Авиационные IT-риски

Дэвид ХЬЮЗ, Вашингтон
Недавний опрос 150 руководителей авиакомпаний, отвечающих за безопасность в области информационных технологий (IT), показал, что 80% из них напряженно работают над обеспечением защиты от возникших в последнее время угроз.
Такая ситуация неудивительна, поскольку 78% информационных систем пассажирских и грузовых авиаперевозчиков в настоящее время подключено к Интернету. По прогнозам, к концу наступившего года эта цифра возрастет до 83%, а к концу 2008 г. - до 87%. Всемирная сеть обеспечивает доступ к информационным системам авиакомпаний широкой публике, среди которой скрываются и хакеры.
Опрос проводился в июле прошлого года британской компанией Loudhouse Research по заказу компании SITA, его результаты были представлены в конце ноября в Лондоне. Примерно треть опрошенных руководителей представляла авиакомпании Европы, треть - Америки, шестая часть - Азиатско-Тихоокеанского региона и еще шестая часть - компании Ближнего Востока и Африки.
Большинство руководителей понимают необходимость постоянного контроля действующих систем обеспечения информационной безопасности. Специалистов особенно заботит поддержание на самом современном уровне методов обнаружения несанкционированного доступа, а также администрирования и эксплуатации глобальных и удаленных локальных сетей.

Доля пассажирских и грузовых перевозчиков, стремящихся расширить участие специализированных организаций в обеспечении информационной безопасности, %

Примечание. Приведены результаты опроса 150 руководителей авиакомпаний, отвечающих за обеспечение безопасности в области информационных технологий, проведеннного компанией Loudhouse Research в июле 2006 г. Источник: SITA.

Около пяти лет назад начался процесс подключения авиакомпаниями своих сетей к Интернету. Использование IP-протокола сети Интернет в корпоративных компьютерных сетях не вызывало у авиакомпаний никаких сомнений в силу потенциальных возможностей снижения расходов. Но при этом, естественно, перед ними встали проблемы обеспечения безопасности, поскольку их IT-системы открылись для широкого доступа и даже для проведения платежей через Сеть. Использование Интернета в одних регионах развивалось очень быстро, в других - медленнее; лидируют в этом процессе европейские авиакомпании.
Следует отметить, что в случаях, когда меры безопасности оказывались неэффективными, катастрофических последствий для авиакомпаний пока не наблюдалось. По данным опроса, выходы сетей из строя достаточно редки и в большинстве случаев не наносят какого-либо ущерба деятельности авиакомпании.
Поскольку угрозы безопасности и меры, необходимые для борьбы с ними, постоянно меняются, одним из важнейших вопросов является периодичность проверок состояния системы обеспечения безопасности. В среднем такие проверки проводятся каждые семь месяцев. В 30% авиакомпаний это делается каждые три месяца, а в 22% - только раз в год. По данным опроса нельзя судить о том, какова оптимальная периодичность проверок. Наиболее часто контроль проводится североамериканскими авиакомпаниями - почти половина из них проверяет свои системы раз в три месяца или около того.
Как и в других отраслях, на воздушном транспорте многие услуги в области IT, в том числе и обеспечение безопасности, предоставляются специализированными организациями. Только 39% авиакомпаний занимается обеспечением информационной безопасности самостоятельно. Среди компаний, привлекающих специализированные организации, 64% поручают им управление своими локальными сетями, а 60% - обеспечение работы брандмауэров и межсетевых шлюзов. При этом 78% таких авиакомпаний удовлетворено качеством предоставляемых им услуг, и многие другие собираются последовать их примеру. Передача сетей в ведение специализированных организаций наиболее распространена в Южной Америке, на Ближнем Востоке и в странах Африки.
С точки зрения внедрения самых эффективных способов обеспечения безопасности выводы опроса неутешительны: лишь немногие авиакомпании внедряют наиболее высокие уровни защиты своих сетей. Большинство же, по выражению авторов отчета, блуждает где-то между уязвимостью и бдительностью.
Подобная ситуация, видимо, не должна слишком удивлять, поскольку у половины авиакомпаний даже нет специальной группы сотрудников, задача которой - формирование политики обеспечения безопасности в области информационных технологий. Поэтому у 55% авиакомпаний, сформировавших подобные группы, есть некоторое преимущество - именно им, вероятнее всего, удастся внедрить у себя наиболее высокие стандарты во всех аспектах обеспечения безопасности, включая выработку стратегии, обеспечение качества, управление рисками, оценку эффективности и соответствия достигнутых результатов поставленным целям. В США такие группы созданы более чем в половине всех авиакомпаний. Это самый высокий показатель по сравнению с любым другим регионом.
Если расходы авиакомпаний на IT в целом (а не только на безопасность) в 2006 г. несколько снизились, то доля их, предназначенная собственно для обеспечения безопасности, возросла на 4%. По прогнозам, в 2007 г. она увеличится еще на 4,5%. В целом на безопасность приходится 8-9% всех расходов на развитие информационных технологий.