Quanto rischiamo nei nostri cieli e più sopra con questa guerra? Sebbene una qualsiasi delle principali “famiglie” di standard di sicurezza informatica possa servire come riferimento utile per standard di sicurezza informatica per l’aviazione, varie sono le risorse che devono essere garantite da tali standard di CyberSecurity: riguardano i passeggeri a bordo degli aerei commerciali e militari, chiaramente diversi in termini di rischio, gli aeromobili, i loro sistemi essenziali, gli scambi informativi per l’aeronavigabilità, il traffico e le missioni militari.
Non si va lontano dal vero quando si afferma che la sicurezza informatica dell’aviazione è una disciplina a sé stante, che necessita di competenze uniche, coinvolge molti stakeholder, richiede un’Affidabilità All-Way ed è una “storia infinita”, poiché le minacce informatiche continuano ad evolversi nel tempo – quindi è necessario implementare l’Airworthiness Security come un processo continuo per l’intera vita di tutti gli aeromobili.
La navigazione aerea finisce sotto cyber attacco
Come è arrivato il cyber-rischio nell’aviazione? A ricordare la Fase I (Preistoria, prima di Internet) viene quasi la lacrimuccia:
• 1971 “Creeper”: primo virus informatico, sviluppato presso BBN Technologies; facevo la terza media.
• 1982 “Elk Cloner”: primo malware a utilizzare un vettore di attacco, originariamente creato per combattere la pirateria sui sistemi Apple II;giovine laureato e subito in divisa.
• 1988 Morris worm: abbattuti circa 6.000 sistemi, Morris è la prima persona processata e condannata;
• 1991 “Michaelangelo”: si sveglia ogni anno il 6 marzo (compleanno del sommo).
La Fase II con Internet ma amatoriale:
• 2000 worm “Love Letter”: un’e-mail con oggetto “ILOVEYOU” e un file txt “LOVE-LETTER-FOR-YOU” allegato infetta circa 50 milioni di computer in 10 giorni
• 2007 Trojan “ZeuS”: un “pacchetto” contenente una varietà di programmi malware. L’FBI arresta più di 100 hacker per frode bancaria nell’Europa orientale.
Fase III – Il professionismo con Aurora e Stuxnet e poi Fase IV, con l’abbinamento trojan / phishing e il ransomware e vai col liscio, storie recenti. Solo nel 2016-2017 esordiscono attacchi specifici contro l’aviazione: tipicamente diretti ad aeroporti e / o compagnie aeree, vittime importanti – Vietnam e guarda caso Ucraina; l’attacco ransomware “WannaCry”, sincronizzato in tutto il mondo, causa danni stimati in circa $ 4 miliardi, inclusa l’infrastruttura; tra le vittimedell’aviazione civile, Boeing e LATAM Airlines Group.
Oggi quello che ci si spalanca è l’uso bellico in combinazione con quello contro l’aeronavigabilità, mirabile combinazione, un vero “prodotto vettoriale” di tecnologia e di vulnerabilità del settorie. Due considerazioni:
1) la diversa natura dei sistemi ICT business e dei sistemi informativi industriali;
2) la percezione che attacchi così complessi alle infrastrutture industriali (e aeronautiche)possono essere portati avanti solo da attori a livello statale (come i c.d. regimi canaglia) o comunque da organizzazioni iperstrutturate e in grado di finanziare una “R&D del crimine.”
I sistemi informativi industriali sono effettivamente diversi dai sistemi IT convenzionali; con l’ICT business hanno poco in comune, basandosi su:
– OT (Operational Technology),
– ICAS (Industrial Control & Automation Systems),
– SCADA (Supervisory Control and Data Acquisition),
– CPS (Cyber Physical Systems) e altro ancora.
Un tempo i CPS tipici erano di tecnologia proprietaria e persino fisicamente isolati dagli ICT standard, il che rendeva praticamente impossibile il colpo per gli hacker “tradizionali”. Tuttavia, verso la fine del millennio, l’hardware e il software COTS (Commercial Off The Shelf) si sono fatti strada in questo segmento e debuttò il “velivolo connesso“. Man mano che la tecnologia dell’informazione e la tecnologia di rete si sono espanse il loro costo è diminuito e la “barriera all’accesso” per gli hacker si è abbassata. Il presente secolo ha visto attacchi informatici agli aeroporti ma anche in-flight, finora con prerogative ransomware ma in caso di guerra è evidente che l’interesse possa diventare militare in senso stretto. Tanto vero è questo che immediatamente il pensiero corre alla ormai imminente saldatura fra aeronavigabilità e satelliti militari e commerciali, imparentati per via dei lanciatori aerei e della fusione informativa tra costellazioni in Low / Medium / Geosynchronous Earth Orbit estazioni terrestri.
L’allargamento alla space-cloud
Molti elementi geopolitici consigliano particolare attenzione alla sicurezza civile e militare. Tra essi, il cambiamento climatico, la gestione della mobilità e dei trasporti, il tracciamento delle merci, la gestione dei flussi migratori in campo civile, e tutto quanto concerne il dominio delle orbite, basse medie e alte per i monitoraggi e l’operatività militare. Il tutto avendo a bersaglio i flussi di informazioni collegati, vera ragion d’essere del satellitare. Il segmento spaziale viene ormai concepito come parte del World Wide Web. La comunicazione wireless può integrare motori cognitivi con un sistema radio in grado di decidere il routing della messaggistica. La robotica contemplerà a regime due livelli di sciami capaci di interagire e immagazzinare enormi quantità di dati che l’internet delle cose metterà in linea ovunque nel mondo: gli UAV (RPAS, Remotely Piloted Aircraft Systems) e i piccoli satelliti (o piccolissimi come NanoSat). Aperta e chiusa parentesi, pensiamo ai rischi di sabotaggio cyber aeronautico per i lanciatori aerei.
L’integrazione con i sistemi fissi e mobili imporrà ai satelliti un approccio di rete tipo multiservizi, preferibilmente un cluster di piccoli satelliti con payload singoli o distribuiti, interoperabili con altri segmenti spaziali già operanti in orbite LEO / MEO (tipo Copernicus o Galileo), e GEO, e interoperabilità con la rete mobile 5G. Un esempio chiaro è costituito dal Global Navigation Satellite Systems (GNSS) che prevede la geolocalizzazione globale tramite segnali in RF di satelliti in vista.
Le tecnologie COTS si basano sulla scelta di componenti microelettronici in grado di superare prove ambientali quali quelle di radiazione ionizzante. Uno strumento che opera nello spazio differisce da uno analogo a terra per la capacità di resistere sia a condizioni termiche che elettromagnetiche. Un elemento plastico è in generale migliore e in questo senso si sta orientando la normativa ECSS sulla standardizzazione spazialei per telecomunicazioni. L’avvento del 5G prevede una gestione a stratiper le frequenze della wireless cloud. Quelle cosiddette millimetriche sotto 1 Ghz permettono la coesistenza con servizi già esistenti della rete terrestre nelle aree rurali, marittime o come reti di backup in caso di disastri. Il satellite supporta sistemi SCADA per il tracciamento degli asset sul territorio (machine to machine), come dire: un elemento dell’IoT.
Gli sciami di Small Satellites
Mentre i satelliti dedicati alle telecomunicazioni sono su orbite geosincrona a circa 36,000 km di altitudine e osservano costantemente una porzione della superficie garantendo la continuità del servizio, i satelliti di osservazione della Terra sono su orbite basse (LEO) con frequenza di osservazione giornaliera. Non sono quindi occhi costantemente puntati su una zona ma il loro vantaggio è la frequenza di osservazione e dipende dalla numerosità dello sciame utilizzato. Gli sforzi per ottenere immagini con risoluzioni elevate nascono in ambito militare ma si estendono all’utilizzo civile. Per esempio la ricognizione a valle di un disastro naturale o di altro evento a elevato impatto sono mutuate dalle tecniche di valutazione del danno in battaglia (BDA, Battle Damage Assessment) e sono state usate in occasione del disastro delle Torri Gemelle e dell’uragano Katrina.
Le costellazioni di Small Satellites (diciamo fino a 500 kg) sono costituite da decine di elementi. È possibile effettuare diversi tipi di lancio: dedicati a un solo payload o piccoli payload all’interno di un dispenser. La maggiore focalizzazione industriale è quella sul range da 10 a 100 kg dove si prevede la maggiore espansione. Questo porta con sé il problema della quantità di detriti spazialiche verranno posti in orbita, anche se esiste una normativa da rispettare: in quanto area protetta da 0 a 2.000 km di altezza, la LEO, al cui interno un veicolo orbitante come lo stadio lanciatore o il satellite o il payload, può rimanere per un tempo massimo di 25 anni, deve prevedere il rientro a terra con una probabilità di perdite di vite umane inferiore a 1 su 10,000.
I piccoli satelliti quindi sono dislocati su orbite LEO tra 400 e 800 km dalla superficie terrestre e hanno un tempo di visibilità della stazione di terra ricevente dell’ordine di 8 – 15 minuti su un arco da 5° a 175°. In questo breve periodo, tutte le informazioni raccolte lungo un’orbita piena devono essere scaricate alla stazione di terra. Il collo di bottiglia di questo sistema è la velocità con cui i dati raccolti vengono trasmessi. La bit-rate di trasmissione massima raggiunta ad oggi da queste missioni di nano e microsatelliti è di circa 100 Mbps. C’è un grande sviluppo di tecnologie COTS per aumentare la capacità di trasmissione fino a 500-1000 Mbps. La vulnerabilità consiste nella trasmissione in sé e poi in tutta la filiera terrestre a valle.
L’integrazione con la rete terrestre 4G o 5G prevede uno strato spaziale intermedio costituito da una costellazione di Small Sat interconnessi sia con le gateway terrestri che con i satelliti GEO o MEO. I dati raccolti dagli Small Sat possono essere ritrasmessi dopo opportuna compressione a bordo per ridurre la bit-rate verso le gateway terrestri o verso i satelliti. A loro volta, le gatewayterrestri possono essere interconnesse a centri servizi collegati con la rete mobile 4G o 5G.
Le carenze, i limiti
Gli sviluppi futuri prevedono per l’integrazione con la rete terrestre la realizzazione di costellazioni di CubeSat (nella categoria NanoSat) e questo rende evidente che un mondo finora a parte come quello degli sciami diventi ora soggetto a tutte le incertezze mediatiche e di cybersecurity proprie del mondo terrestre o da questo dipendente come il settore aereo e l’aeronavigabilità. Quest’ultimo si mostra comunque di per sé ancor oggi carente in fatto di sicurezze avanzate. Perché ?
1) IT Vs. OT: Quasi tutti i sistemi di aeromobili e molti sistemi di controllo dell’aviazione e di supporto a terra sono Cyber Physical Systems (CPS) / Operational Technology (OT), al contrario dei puri sistemi ICT. Questa singola distinzione limit ancora, si è visto,l’utilizzo delle principali famiglie di standard di Cyber-Security.
2) Militare vs. Civile: il focus degli standard militari è normalmente sul completamento della missione, quindi di natura funzionale, mentre gli standard civili si concentrano sulla sicurezza pubblica con un margine di flessibilità nelle prestazioni.
3) Altri settori: alcuni standard specifici di Cyber-Security per settori specifici sono stati sviluppati sulla base di standard generici, e solo alcuni di questi settori sono ragionevolmente vicini all’aviazione così da essere seriamente considerati come linee di base da sviluppare requisiti per l’aviazione. Il “parente” più vicino è il “Cybersecurity Guidebook for Cyber-Physical Vehicle Systems” di SAE, pubblicato nel 2016, e sottoposto a un processo di revisione congiunto ISO e SAE in un nuovo standard.
4) Standard aeronautici esistenti: L’ICAO prende in cosniderazione le minacce informatiche solo nel 2011. Nello stesso anno, l’ARINC ha pubblicato i “Commercial Aircraft Information Security Concepts of Operation and Process Framework”, che in effetti erano incentrati sulle compagnie aeree e sulle operazioni piuttosto che sullo sviluppoinformtico, ma includevano la raccomandazione di Incoraggiare l’armonizzazione delle attuali aeronautiche pratiche di garanzia con pratiche / standard di garanzia della sicurezza generale.
Va qui ribadito, specularmente a quanto già detto, che la sicurezza delle informazioni non riguarda né esclusivamente nè necessariamente il software ma coinvolge molti altri aspetti dell’aviazione. Se evento è ciò che ha la sua origine distinta dall’aeromobile, come le condizioni atmosferiche (ad esempio raffiche, variazioni di temperatura, formazione di ghiaccio e fulmini), condizioni della pista, condizioni di comunicazione, servizi di navigazione e sorveglianza, bird-strike, incendi in cabina e bagagli, Il termine non copre il sabotaggio. Questo è il punto debole.
Il set DO-326 / ED-202 è un insieme di documenti utilizzabile, considerato come Acceptable Means of Compliance (AMC) per la sicurezza informatica dell’aviazione negli Stati Uniti e in Europa.L’Airworthiness Security Process (AWSP) è il processo centrale del set DO-326 / ED-202, da cui attingono tutti i documenti del set e fa molto affidamento su processi integrali a formare una “Security Effectiveness Assurance” tesa a stabilire il “Security Assurance Level” che determina il livello di difesa della sicurezza richiesto dall’elemento in esame. E’ di natura simile al Processo di Sicurezza-Safety di Aeronavigabilità, poiché entrambi utilizzano valutazioni di rischio / pericolo, gravità del guasto / minaccia, requisiti di mitigazione e garanzia simili – e questa somiglianza offre ricche opportunità di vantaggi reciproci per i due processi, incluso utilizzo fino al 25% circa delle prove di Safety Assurance come prove di Security Development Assurance.
ED-202 in Europa e DO-326 negli Stati Uniti, entrambi ottimisticamente denominati “Airworthiness Security Process Specification”, sono stati pubblicati nel 2010, destinati a servire come linee guida per la sicurezza delle informazioni della fase di sviluppo degli aeromobili dall’inizio alla certificazione e all’uilizzo.Rappresentano il primo approccio alla sicurezza delle informazioni nell’ambito del sistema di informazione aeronautica (AISS) dei sistemi di bordo con i relativi sistemi di terra e ambiente che dovrà creare un continuum utile con loro, si spera presto ma ormai i tempi stringono.
Quali rischi
E’ evidente che l’enorme crescita dell’affollamento satellitare attesa (oggi non più di 2,266 satelliti in orbita, di cui 1.440 hanno scopi commerciali, 436 sono gestiti dai governi, 318 hanno scopi misti, 339 hanno un uso militare e 133 sono civili) e la creazione di un unico sistema tra satelliti / navigazione aerea / telecomunicazioni terrestri / IoT offre possibilità immense ma espone drammaticamente la mobilità aerea ai rischi di cyber attacchi. Se fino al 24 Febbraio lo scenario bellico appariva puramente “di scuola” oggi prendiamo atto che quell’etaà dell’innocenza è finita. Alla luce di seri allarmi già rilevati a latere del conflitto in corso, nel mirino oggi c’è a quanto pare il GNSS con azioni di disturbo sui relativi segnali e di invio di segnalazioni fuorvianti che possono portare al rerouting degli aeromobili e interferire con gli atterraggi.
Può essere una strategia militare pura (c’est la guerre) ma anche un depistaggio criminale per incolpare il nemico di sciagure con civili a bordo, oppure parte della guerra mediatica come i raduni oceanici o le narrazioni sui social.
