Egyetlen céget érő kibertámadás indított el láncreakciót az európai reptereken

Péntek este kibertámadás érte a több nagy repteret is kiszolgáló Collins Aerospace szoftverszolgáltatót, aminek az lett a következménye, hogy a berlini, brüsszeli, dublini és londoni repülőtereken az utasfelvételért és a beszállásért felelős eszközök nem működtek megfelelően. Emiatt csak a helyszíni, manuális utasfelvétel és beléptetés volt elérhető, ezért előre lehetett azzal számolni, hogy mindez más európai repülőterekre is hatással lesz.

A hibát még hétfő délelőtt sem sikerült elhárítani, a Collins Aerospace azt közölte, hogy dolgozik a szoftverfrissítésen. A vállalat, ami az amerikai RTX repülőipari és védelmi óriás leányvállalata, olyan rendszereket biztosít az európai, és így a magyar légitársaságoknak is, amikkel ellenőrizhetik az utasokat, és szervezhetik a beszállást. A támadás a cMUSE nevű szoftverüket érintette.

Arról egyelőre nem tudni, hogy kik a felelősek a támadásért, egyáltalán független vagy állami hátterű hekkercsoportról van-e szó, azt viszont az Európai Unió Hálózat- és Információbiztonsági Ügynöksége (ENISA) már megerősítette, hogy zsarolóvírusos támadás történt, vagyis váltságdíjat követelhettek a hozzáférés visszaadásáért. Szakértők szerint az eset rámutat a légi közlekedés kiberbiztonsági hiányosságaira, és megerősített védelmi intézkedéseket sürget, valamint azt is, hogy az informatikai rendszereket minél inkább diverzifikálják, hogy egyetlen támadás ne tudja megbénítani több reptér munkáját is.

Az biztos, hogy a repülőterek és a légitársaságok jelentős károkkal számolhatnak. A brüsszeli Zaventem repülőtér szóvivője szerint hétfőn délelőtt 277 induló járatból 40-et, a 277 érkező közül pedig 23-at törölni kellett. Nemcsak a járatkiesés, hanem az is súlyos anyagi gondot ró az érintett cégekre, hogy gondoskodni kell az utasok étkeztetéséről és elszállásolásáról is. A British Airways és a Lufthansa becslések szerint már több millió dolláros veszteségnél tart. A CBC News szerint a támadás nemcsak az utasforgalmat, hanem a teherszállítást is akadályozta, ami potenciálisan késleltetheti az európai ellátási láncokat.

Az Európai Bizottság közleménye szerint a légi közlekedés biztonsága és a légiforgalom-irányítás nem sérült, ugyanakkor a testület hozzátette, hogy figyelemmel kíséri a helyzet alakulását. Azt is írták, hogy a jelenlegi jelek nem utalnak széles körű vagy súlyos támadásra.

„Ez egy külső, harmadik féltől származó szolgáltatás. Egy beszállító rendszerét támadták meg, ami szolgáltatja ezt a szoftvert a reptérnek. Az egész az ellátási lánc sérülékenységére hívja fel a figyelmet – mondta a Telexnek Frész Ferenc kiberbiztonsági szakértő. – Az elsődleges szempont itt nyilvánvalóan az, hogy ha nincs megbízható információ, a teljes szolgáltatás leáll. Nem fogják beszállítani azokat az utasokat a gépekbe, akikről nincs megfelelő információ. Ez egy nagyon nagy megbízhatóságú rendszer, ha például a csomaginformációs rendszer állna le, akkor sem mehetnének a gépek” – tette hozzá.

Bár egyes esetekben a repülőterek most is tudtak regisztrálni utasokat, ez csak akkor működik, ha az utasinformációt lehet igazolni a Collins Aerospace rendszere nélkül is. „Van repülőtereknek backup rendszerük, de ez nem mindenhol érhető el. Van megoldás arra is, hogy kézzel vegyék fel az utasok adatait, papíralapon, de ez csak akkor lehetséges, ha alapvetően van papíralapú információ. Nem mindenhol lehet alkalmazni” – mondta a szakértő.

Sok repülőtér, köztük az érintett létesítmények is, ugyanazokra a külső szolgáltatók által biztosított rendszerekre támaszkodik az utaskezelés során. Bár ez növeli a működési hatékonyságot, jelentősen csökkenti a rendszer ellenálló képességét. „Sok olyan alkatrészből áll a reptéri informatika, amiknek kritikus pontjuk, hogy ha nem szolgáltatnak információt, a reptér nem fog tudni szolgáltatást nyújtani. A biztonság az elsődleges” – mondta Frész Ferenc.

Egyetlen kibertámadás egyetlen szolgáltatónál gyorsan széles körű fennakadásokat okozhat több repülőtéren, ahogy azt a most tapasztalt késések és járattörlések is mutatják – még azokat a repülőtereket is érinti a probléma, amiket maga a kibertámadás közvetlenül nem, hiszen annyira összekapcsolt a nemzetközi repülőgép-közlekedés, hogy ha egy nagy reptér elesik, azt a többi is megérzi.

Természetesen nem a Collins Aerospace az egyetlen beszállító, aminek a szoftverén áll vagy bukik a repülőterek problémamentes működése. A SITA például olyan légi közlekedési informatikai rendszereket gyárt, amik a világ légitársaságainak 90 százalékát lefedik. 2019-ben kibertámadás érte, és a támadók hozzáférhettek bizonyos utasadatokhoz, mint például a név, a tagságazonosító és a fokozat, amiket a SITA Passenger Service System utasadat-feldolgozó rendszer szerverein tároltak.

Frész Ferenc kiemelte: a repülésbiztonságot a repülőterek nagyon komolyan veszik. „Ha valami hiba van a biztonsági rendszerben, akkor a repülők nem indulnak el. Ha a csomaginformációs rendszerből nem tudnak azonosítani egy bőröndöt egy utassal, akkor a bőrönd lekerül a gépről. Ha valamelyik utas elkésik és lemarad, az ő bőröndjét is elviszik. Ha a csomaginformációs rendszer elszáll, nem száll fel a gép. Gyakorlatilag end-to-end le kell tudni ellenőrizni, hogy aki megvette a jegyet, az az is, aki beszáll a gépbe, az utas teljes életciklusát végig kell tudni követni a jegyfoglalástól kezdve a kiszállításig” – mondta.

A szakértő azt is kiemelte, hogy a repülőterek elvárhatnak ugyan jobb szabályozást és magasabb kiberbiztonsági készültséget a beszállítóiktól, ezt nagyon nehéz ellenőrizni, ráadásul a támadások is folyamatosan fejlődnek.

A repülés pedig egyre vonzóbb célpont a hekkereknek: a francia Thales repülőipari és védelmi cég legfrissebb jelentése szerint az elmúlt évben 600 százalékkal nőtt a kibertámadások száma a légi közlekedési szektorban. Az ágazat szereplői a hekkerek kulcsfontosságú célpontjává váltak, a motivációk pedig az anyagi haszonszerzéstől az ideológiai célokon át az államilag támogatott befolyásolási műveletekig terjednek.

A jelentés szerint 2024 januárja és 2025 áprilisa között 27 jelentősebb támadást észleltek 22 különböző zsarolóvírus-csoporttól, és az esetek 71 százalékában történt hitelesítő adatok ellopása vagy jogosulatlan hozzáférés kritikus rendszerekhez. A Thales azt írja: a légitársaságoktól és a repülőterektől kezdve a navigációs rendszereken és a beszállítókon át az ellátási lánc minden egyes eleme sebezhető a támadásokkal szemben.

Miközben a támadások száma növekszik, a jelentés a fenyegetések típusában bekövetkezett minőségi változásra is rámutat a légi közlekedési ágazatban. A kibertámadások már nemcsak a járatműveletekbe avatkoznak bele, hanem stratégiai célokat is szolgálnak, például ipari kémkedést, érzékeny technológiákhoz – például a repülési és a kommunikációs rendszerekhez – való hozzáférést, az ellátási láncok megzavarását, valamint magas értékű adatok, például diplomáciai utazások és bizalmas áruszállítmányok megszerzését.

Az elmúlt napokban nem csak a Collins Aerospace-t érte kibertámadás a légi közlekedés területén: Krasznay Csaba kiberbiztonsági szakértő egy videójában arról beszélt, hogy Oroszországban a KrasAvia nevű légi közlekedési társaság weboldalát törték fel, és Szentpétervár második számú repülőterét is hasonló támadás sújtotta. Dallasban pedig egy kábel átvágása miatt jelentkezett fennakadás a légi közlekedésben.

De hasonló hatású, több repteret is megbénító kiberbiztonsági incidens is történt már a közelmúltban: 2024 júliusában egyetlen informatikai hiba miatt egy csapásra felborult a globális mindennapok rendje. Mint később kiderült, a hiba a CrowdStrike nevű kiberbiztonsági cégnél történt, ők küldtek ki az ügyfeleiknek egy elbaltázott frissítést, ami minden, Windowst futtató rendszert kék halálba küldött, amire telepítették, majd nem is akart onnan kiereszteni még azután sem, hogy a cég javította a hibát. Ez nem kibertámadás volt ugyan, de megbénította a reptereket, akadozott a vasúti szolgáltatás is, sőt tévészolgáltatókat, kórházakat és különböző cégeket is érintett a probléma. Ez az eset is arra világított rá, hogy mekkora kockázatot rejtenek a világot behálózó IT-rendszerek, a világot keresztül-kasul átszövő és egymásra épülő digitális ellátási láncok.

Szeptember elején viszont kibertámadás okozta azt, hogy a Jaguar Land Rover a Solihullban, Wolverhamptonban és Merseyside-ban található üzemeiben ebben a hónapban egyetlen autót sem tudott legyártani. A kiesett termelést körülbelül 24 ezer járműre becsülte a cég. A leállás a régióban is éreztette hatását. A szakértők szerint ez figyelmeztető jel más vállalatoknak is, hogy vegyék komolyan a kiberbiztonságot.