używaniu zafałszowanych danych} niezbędnych istnieje małe prawdopodobieństwo, że bezpieczny lot i lądowanie statku powietrznego będą zagrożone znacznym ryzykiem wystąpienia wypadku lotniczego,  dane zwykłe, poziom spójności 1·10−3_{: przy używaniu zafałszowanych danych}

rutynowych istnieje bardzo małe prawdopodobieństwo, że bezpieczeństwo lotu i lądowania statku powietrznego będą poważnie zagrożone ryzykiem wystąpienia wypadku lotniczego.

Te zalecenia w zakresie poziomów spójności powodują, że istotnego znaczenia nabiera problematyka bezpieczeństwa informacyjnego systemów transmisji informacji i danych lotniczych.

3. LOTNICZE SIECI TELEKOMUNIKACYJNE

Wymiana informacji i danych dotyczących bezpiecznego i sprawnego wykonania lotów odbywa się w przeważającej większości między operatorzy obsługi naziemnej. Zbieranie informacji o stanie warunkach meteorologicznych, stanie lotnisk, dostępności służb, ograniczeniach, zgłaszanie i obróbka planów, koordynacja pomiędzy organami kontroli

ruchu lotniczego i następnie dystrybucja tych informacji odbywa się poprzez sieci stałe. Jedną z takich sieci jest stała Lotnicza Sieć Telekomunikacyjna AFTN (Aeronautical Fixed Telecommunication Network), przeznaczona do wymiany informacji dotyczących ruchu lotniczego.

Zadanie wymiany informacji realizuje sieć AFTN (Aeronautical Fixed Telecommunication Network), czyli sieć stałej łączności lotniczej. AFTN jest stacjonarną lądową międzynarodową siecią komunikacji pomiędzy służbami ruchu lotniczego (ATS) i użytkownikami przestrzeni powietrznej. Jest to działający obecnie kanał rozpowszechniania informacji meteorologicznych, ruchowych i alarmowych. Szczegółowe zasady jej funkcjonowania opisane są w Aneksie 10 ICAO [4]. Aneks ten reguluje takie zagadnienia jak struktura depeszy, rodzaje depesz, zasady adresowania, drogi routowania informacji. Protokół transmisji depesz AFTN jest zbiorem reguł, które gwarantują spójność przesyłanych danych oraz dostarczenie informacji do adresatów zgodnie z tablicami adresowania. Jest to działająca obecnie droga rozpowszechniania informacji meteorologicznych, ruchowych i alarmowych.

Obecnie, z uwagi na rozwój infrastruktury sieci lokalnych i rozległych oraz zastosowanie mediów transmisyjnych o wysokiej niezawodności, w systemach zarządzania ruchem lotniczym ATM (Air Traffic Management) wprowadza się datagramowe technologie transmisji danych [1], [8], [12]. Wykorzystanie protokołu IP pozwala na konstruowanie sieci rozległych jako struktur wieloskładnikowych, budowanych przy wykorzystaniu różnych technologii – standardowych, jak i bardzo specyficznych. Elastyczność ta dostępna jest dzięki opracowaniu stosu protokołów sieciowych (TCP/IP), których działanie zostało zaimplementowane na większości platform sprzętowych i programowych. Powyższe działania prowadzą do wycofywania protokołu X.25 z szeregu zastosowań w lotnictwie i zastąpienia go protokołem IP. To ma istotny wpływ na funkcjonowanie systemów wymiany danych w transporcie lotniczym. Wynika z tego, iż w przyszłość wiele kluczowych dla wymiany danych lotniczych systemów będzie podlegać modyfikacji polegającej na przystosowaniu ich do wymiany danych w technologii TCP/IP.

ATN (Aeronautical Telecommunication Network) jest projektem zintegrowania wszystkich systemów łączności lotniczej w jeden, wspólnie działający organizm. Ideą przyświecającą twórcom ATN jest stworzenie platformy podobnej do Internetu, jednak bezpieczniejszej i o niezawodności wymaganej w zastosowaniach lotniczych umożliwiającej projektowanie dowolnych aplikacji spełniających wszystkie wymagania stawiane przez użytkowników przestrzeni powietrznej [8]. Dlatego też korzystać z usług tej sieci mogą zarówno służby ruchu lotniczego, jak i przewoźnicy, producenci oraz administracja. Istotą ATN jest integracja istniejących systemów, które dotychczas działają zupełnie oddzielnie, tak aby tworzyły jeden system. ATN zapewniać będzie cyfrową łączność zarówno Ziemia – Ziemia jak i Ziemia – Powietrze.

Aby spełnić pokładane w nim oczekiwania, takie jak uniwersalność, kompatybilność i niezawodność, projekt ATN oparty jest na warstwowej strukturze OSI (Open System

Interconnection) [5], [13]. Model OSI opiera się na założeniu, iż każde kompleksowe

zadanie jest prostsze do wykonania, jeżeli zostanie podzielone na kilka podzadań. Jeżeli zadanie sieciowej komunikacji podzieli się na podzadania, ich realizacja stanie się dużo łatwiejsza. Takie podejście do zagadnienia ma również inne zalety. Przede wszystkim, umożliwia bezproblemową komunikację zupełnie różnych aplikacji (urządzeń) – jeżeli tylko obie są zaprojektowane zgodnie z tą samą specyfikacją. Z założenia ATN dostarcza

użytkownikom usług komunikacyjnych niskiego poziomu implementując warstwę transportową OSI. Jest to tzw. Internet Communications Service. Ze względu jednak na specjalistyczny, lotniczy charakter sieci opracowano i wyróżniono w standardzie ULA (Upper Layer Architecture). Jest to zbiór standardowych usług, z których można składać personalizowane aplikacje jak z gotowych komponentów. Według modelu OSI ULA obejmuje warstwy sesji i prezentacji. Do najwyższego poziomu ATN należy warstwa aplikacji modelu OSI oraz same programy użytkowe [8], [13].

4. ANALIZA ZAGROŻEŃ INFORMACJI W SYSTEMACH

WYMIANY DANYCH LOTNICZYCH

Bezpieczeństwu informatycznemu systemów wymiany danych lotniczych może zagrażać wiele różnych zmieniających się w czasie zagrożeń, wpływa na to bardzo wiele czynników, dlatego też stosowane są różne kryteria ich klasyfikacji.

Najczęściej przyjmuje się zasadniczy podział zagrożeń na:  sprzętowe oraz programowe,

 celowe oraz niecelowe,  zewnętrzne oraz wewnętrzne.

Zagrożenia sprzętowe powodowane są fizycznie przez sprzęt komputerowy (np. awaria urządzenia), natomiast zagrożenia programowe spowodowane są przez oprogramowanie komputerów (np. błąd programu).

Każde zagrożenie można określić jako celowe lub niecelowe (przypadkowe). Jeżeli zagrożenie powstało samoczynnie wskutek np. awarii sprzętu, błędu oprogramowania lub nieumyślnie wskutek np. błędu ludzkiego, roztargnienia, posiadania niewystarczającej wiedzy itp., to mamy do czynienia z zagrożeniem niecelowym (przypadkowym).

Zagrożenia celowe prowadzone są przez ludzi i są one świadomymi ingerencjami w sprzęt i/lub oprogramowanie, mającymi na celu zniszczenie, przechwycenie bądź modyfikację systemu komputerowego. Przeciwdziałać takim zagrożeniom można jedynie poprzez jak największe utrudnienia w dostępnie do systemu przez nieupoważnione osoby, nadzorowanie zachowania osób upoważnionych do korzystania z systemu oraz podnoszenie świadomości bezpieczeństwa komputerowego wśród użytkowników (np. szkolenia).

Niezależnie od rodzaju zagrożenia może to być zagrożenie wewnętrzne, spowodowane przez użytkowników uprawnionych do korzystania z systemu lub zewnętrzne. Zagrożeń zewnętrznych można na ogół się spodziewać i odpowiednio do nich przygotować, natomiast zagrożenia wewnętrzne są zazwyczaj niespodziewane i przez to są one szczególnie niebezpieczne. Dlatego tak ważny jest nadzór nad uprawnionymi użytkownikami (np. prowadzenie rejestrów przeprowadzanych przez nich operacji). Zagrożenia mogą powodować różne skutki i prowadzić między innymi do [3], [6], [7]:

 przerwania (interruption) - czyli częściowego lub całkowitego zniszczenia dostępu do informacji systemu informatycznego lub spowodowania jego niezdolności do użycia np. przez fizyczne zniszczenie fragmentu komputera, sieci lub całego

systemu, uszkodzenie dysku. Jest atakiem prowadzącym do zerwania połączenia użytkownika z usługą. Może to być np. przypadkowe lub celowe uszkodzenie fizyczne określonego elementu sieci (np. serwera, przewodu).

 przechwycenia (interception) - uzyskania przez osoby nieuprawnione dostępu do zasobów np. przez kradzież dokumentów, odsłuch pakietów w celu przechwycenia danych w sieci, czy nielegalne kopiowanie plików lub programów. Ten typ zagrożenia jest niebezpieczny jedynie poprzez fakt, że atakujący uzyskuje dostęp do poufnych danych, jednak w porównaniu z innymi typami zagrożeń nie ingeruje w ich treść lub samo przesyłanie danych,

 modyfikacji (modification) - zdobycia dostępu do zasobów przez niepowołaną osobę i wprowadzenie do nich zmian, np. dokonanie zmiany w pliku z danymi, wprowadzenie zmiany w programie w celu wywołania innego sposobu jego działania, modyfikację komunikatów przesyłanych w sieci Polega na zmodyfikowaniu danych przesyłanych przez użytkownika do systemu poprzez zmianę plików, wprowadzenie innych, nieprawdziwych danych,

 naciąganie, oszustwo (spoofing) – grupa ataków na systemy teleinformatyczne polegająca na podszywaniu się pod inny element systemu informatycznego. Efekt ten osiągany jest poprzez umieszczanie w sieci preparowanych pakietów danych lub niepoprawne używanie protokołów. W lotnictwie szczególnie niebezpiecznym może być spoofing sygnałów i danych GPS,

 podrobienie (fabrication) – jest atakiem, który polega na podrobieniu przesyłanych danych. W tym przypadku intruz wprowadza nieprawdziwe dane. Modyfikacja i podrobienie są najbardziej niebezpiecznymi typami ataków ze względu na to, iż jeden intruz może wywołać dziesiątki, setki lub tysiące nieprawdziwych powiadomień, paraliżując pracę kontrolerów, podawać fałszywe dane dotyczące planów lotów itp.

Wykorzystywane do budowy sieci rozwiązania i protokoły powinny być publicznie dostępne i otwarte. Połączenie wykorzystujące do transmisji stos protokołów TCP/IP w sieciach publicznych lub w sieciach, które nie są w pełni kontrolowane przez użytkownika, stwarza poważne ryzyko. Przedstawione powyżej zagrożenia mogą być istotnym czynnikiem wpływającym w konsekwencji na efektywności, a w szczególnych przypadkach także na bezpieczeństwo funkcjonowania systemu transportu lotniczego.

5. MECHANIZMY ZAPEWNIENIA BEZPIECZEŃSTWA

TRANSMISJI DANYCH I INFORMACJI LOTNICZYCH

Z punktu widzenia zapewnienia ciągłości działania sieci transmisji informacji w systemach wymiany danych lotniczych istotnym zagadnieniem staje się również możliwość realizacji transmisji z wykorzystaniem dróg obejściowych. System powinien umożliwiać realizacje połączeń z określonym poziomem zabezpieczenia poprawności i pewności działania. Jedną z metod jest planowanie dróg obejściowych. W każdym przypadku powinno dążyć się do realizacji sieci redundantnej. Jednak koszty zapewnienia

pełnej redundancji mogą być znaczące. Wobec tego wymagana jest analiza potrzeb i kosztów dla każdego z podsystemów wymiany danych lotniczych. Wtedy, gdy zbierane informacje mają niewielki wpływ na bieżące działanie systemu lub nie powodują zagrożenia życia można przyjąć metodę lokalnego backupowania danych i przechowywania ich do czasu przywrócenia łączności. Tam gdzie działają systemy związane z bezpieczeństwem należy dążyć do takiej konfiguracji sieci, aby była ona odporna na awarię pojedynczych połączeń, pojedynczych interfejsów lub urządzeń. Taka awaria nie powoduje odcięcia innych urządzeń lub węzłów. Drogi obejściowe nie muszą zapewniać pełnej przepływności identycznej jak w sprawnym systemie – powinno to wynikać z ważności przekazywanych informacji i analizy kosztów. Najbardziej pożądane są automatyczne przełączania się systemu na drogi obejściowe. To wymaga zastosowania odpowiednich urządzeń, narzędzi i protokołów [3].

W związku z zagrożeniami, na które są narażone informacje i dane podczas ich transmisji, można podjąć odpowiednie środki bezpieczeństwa:

 tworzenie bezpiecznych kanałów transmisji,

 kontrola pobieranych i przekazywanych danych oraz ograniczanie dostępu tylko do wskazanych i niezbędnych danych dla partnerów,

 wzajemne uwierzytelnianie partnerów,

 zabezpieczanie integralności i poufności danych.

Ponieważ wymienione powyżej środki bezpieczeństwa muszą być stosowane nie tylko w podsystemie łączności (warstwa transportowa), ale i w warstwie aplikacji dlatego też w zostaną zasygnalizowane tylko pewne aspekty tego problemu mające wpływ na architekturę systemu łączności (wymagane dodatkowe urządzenia służące do zapewnienia bezpieczeństwa przepływu danych).

Przepływy danych między sieciami a systemami komputerowymi można kontrolować lub ograniczać stosując firewall na złączach pomiędzy pojedynczymi sieciami i podsieciami lub systemami komputerowymi. Programy firewall można tak skonfigurować, aby osoby trzecie nie miały dostępu do wewnątrzsieciowych usług i zasobów, a partnerzy zewnętrzni posiadali dostęp tylko i wyłącznie do przewidzianych dla nich usług.

W celu uwierzytelnienia partnerów oraz zapewnienia integralności oraz poufności danych należy użyć zaawansowanych zabezpieczeń. W tym celu można zastosować następujące technologie [3], [6], [7], [9]:

 IPSec / VPN (Virtual Private Network),  SSH (SecureShell),

 SSL / TLS (Secure Socket Layer) / (Transport Layer Security).

Wymienione technologie powinny być stosowane przy przesyłaniu danych przez sieci publiczne lub przez sieci nie będące pod kontrolą administracji organizacji lotniczych. Technologie te ingerują na różnych warstwach w przepływ danych w podobny sposób i mogą przy odpowiedniej konfiguracji zagwarantować wzajemne uwierzytelnienie oraz integralność i poufność danych.

Zbiór protokołów IPSec/Virtual Private Network (VPN)

Zbiór protokołów IPSec umożliwia połączenie w sposób bezpieczny dwóch fizycznie nie połączonych sieci lub sieci i sytemu komputerowego przy wykorzystaniu sieci publicznej i bez wpływu na działanie aplikacji pracujących w tych sieciach. Na ogół obie

strony używają routerów VPN, które po wzajemnym uwierzytelnieniu kodują cały przepływ danych pomiędzy tymi dwoma sieciami.

Ponieważ IPSec funkcjonuje w warstwie sieciowej, przez co umożliwia przepływ danych pomiędzy połączonymi sieciami, najczęściej instaluje się program firewall w celu ograniczenia i kontroli przepływu danych pomiędzy tymi sieciami lub systemami komputerowymi. Należy pamiętać, że środki bezpieczeństwa udostępnione przez IPSec obejmują wyłącznie przepływ danych pomiędzy połączonymi sieciami przez kanał utworzony w sieci publicznej, a przepływ danych w obrębie sieci połączonych kanałem nie podlega ochronie. Sama konfiguracja IPSec wiąże się z dużymi nakładami i sprawia problemy przede wszystkim, gdy używane są produkty różnych producentów oraz podczas korzystania z Internetu poprzez technikę przesyłania NAT (Network Adress Translation) [3], [7], [9].

IPSec może być stosowany w połączeniach host-host, host-brama lub brama-brama. Pierwszy typ wymaga albo trybu transportowego, albo tunelowego, podczas gdy dwa pozostałe typy połączeń wymagają trybu tunelowego. Dzięki uwierzytelnianiu i szyfrowaniu pakietów IP, IPSec pozwala zabezpieczyć całkowicie transmisję danych z wykorzystaniem stosu protokołów TCP/IP [7], [9], [14].

Protokół SecureShell (SSH)

Zasada działania protokołu SSH opiera się na kryptograficznej technologii RSA i jest następująca: każdy z komputerów, na którym zainstalowane jest oprogramowanie SSH posiada parę kluczy: tzw. klucz prywatny dostępny tylko dla administratora komputera (i oczywiście oprogramowania systemowego obsługującego protokół SSH) oraz klucza publicznego dostępnego dla wszystkich użytkowników sieci. Klucze te są tak zbudowane, że informację zaszyfrowaną kluczem prywatnym można rozszyfrować tylko przy pomocy klucza publicznego i odwrotnie informację zaszyfrowaną kluczem publicznym można rozszyfrować wyłącznie przy pomocy klucza prywatnego. Klucze są więc ze sobą powiązane, ale żadnego z nich nie można odtworzyć na podstawie znajomości drugiego. SSH pozwala zabezpieczyć sieć przed atakami typu [3], [6]:

 IP spoofing,  IP source routing,  DNS spoofing,

 przechwycenie haseł użytkowników przesyłanych przez sieć w postaci jawnej, wykorzystujących podsłuch i fałszowaniu autoryzacji na poziomie protokołu X-Windows.

Wiele zdalnych usług, które wykorzystują protokół TCP/IP może być chronionych poprzez SSH. Między innymi: aplikacje użytkowników klient-serwer, systemy baz danych i usługi takie jak HTTP, TELNET, POP, SMTP. Używając SSH należy pamiętać, że przesyłanie połączenia do jakiegoś innego hosta, na którym nie jest otwarta sesja terminala, będzie kodowane tylko do hosta, na którym aktualnie odbywa się sesja terminala. Połączenie od tego hosta do hosta docelowego nie będzie kodowane. Docelowy host powinien więc zawsze być w bezpiecznej sieci lub być hostem na którym jest sesja terminala.

SSL(Secure Socket Layer)/TLS(Transport Layer Security) VPN

SSL (Secure Socket Layer) jest bezpiecznym protokołem transportowym, powszechnie wykorzystywanym do zapewnienia poufności i bezpieczeństwa transakcji np. w bankowości czy handlu elektronicznym. Często sieci SSL VPN nazywane są sieciami „bez klienta” (clientless), ponieważ większość przeglądarek internetowych obsługuje protokół SSL/TLS i właśnie one są wykorzystywane jako oprogramowanie klienta. Rozwiązanie SSL VPN standardowo oznacza zdalny dostęp do sieci poprzez bramę SSL VPN, lecz może również zawierać aplikacje obsługujące SSL np. klientów poczty (MS Outlook, Eudora) [10].

SSL lub używany również TLS to protokoły, które działają w trybach połączeniowych, dzięki zastosowaniu protokołu TCP. Istnieją dwa sposoby wdrożenia zdalnego dostępu z wykorzystaniem protokołu SSL. W pierwszym przypadku poszczególne serwery wykorzystując oprogramowanie SSL samodzielnie terminują tunele zestawiane przez zdalnych użytkowników. Alternatywą dla takiego rozwiązania jest brama VPN, która z jednej strony stanowi interfejs terminujący tunele VPN zdalnych użytkowników, komunikując się jednocześnie z wewnętrznym serwerem w jego formacie.

Z uwagi na szczególny charakter danych, znajdujących się w sieci informatycznej wymiany danych lotniczych, wymaga zastosowania właściwych reguł i polityk bezpieczeństwa. Środkami bezpieczeństwa powinien być objęty zarówno proces obsługi pakietów danych przysyłanych pomiędzy podsystemami wymiany danych lotniczych. Ochronę i przeciwdziałanie różnym formom ataków zewnętrznych zapewnia zastosowanie odpowiednio wydajnych urządzeń, z których najważniejsze to: firewall, IDS/IPS oraz serwer antywirusowy.

Model bezpieczeństwa informatycznego systemu wymiany danych lotniczych

Model bezpieczeństwa informatycznego systemu wymiany danych lotniczych powinien zapewniać kompleksową ochronę zasobów informatycznych urzędu i umożliwiać bezpieczną komunikację autoryzowanych użytkowników z wybranymi zasobami lokalnych i rozległych sieci informatycznych. Model bezpieczeństwa informatycznego powinien w szczególności zapewniać ochronę danych i infrastruktury teleinformatycznej, która powinna być organizowana w oparciu następujące środki:

 programy typu firewall,  systemy antywirusowe,

 systemy IDP wykrywania i przeciwdziałania włamaniom, realizujące funkcje IDS i IPS w oparciu o analizę ruchu w sieci oraz analizę zachowania urządzeń (wykrywanie sytuacji wskazujących na wystąpienie ataku lub nieprawidłowości),  systemy mocnego uwierzytelniania,

 systemy antyspamowe oraz inne,  audyty bezpieczeństwa.

Opracowanie właściwych reguł i polityk bezpieczeństwa stanowi podstawę budowy systemu zarządzania bezpieczeństwem informatycznym. Norma PN-ISO/IEC 27001:2007 [10] jest normą określającą wymagania dotyczące budowania systemów zarządzania bezpieczeństwem informacji (SZBI), a jednocześnie stanowiącą kryterium ich oceny. Norma ta została opracowana w celu zapewnienia wyboru adekwatnych i proporcjonalnych środków w obszarze bezpieczeństwa osobowego, fizycznego oraz

informatycznego przy jednoczesnym zachowaniu zgodności z prawem. Nie określa szczegółowych rozwiązań technicznych, lecz wskazuje obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od samej organizacji i powinien być oparty na przeprowadzonej analizie ryzyka. Norma szeroko definiuje pojęcie bezpieczeństwa informacji, uwzględniając zagadnienia od rozwoju kompetencji personelu aż po środki techniczne służące ochronie przed włamaniami komputerowymi. Zatem ważnym elementem modelu bezpieczeństwa informacji w systemach wymiany danych lotniczych jest opracowanie Systemu Zarządzania Bezpieczeństwem Informacji danych i informacji lotniczych (SZBI).

SZBI powinien być zgodny z istniejącym prawem, a udokumentowany za pomocą Polityki Bezpieczeństwa Informacji, w której organizacja określa, w jaki sposób chroni swoje aktywa i realizuje zasady przechowywania i dostępu do informacji. Wszystkie działania dotyczące polityki bezpieczeństwa informacyjnego powinny być zatwierdzone przez kierownictwo, a wszyscy pracownicy powinni być odpowiednio przeszkoleni w zakresie stosowania właściwych procedur. Dodatkowo polityka bezpieczeństwa informacyjnego w zakresie wymiany danych lotniczych musi być tak opracowana, aby była rozumiana przez wszystkich czytelników, do których jest adresowana. Ma to szczególne znaczenie w kluczowych miejscach, w których znajdują się operatorzy oraz urządzenia, służące do przetwarzania i przechowywania danych. Ważnym składnikiem systemów wymiany danych lotniczych są także urządzenia zewnętrzne, które powinny być również odpowiednio chronione (bezpieczeństwo sprzętu, odpowiednia i planowana konserwacja urządzeń i okablowania). Ze względu na to, iż informacja jest jednym z najważniejszych zasobów, należy zapewnić jej ochronę na pożądanym poziomie. To oznacza, że należy opracować i wdrożyć na poziomie organizacyjnym i technicznym procedury i środki, które zapewnią [7], [10]:

 zachowanie poufności informacji chronionych,

 integralność informacji chronionych i jawnych oraz dostępność do nich,  wymagany poziom bezpieczeństwa przetwarzanych informacji,

 maksymalnie ograniczenie występowanie zagrożeń dla bezpieczeństwa informacji,  poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji,  gotowość do podejmowania działań w sytuacjach kryzysowych.

Opisane w normie podejście procesowe polega na tym, że wyjście z danego procesu wpływa na wejście kolejnego. Zdefiniowano cztery stany zarządzania bezpieczeństwem, a mianowicie planowanie, wykonanie, sprawdzanie i działanie.

Istotnym elementem w opracowywaniu Polityki Bezpieczeństwa Informacji w systemach wymiany danych lotniczych jest szacowanie ryzyka. Opisywane jest ono przez wiele metodyk [3], [6], [7], [10]. Szacowanie ryzyka to całościowy proces analizy i oceny ryzyka. Należy zdefiniować zdarzenia, które mogą spowodować zakłócenie pracy systemu wraz z określeniem prawdopodobieństwa wystąpienia oraz jego konsekwencjami. W ramach Polityki Bezpieczeństwa Informacji powinno się także opracować i wdrożyć plany utrzymania lub odtworzenia systemu po wystąpieniu przerwy lub awarii krytycznych zasobów. Ryzyko może być minimalizowane także za pomocą przenoszenia go na inne podmioty.

Zgodnie z wymaganiami systemu zarządzania bezpieczeństwem informacji i danych lotniczych istnym etapem podczas wdrażaniu i eksploatacji jest audytowanie systemów wymiany danych lotniczych w zakresie bezpieczeństwa informacji. Zadaniem audytu jest

rzetelna ocena organizacji, systemu, procesu, osoby, projektu lub produktu, przeprowadzona na podstawie określonych danych, wymagań i standardów. Zbiorami dobrych praktyk, według, których można przeprowadzać audyt są metodyki ITIL (Information Technology Infrastructure Library) i COBIT (Control Objectives for Information and related Technology).

6. PODSUMOWANIE

W artykule zaprezentowano zagadnienia związane z analizą wymagań dotyczących jakości informacji i danych lotniczych oraz stacjonarnymi systemami telekomunikacyjnymi realizującymi ich wymianę. Szczególna uwagę zwrócono na zagrożenia i mechanizmy przeciwdziałające tym zagrożeniom, dla stałej lotniczej sieć telekomunikacyjna pracującej z wykorzystaniem stosu protokołów TCP/IP. Przeanalizowano wybrane aspekty przeciwdziałania zagrożeniom, które mogą być istotnym czynnikiem wpływającym na bezpieczeństwo funkcjonowania systemu transportu lotniczego.

W pracach dotyczących transmisji informacji i danych w lotnictwie należy uwzględnić problem zapewnienia ciągłości usług transmisji informacji, czyli zdolności do zapewnienia nieprzerwanych usług w ramach sieci wymiany danych i informacji, aby umożliwić skuteczną realizację usług zapewniających bezpieczeństwo i punktualność w transporcie lotniczym.

Bezpieczeństwo informacyjne systemów realizujących wymianę danych lotniczych jest kluczowe dla zapewnienia ciągłości działania przepływu informacji dla bezpiecznej i regularnej żeglugi powietrznej. Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji w transporcie lotniczym powinna być w określonych odstępach czasu przeglądana i weryfikowana, aby dokument Polityki Bezpieczeństwa Informacyjnego (PBI) był cały czas aktualny, a cele pozostały jasne i czytelne. W systemach wymiany informacji i danych lotniczych należy położyć duży nacisk na kształcenie kadry kierowniczej, operatorów i techników pod względem bezpieczeństwa samego systemu, a także pod względem dostępu do informacji, pomieszczeń i urządzeń znajdujących się w terenie.

W analizie ryzyka oraz ocenie jakości systemów wymiany danych lotniczych pomocne są audyty, wykonywane przez niezależnych ekspertów. Szczegółowa analiza oparta o standardy i znane na całym świecie metodyki pozwoli na bezpieczne i ciągłe działanie usług wymiany informacji i danych, które służą coraz większej liczbie osób.

Bibliografia

1. Dhas C, Mulkerin T, Wargo C, Nielsen R, and Gaughan T. Aeronautical Related Applications Using ATN and TCP/IP. Research Report April 2000. Springfield, Virginia, Computer Networks and Software, Inc.

2. Dudek E., Kozłowski M.: The concept of a method ensuring aeronautical data quality, Journal of KONBiN No 1(37)2016, str. 319-340, Warszawa 2016, nr ISSN: 1895-8281.

3. Fry Ch., Nystrom M.: Monitoring i bezpieczeństwo sieci. Wyd. Helion Gliwice 2010

4. ICAO, Aeronautical Telecommunications, Annex 10 to the Convention on International Civil Aviation 5. Kocot B.: Strategiczny plan rozbudowy systemów komunikacyjnych na potrzeby ATM w FIR Warszawa,

PAŻR 2011

6. Kowalewski J., Kowalewski M.: Zagrożenia informacji w cyberprzestrzeni, cyberterroryzm. Oficyna Wydawnicza PW, Warszawa 2017

7. Liderman K.: Bezpieczeństwo informacyjne. Wydawnictwo Naukowe PWN, Warszawa 2012

8. Manual on Detailed Technical Specifications for the Aeronautical Telecommunication Network (ATN) using ISO/OSI Standards and Protocols. Part III — Upper Layer Communications Service (ULCS) and Internet Communications Service (ICS). International Civil Aviation Organization. First Edition — 2010 9. Nader J.C.: VPNs Illustrated: Tunnels, VPNs, and IPSec, Addison Wesley Professional 2005

10. PN-ISO/IEC 27001:2007. Systemy zarządzania bezpieczeństwem informacji. Wymagania.

11. Rozporządzenie Komisji (UE) nr 73/2010 z dnia 26 stycznia 2010 r. ustanawiające wymagania dotyczące jakości danych i informacji lotniczych dla jednolitej europejskiej przestrzeni powietrznej.

12. Sadowski P., Siergiejczyk M.: Zastosowanie sieci IP w systemach zarządzania ruchem lotniczym ATM, XXV Krajowe Sympozjum Telekomunikacji i Teleinformatyki, Warszawa, 2009.

13. Siergiejczyk M.: Współczesne systemy wymiany danych w ruchu lotniczym - modele i metody. Monografia red. Skorupski J., Współczesne problem inżynierii ruchu lotniczego. Modele i metody. Warszawa OW PW 2014.

14. Siergiejczyk M.: Zagadnienia realizacji wirtualnych sieci prywatnych dla spółek kolejowych. Logistyka nr 3/2009. Poznań 2009

15. Załącznik 11 do Konwencji o międzynarodowym lotnictwie cywilnym, Służby Ruchu Lotniczego, Organizacja Międzynarodowego Lotnictwa Cywilnego, lipiec 2001.

16. Załącznik 14 do Konwencji o międzynarodowym lotnictwie cywilnym, Lotniska, Organizacja Międzynarodowego Lotnictwa Cywilnego, lipiec 2009.

17. Załącznik 15 do Konwencji o międzynarodowym lotnictwie cywilnym, Służby Informacji Lotniczej, Organizacja Międzynarodowego Lotnictwa Cywilnego, lipiec 2013.

SELECTED ASPECTS OF INFORMATION SECURITY IN THE AERONAUTICAL DATA EXCHANGE SYSTEMS

Summary: The article presents issues related to the analysis of the environment of telecommunications by

air transport. The essence of aeronautical data and information has been described and telecommunications solutions for their transmission have been characterized. The basic issues related to network migration using X.25 protocol are presented to the networks using the IP protocol in the network layer. An analysis of threats in aeronautical data exchange systems. Some selected aspects of counter threats, which may be an important factor affecting the safety of the air transport system, have been analyzed. Particular attention has been paid to the treats and mechanisms that counteract these threats, for the aeronautical telecommunications network working on the TCP / IP protocols. The model of information security of the air data exchange system was introduced using the recommendations of building an IT security management system.