Эдуард Яковлевич ФальковДиректор направления Авиационная кибербезопасность,МКАА «Безопасность полетов»
Сопоставление технологии российских тотальных МПСН и воздушно-сетевой технологии.
В первых трёх выпусках [1-3] рассмотрены особенности подходов организации воздушного движения на базе российских тотальных МПСН/1090 и воздушно-сетевых технологий.
В исследованиях западных специалистов [14-23] многократно и детально показано наличие хронической проблемы отсутствия киберзащищённости АЗН-В/1090 и указано на отсутствие результатов при многочисленных попытках различных научных и промышленных коллективов обеспечить такую киберзащищённость. Вынужденная проверка правильности данных АЗН-В/1090 осуществляется за пределами технологии АЗН-В/1090 с привлечением дорогостоящих ВРЛ или МПСН. Проверка правильности данных АЗН-В на базе ВСТ осуществляется внутри ВСТ, без использования внешних источников навигационных данных, за счёт свойств ЛПД ВСТ. Правильность функционирования АЗН-В на базе ВСТ в каждый момент времени осуществляется посредством сравнения расстояния между двумя произвольными приёмопередатчиками АЗН-В/ВСТ, вычисленного двумя методами [24-26]: через разность координат в АЗН-В сообщениях, определённых с помощью данных спутниковой навигации, и через разность времён получения и посылки АЗН-В сообщений. Функционирование наземного приёмопередатчика АЗН-В/ВСТ в
системе УВД всегда носит доверенный характер: координаты приёмопередатчика известны заранее и не зависят от атак спутникового сигнала, сам приёмопередатчик действует в составе самоорганизующейся воздушной сети киберзащищённым образом [27-39]. В случае подтверждения правильности функционирования АЗН-В/ВСТ при взаимодействии борт-земля координаты воздушного судна, определённые с помощью спутниковой навигации, считаются достоверными.
АЗН-В/1090 и АЗН-В/ВСТ радикально отличаются по технико-экономической эффективности вследствие отсутствия необходимости для АЗН-В/ВСТ привлечения внешних систем предоставления навигационных данных. Технология АЗН-В/ВСТ имеет дополнительные преимущества в части защищённости от киберугроз.
О так называемой «двойной инфраструктуре»
При противопоставлении программы внедрения МПСН/1090 программе внедрения АЗН-В 2011 года Минтрансом России используется тезис о «двойной наземной инфраструктуре». Следует отметить, что «двойная инфраструктура», если она будет иметь место, будет представлять систему, в которой примерно 8% затрат на ВСТ будут обеспечивать решение всех функций — наблюдение воздушных судов в системе УВД, бортовые средства будут обеспечивать ситуационную осведомлённость, будут обеспечиваться функции FIS-B, TIS-B, DGNSS, CPDLC, AOC, S&R и др., на реализацию которых в случае использования МПСН будет необходимо дополнительно устанавливать 3-4 наземные и бортовые терминалы линий передачи данных, и примерно 92% затраченных на МПСН средств «двойной наземной системы» будут выполнять только одну куцую функцию наблюдения ВС в системе УВД; эту функцию автоматически среди прочего выполнит функция АЗН-В/ВСТ. Необходимость наличия подобной «двойной инфраструктуры» подлежит анализу.
АЗН-В/1090 и государственная авиация
Государственная авиация в целом должна определить своё отношение к использованию АЗН-В/1090, что уже сделали авиация ФСБ и авиация ФСО. Наблюдение воздушных судов, оборудованных аппаратурой АЗН-В/1090, не авторизованными пользователями с помощью сайта «Flightradar24.com» теперь выглядит детской забавой, поскольку в январе 2019 года была полностью развёрнута спутниковая группировка Aireon, состоящая из 64 низкоорбитальных спутников Iridium 2-го поколения. Все ВС с АЗН-В на базе 1090 ES могут глобально наблюдаться в Пентагоне и НАТО 24 часа в сутки с помощью т. н. АЗН-В космического базирования. Ещё более важным является отсутствие киберзащищённости АЗН В/1090, что влечёт за собой необходимость создания и обеспечения поддерживающей инфраструктуры ВРЛ или МПСН, а также наземного и бортового оборудования для обеспечения функций FIS-B, DGNSS, CPDLC, AOC и др. Указанные задачи киберзащищённым образом успешно решаются с помощью ЛПД ВСТ.
Интеграция БАС в гражданское воздушное пространство
Показано, что на решение вопроса интеграции БАС в единое воздушное пространство существенное влияние оказывают аспекты обеспечения кибербезопасности. При использовании АЗН-В/1090 верификация данных в системе УВД достигается путём использования данных ВРЛ или МПСН, что фактически дезавуирует АЗН-В/1090 как самостоятельную функцию, в обязательном порядке пристёгивая АЗН-В/1090 к ВРЛ или МПСН. Но если система УВД может себе это позволить, то что делать внешнему пилоту, когда к нему поступают искажённые данные АЗН-В? Следуя подходу, принятому для УВД, такую проверку можно сделать с помощью ВРЛ или МПСН, имеющихся в персональном распоряжении у каждого внешнего пилота, со всеми вытекающими последствиями. Опыт многочисленного практического использования АЗН-В на базе прототипа ВСТ – VDL-4 при выполнении совместных пилотируемых и беспилотных воздушных судов в Российской Федерации, в том числе перед участниками группы ИКАО UASSG по беспилотным авиационным системам, описан в [40-41]. Рабочие документы и проекты стандартов ИКАО в части организации киберзащищённой связи между воздушным судном и внешним пилотом, включая связь между внешним пилотом и диспетчером УВД, в целях обеспечения кибербезопасной интеграции БАС в гражданское воздушное пространство, одобрены Комитетом ИКАО/RPASP по дистанционно-пилотируемым авиационным системам [42-56].
Мультилатерация не является монополией частоты 1090 МГц; локальные системы навигации могут быть реализованы также на ВСТ, с бóльшим объёмом киберзащищаемой информации. Реализация локальной системы авигации и системы обмена информацией через самоорганизующуюся воздушную сеть.
Было бы ошибочным считать, что создание локальной системы навигации и мультилатерация могут быть выполнены только на частоте 1090 МГц и только в наземном варианте. При мультилатерации 1090 воздушное судно посылает сигнал на частоте 1090 МГц, приёмные станции на земле принимают этот сигнал в разное время в соответствии с геометрией их размещения, и по разности времён прихода на приёмные станции на земле вычисляется местоположение воздушного судна. При этом необходимо иметь центральный сервер для вычислений, куда через высококачественную связь синхронизированно поступают сигналы от всех приёмных станций. Вычисленное положение воздушного судна поступает в систему УВД, чем, в частности, достигается независимость локальной системы навигации от систем спутниковой навигации. Реализация передачи информации о положении ВС на борт ВС неминуемо встретит трудности, поскольку существующие линии передачи данных ACARS, VDL-2, 1090 ES и голосовые сообщения являются не киберзащищёнными, и в результате воздушное судно может подвергнуться спуфингу, от которого мультилатерация на земле никоим образом не поможет.
АЗН-В на базе ВСТ обладает свойством фиксирования времени посылки и времени приёма сигнала, тем самым может быть вычислено расстояние между двумя приёмопередатчиками. В варианте локальной системы навигации, определив расстояния между воздушным судном и совокупностью приёмопередатчиков ВСТ на земле, получают возможность определить положение воздушного судна с помощью процессора, размещённого в приёмопередатчике, установленном на воздушном судне; синхронизация приёма сообщений осуществляется автоматически в соответствии с протоколом передачи данных ВСТ. Определение местоположения производится непосредственно на борту воздушного судна, после чего по криптографированному каналу ВСТ [51, 54] эта информация поступит в систему УВД.
При мультилатерации с 1090 ES пространственное положение воздушных судов всегда привязано к геометрической совокупности наземных станций приёмников сигнала. По мере удаления от такой совокупности возможность пространственной привязки в системе WGS-84 за счёт снижения точностных характеристик теряется, в том числе по отношению друг к другу. Для ВСТ воздушные суда, находящиеся в самоорганизованной воздушной сети при количестве ВС, большем 3, сохраняют привязку относительного месторасположения. В случае, когда к узлам пространственного графа, соответствующего положению всех ВС, добавляются не менее трёх геопривязанных приёмопередатчиков ВСТ, все воздушные суда получают геофизическую привязку в системе WGS-84. Таким образом, реализация мультилатерации и валидация сообщений при использовании АЗН-В/ВСТ происходит автоматически при сопоставлении дальностей между приёмопередатчиками, вычисленных через разность координат, содержащихся в АЗН-В/ВСТ сообщениях, и через определённую в соответствии с протоколом ВСТ разность времён. При этом не требуется никакой организации сбора информации по специальным наземным каналам связи, ни вычислений на центральном сервере, ни последующей криптографированной передачи информации на борт ВС.
Иногда в заслугу МПСН на базе 1090 ES необоснованно монопольно ставят возможность противостоять не только спуфингу/spoofing (передаче ложных данных за счёт внесения искажений в канал передачи данных), но и искажению спутниковых навигационных данных/jamming для определения местоположения воздушного судна. Известным методом противостояния jamming является использование так называемых псевдоспутников. Замена спутниковой навигации системой локальной навигации с известным расположением приёмных станций МПСН или совокупностью наземных ВСТ приёмопередатчиков носит совершенно однотипный характер. В МПСН/1090 навигационные вычисления производятся в наземной системе с получением информации от геопривязанных станций с последующей передачей сообщения на борт с помощью некой проблемной ЛПД. В МПСН/ВСТ весь обмен информацией осуществляется внутри криптографированной самоорганизованной воздушной сети [29, 33-54]. По сути дела, наземный приёмопередатчик ВСТ в целом представляет своего рода «псевдоспутник» в системе типа спутниковой навигации, где в качестве источников «спутниковой» информации служат геопривязанные приёмопередатчики, а вместо данных о положении спутников передаются криптографированные АЗН-В данные о положении геопривязанных приёмопередатчиков. Сказанное выше справедливо для случая отрыва графа СОВС от наземных приёмопередатчиков и перемещения его в пространстве как некой единой совокупности. В случае выхода из строя спутникового приёмника на каком-либо ВС, но при сохранении функционирования ЛПД ВСТ внутри СОВС относительное положение этого ВС может быть вычислено посредством мультилатерации с использованием приёма АЗН-В сообщений от окружающих ВС.
Киберзащищённость 1090 ES и ВСТ: кибербезопасность полётов гражданской авиации, национальная авиационная безопасность.
Недостаточность функции АЗН-В/1090 для задач наблюдения воздушных судов [14 18] в первую очередь объясняется открытостью канала передачи данных 1090 ES. Если на первых этапах развития АЗН-В об этом не задумывались и иногда даже ставили в заслугу, с течением времени при появлении и развитии различного рода киберугроз представители авиационных администраций различных стран во главе с ИКАО пришли к выводу о неприемлемости существующей открытости кода для передачи и приёма сообщений АЗН-В. Пришло понимание, каким требованиям должно удовлетворять криптографирование сообщений. Общепризнанным мировым лидером в области закрытия информации является Национальный Институт Стандартизации и Технологии (NIST) США. Его рекомендациям [60-61] следуют все специализированные организации и специалисты в мире, занимающиеся вопросами криптографирования.ИКАО также считает необходимым пользоваться общепринятыми методами и средствами криптографирования. Отметим, что похожими методами и средствами криптографирования пользуются российские доверенные организации, отвечающие в России за достоверность и надёжность криптографирования любой подлежащей защите информации.
Наличие или отсутствие криптографирования ЛПД играет весьма существенную роль в процессе использования различного вида АЗН-В. При наличии возможности криптографирования для АЗН-В/ВСТ станции МПСН вообще становятся ненужными. Покажем это.
Рассмотрим следующий случай. Представим некую доверенную станцию АЗН-В/ВСТ в системе УВД. Её координаты геофизически выверены. Независимо от содержания приходящей спутниковой информации доверенная станция передаёт свои заранее определённые координаты через АЗН-В/ВСТ сообщения. В связь с этой станцией через систему ключей киберзащищённым образом входит доверенное воздушное судно. Судно легальное, имеет идентификатор и через спутниковые данные определяет своё местоположение. Параллельно получив криптографированные данные от указанной доверенной наземной станция АЗН-В и вычислив расстояние между ВС и наземной станцией двумя способами – через координаты ВС и наземной станции в составе АЗН-В сообщения и непосредственно определив расстояние через временные метки в составе радиоканала, реализующего АЗН-В/ВСТ сообщение, сопоставив эти два расстояния, причём это делается не по одной точке, а для всего трека движения ВС, получаем возможность оценить достоверность АЗН-В данных, как этого требует Doc 9924 непосредственно на борту. Никаких других средств (дополнительных станций АЗН-В с объединением их в систему МПСН) не требуется.
Постановка вопроса состоит не в том, чтобы при использовании МПСН всегда, с порога, отвергать спутниковую навигацию и всегда заменять её обработкой сигналов от наземных геопривязанных источников, в таком случае от спутниковой навигации следует вообще навсегда отказаться. Речь идёт о массовом использовании данных спутниковой навигации с контролем минимально необходимыми, но достаточными средствами. Doc 9924 по авиационному наблюдению рассматривает самые разнообразные средства борьбы со спуфингом, не требуя всегда полной смены методов навигации. На одном из совместных заседаний Панелей SP и RPASP панель SP по наблюдению подтвердила указанный подход к верификации данных АЗН-В наблюдений с использованием VDL-4 (прототип ВСТ) как абсолютно независимый. Так что при работе системы АЗН-В/ВСТ и криптографированных сообщениях АЗН-В ничего другого дополнительного не нужно. В случае помех по спутниковой навигации и необходимой помощи ВС в части определения его местоположения начальные шаги в МПСН/1090 и в совокупности ВСТ приёмопередатчиков (МПСН/ВСТ) одни и те же – установка дополнительных геопривязанных приёмопередатчиков. Только в МПСН/1090 приём высокосинхронизированной информации и навигационные вычисления ведутся на земле, а в варианте ВСТ – приём информации и вычисления ведутся на борту. Основной адресат – пилот на борту – сразу обеспечивается необходимой информацией, после чего эта информация через киберзащищённый канал ВСТ при необходимости передаётся в систему УВД. Почему при необходимости? Да потому, что могут быть случаи, когда услуги системы УВД не нужны вообще или очень дороги. Например, в пространстве 1000×1000 км летают только два воздушных судна, и основное требование к ним, чтобы они не столкнулись. Согласно проекту МПСН, землю с шагом 50 км надо усеять станциями МПСН для обслуживания двух воздушных со всеми указанными выше проблемами. Без комментариев.
Для АЗН-В/1090 указанное выше подтверждение достоверности данных внутри АЗН-В/1090 невозможно, и приходится прибегать к внешним источникам навигационной информации со значительным усложнением и удорожанием системы в целом. Означает ли это, что для АЗН-В/1090 с использованием МПСН киберзащищённый канал между ВС и системой УВД не нужен? Нет, не означает, такой киберзащищённый канал нужен хотя бы только для того, чтобы из системы УВД информировать пилота о достоверности функционирования АЗН-В.
Итак, криптографированный канал 1090 ES нужен. Исполнители инвестиционного проекта МПСН утверждают, что они такой канал разработали. Попытки выяснить технические характеристики выполненного решения были отклонены. Представляется, что сугубо радиовещательный характер АЗН-В на базе 1090 ES и отсутствие возможности диалогового режима обмена информацией в протоколах передачи в совокупности с реально значимой вероятностью взаимного подавления сигналов воздушными судами в силу случайного доступа не позволяет рассчитывать на приемлемую защиту информации АЗН-В/1090.
Предлагаемые в проекте МПСН решения обеспечивают защиту от видимости/обнаружения стандартными средствами наблюдения (типа FlightRadar24). Между тем, понятие информационной безопасности (кибербезопасности) системы АЗН-В значительно шире и сложней, чем защита от видимости стандартными средствами наблюдения, и включает в себя [60]:
• конфиденциальность на уровне “approved” [61];
• идентификацию;
• аутентификацию;
• контроль доступа;
• неотрекаемость;
• защиту от повторов.
Использование применительно к АЗН-В/1090 одноключевых систем предполагает либо общий для всех воздушных судов ключ, либо присвоение индивидуального ключа каждому воздушному судну и хранение всех ключей в базе данных, доступной диспетчерам всех стран. С учётом возможностей современного квалифицированного терроризма, ни одно из этих решений не может считаться эффективным. Техническая возможность криптозащиты и построение на этой гипотетической возможности системы аэронавигационного обеспечения Российской Федерации колоссальной стоимости выглядят в инвестиционном проекте недостаточно обоснованными. Десятки лет лучшие умы Запада безуспешно пытаются криптографировать АЗН-В/1090, см. [14-23]. Апологеты российских МПСН со товарищи это мгновенно сделали, превосходно, искренне поздравляем. Всё же, на всякий случай, поскольку после сопоставления с Западом, есть сомнения, желательно проверить реализуемость криптографирования через доверенную организацию.
Отметим, что заседание № 64 RTCA в октябре 2015 г. типовым образом подтвердило отсутствие криптографического решения и очередную мобилизацию по криптографированию АЗН-В/1090. Сомнения в возможности криптографирования АЗН-В/1090 и в любом случае информацию о не готовности включения вопросов обеспечения кибербезопасности в стандарт RTCA DO-260C к дате ввода АЗН-В к обязательному применению в США с 2020 г. отражены в документе FAA [23], что является дополнительным поводом необходимости подтверждения возможности криптографирования АЗН-В/1090 доверенной организацией.