Euroopan unionin lentoturvallisuusviraston uudet Part-IS-säännöt ovat tulleet voimaan ja laajentavat kyberturvallisuusvelvoitteita koko siviili-ilmailualalla. Mitä nämä uudet vaatimukset tarkoittavat käytännössä?

Kate O'Flaherty

Lentoliikenteen kyberhyökkäykset ovat lisääntymässä. Vuosien 2024 ja 2025 välillä tapahtui 600% piikki sektoriin kohdistuneissa iskuissa, ja Thalesin tietojen mukaan kyseisenä aikana tapahtui 27 merkittävää välikohtausta.

Viime vuonna nähtiin useita korkean profiilin tapauksia, mukaan lukien kiristysohjelmahyökkäys Collins Aerospace joka kaatoi lähtöselvitysjärjestelmät kaikilla Euroopan lentokentillä. Myös Air France ja KLM olivat rikkonut vuonna 2025 emoyhtiönsä käyttämän kolmannen osapuolen alustan kautta. Samaan aikaan hyökkäys australialaisen lentoyhtiön toimittajaa vastaan Qantas näki kuuden miljoonan asiakkaan tiedot paljastuneen.

Tällaisten hyökkäysten lisääntyessä ilmailualaan kohdistuvat uhat monimutkaistuvat ja kehittyvät. Lentotoiminnan vaarantamisen lisäksi kyberhyökkäyksillä on nyt myös strategisia tavoitteita.

Näitä ovat teollinen kybervakoilu, pääsy arkaluonteisiin teknologioihin, kuten avioniikkaan ja viestintäjärjestelmiin, toimitusketjujen häiriöt ja ”arvokkaiden tietojen, kuten diplomaattisten matkasuunnitelmien ja luottamuksellisten rahtilähetysten, kaappaaminen”, Thalesin mukaan.

Juuri tämä kasvava uhka mielessä pitäen uusi Euroopan unionin lentoturvallisuusviraston osa IS säännöt ovat tulleet voimaan, ja ne laajentavat kyberturvallisuusvelvoitteita koko siviili-ilmailualalla.

Mitä uudet vaatimukset sitten tarkoittavat käytännössä?

Houkutteleva kohde

 Maailmanlaajuisen matkustamisen edellyttämät yhteenliitetyt järjestelmät tekevät ilmailusta houkuttelevan kohteen kyberrikollisille ja kansallisvaltioiden toimijoille, sanoo ThreatLockerin toimitusjohtaja Danny Jenkins. ”Varaus-, lähtöselvitys- tai koneeseen nousujärjestelmien rikkomukset voivat aiheuttaa laajoja häiriöitä – ja ilmailun käyttökatkokset kasvavat nopeasti laajemmiksi taloudellisiksi vahingoiksi”, hän varoittaa.

Osa IS siis virallistaa sen, minkä uhkakuva on tehnyt ilmeiseksi jo jonkin aikaa. ”Kyberturvallisuus ei ole enää tekninen taustatoiminto”, selittää Matt Conlon, Cytidelin toimitusjohtaja ja perustajajäsen. ”Se on turvallisuusala, ja se tarvitsee saman jäsennellyn hallinnon, riskinarvioinnin ja jatkuvan valvonnan, jota ilmailuala on aina soveltanut muihin operatiivisiin vaaroihin.”

IS-osassa edellytetään yrityksiltä, ​​että niillä on käytössään valvontamekanismeja ja että ne toimivat. Säännöt edellyttävät jäsenneltyä riskinarviointia, määriteltyä hallintoa ja vastuuvelvollisuutta, oikeasuhteisten valvontamekanismejen toteuttamista ja seurantaa, vaaratilanteiden raportointia ja jatkuvaa parantamista.

”Sen on oltava linjassa laajemman ilmailualan sääntelykehyksen kanssa ja sen on oltava viranomaisvalvonnan alainen, mikä tarkoittaa, että organisaatioiden on osoitettava paitsi valvonnan olemassaolo myös sen toimivuus käytännössä”, kertoo Lawrence Baker, NCC Groupin ilmailualan tekninen turvallisuuskonsultti. IO.

Muodollinen tietoturvajärjestelmä

Asiantuntijoiden mukaan sääntelyn muutos korostaa sitä, kuinka toimialakohtaiset kyberturvallisuussäännökset suosivat yhä enemmän johtamisjärjestelmäpohjaisia ​​lähestymistapoja, jotka on linjattu tunnustettujen standardien kanssa.

Osa IS edellyttää virallista Tietoturvan hallintajärjestelmä (ISMS). ”Ja kuten kaikki nykyaikaiset johtamisjärjestelmästandardit, tämäkin riippuu dokumentoiduista prosesseista, selkeästä vastuullisuudesta ja jatkuvasta parantamisesta”, Baker selittää.

Nämä periaatteet ovat jo osa ilmailun sääntelykehystä, mukaan lukien asetukset, kuten Osa 21, Osa CAMO ja Osa 145Nämä ovat tuttuja lentokelpoisuusviranomaisille, jotka suorittavat tarkastuksia ja valvontaa, Baker sanoo.

Bakerin mukaan Part IS -vaatimustenmukaisuus edellyttää organisaatioilta seuraavaa:

  • Päätösten jäljitettävyys
  • Määritellyt vastuut
  • Suorituksen seuranta
  • Jatkuva kontrollien parantaminen

Part-IS on myös ”tarkoituksella suunniteltu” siten, että vaatimustenmukaisuus ei ole jotain, mikä ”saavutetaan kerran ja arkistoidaan”, Cytidelin Conlonin mukaan. ”Vastuullisuus on yksiselitteistä”, hän sanoo. ”Tämä tarkoittaa, että hallintorakenteiden on selkeästi määriteltävä, kuka omistaa riskipäätökset, kuka on vastuussa valvonnasta ja miten eskalointi toimii.”

Dokumentaatio on näyttöön perustuvaa tietoa, Conlon sanoo. ”Riskienarviointien, hoitosuunnitelmien, tapausten käsittelymenettelyjen ja tietoturvallisuuden hallintajärjestelmän (ISMS) on yhdessä osoitettava, että järjestelmä on johdonmukainen ja toimii käytännössä – ei vain paperilla.”

Conlonin mukaan jatkuva parantaminen on se kohta, jossa EASAn valvontamalli ”todella näyttää hampaansa”. Näin sääntelyviranomaiset arvioivat, onko järjestelmäsi kypsymässä. ”Jatkuva vaatimustenmukaisuuden seuranta, sisäiset tarkastukset, johdon arvioinnit ja koulutus erottavat organisaatiot, joilla on yksinkertaisesti olemassa käytännöt, organisaatioista, jotka voivat todistaa niiden toimivuuden.”

Laajemmat sääntelytrendit CNI:ssä

Osa IS heijastaa kyberturvallisuussääntelyn laajempaa laajentumista kriittiseen kansalliseen infrastruktuuriin (CNI) kyberuhkien voimistuessa. Samoin kuin esimerkiksi Verkkotietojärjestelmät 2 (NIS2) -määräykset sietokyvyn ja Yleinen tietosuojadirektiivi NCC Groupin Baker sanoo, että tietosuojaa koskevan GDPR:n (yleisen tietosuoja-asetuksen) myötä ilmailun kyberturvallisuusvaatimukset kerrostetaan olemassa olevaan toimialakohtaiseen sääntelyrakenteeseen.

”Kuten muillakin kyberturvallisuusaloilla, lähestymistapa on räätälöity ilmailun vakiintuneeseen turvallisuusvalvontamalliin ja toimintaympäristöön integroimalla kyberturvallisuus kypsään sääntelyekosysteemiin sen sijaan, että luotaisiin erillinen järjestelmä”, hän kertoo. IO.

Kaava on ”tällä hetkellä yhdenmukainen kaikilla kriittisen infrastruktuurin sektoreilla Euroopassa”, Cytidelin Conlon sanoo. Digital Operational Resilience Act (DORA) on ollut voimassa rahoituspalveluissa tammikuusta 2025 lähtien. NIS2 laajentaa kyberturvallisuusvelvoitteita kriittisen infrastruktuurin osalta, ja vaatimustenmukaisuuden odotetaan tapahtuvan lokakuuhun 2026 mennessä. Part-IS tuo ilmailun samaan odotuskehykseen.

Yhteinen lanka on, että sääntelyviranomaiset ovat siirtyneet kysymyksestä "onko teillä turvallisuuskäytäntöä?" kysymykseen "voitteko todistaa, että se toimii jatkuvasti?", Conlon selittää.

Strukturoitu riskienhallinta, hallitustason vastuuvelvollisuus, toimitusketjun näkyvyys ja tapausten raportointi ovat nyt avainasemassa. ”Kieli vaihtelee DORAn, NIS2:n ja Part-IS:n välillä, mutta odotukset ovat yhteneväisiä”, Conlonin mukaan.

Mutta tämä tarkoittaa, että organisaatioille, jotka toimivat useiden viitekehysten parissa, on käytännön hyötyä. Part-IS on läheisessä linjassa ISO / IEC 27001 ja jakaa rakenteellisia yhtäläisyyksiä DORA:n ja NIS2:n kanssa, Conlon sanoo.

Siksi organisaatiot, jotka rakentavat yhden yhtenäisen tietoturvallisuuden hallintakehyksen ja kartoittavat sen eri velvoitteiden välille, ovat "paljon vahvemmassa asemassa" kuin ne, jotka käsittelevät kutakin asetusta erillisenä vaatimustenmukaisuusprojektina, hän neuvoo.

Ilmailualan tietoturvajohtajien ja vaatimustenmukaisuusjohtajien prioriteetit

On selvää, että tietoturvan, resilienssin ja riskienhallinnan integrointi jäsenneltyyn viitekehykseen tukee sääntelyn puolustettavuutta ja pitkän aikavälin operatiivista luottamusta riippumatta monista kehittyvistä säännöksistä eri toimialoilla ja maantieteellisillä alueilla.

NCC Groupin Baker neuvoo, että ilmailun tietoturvajohtajien ja vaatimustenmukaisuudesta vastaavien tulisi osan IS mukaisesti priorisoida dokumentoitujen prosessien tehokasta toimintaa käytännössä ja "kestää sääntelyviranomaisten tarkastelun".

Heidän on seurattava kehittyviä uhkia, sääntelyodotuksia ja työvoiman osaamista ja mukautettava lähestymistapaansa vastaavasti, hän sanoo.

Osana tätä tietoturvajohtajien tulisi integroida uhkatiedustelu riskinarviointiprosessiinsa, Cytidelin Conlon sanoo. ”Osa IS edellyttää turvallisuusvaikutukseen suhteutettua riskinarviointia, mutta liian monet organisaatiot arvioivat riskiä edelleen teoreettisten vakavuuspisteiden perusteella. Ymmärrys siitä, mitä haavoittuvuuksia ilmailua vastaan ​​todellisuudessa käytetään aseina, mitkä uhkatoimijat ovat aktiivisia ja mitä malleja heidän kampanjansa noudattavat, tulisi muokata priorisointia.”

Conlonin mukaan toimitusketjun näkyvyys on avainasemassa. ”Jotkut viime vuosien vaikuttavimmista ilmailun kyberhyökkäyksistä ovat tapahtuneet toimittajien kautta. Collins Aerospacen kiristysohjelmahyökkäys keskeytti lähtöselvityksen Euroopan lentokentillä vuonna 2025. Air Francen ja KLM:n tietomurto tapahtui kolmannen osapuolen asiakaspalvelualustan kautta. Jos et tiedä, miten kriittisten toimittajiesi altistuminen vaikuttaa omaan riskiprofiiliisi, tämä aukko on ensin kurottava umpeen.”

Conlon neuvoo samalla varmistamaan jatkuva vaatimustenmukaisuus. ”Sääntelyviranomaiset palaavat takaisin ja haluavat todisteita järjestelmän toiminnasta ja tehokkuudesta, eivätkä vain siitä, että se oli olemassa jo perustamisvaiheessa. Tämä tarkoittaa jatkuvaa valvontaa, reaaliaikaista tietoisuutta toimialallesi merkityksellisistä uusista uhkista ja kykyä osoittaa, että tietoturvaohjelmasi mukautuu muuttuviin olosuhteisiin.”

Laajenna tietosi

Blogi: Heathrow'n kyberturvallisuusongelma: Oppitunteja sietokyvystä ja tapahtumiin reagoinnista

Blogi: Kyberongelmat testaavat globaalien lentoyhtiöiden kestävyyttä

Tapaustutkimus: Kuinka Calrom vahvistaa asiakkaiden luottamusta ISO 27001 -sertifioinnilla