Кибербезопасность авиационных информационно-связных систем

Э.Я. Фальков — начальник отделения ГосНИИАС, главный конструктор по радиоэлектронным системам

С.С. Шаврин — профессор Московского технического университета связи и информатики, доктор технических наук

Одним из главных факторов обеспечения безопасности полетов воздушных судов (ВС) является полнота информации о положении ВС в воздушном пространстве, – адекватная ситуационная осведомленность, – как для органов управления воздушным движением, так и для его непосредственных участников – пилотов. Ситуационная осведомленность предполагает наблюдение в реальном  времени за всеми ВС с целью определения их текущих координат (широты, долготы и высоты над уровнем моря), а также направления и скорости движения.

Исторически первым решением проблемы наблюдения воздушного движения явилось использование средств радиолокационного обзора, получившего название первичного радара. Несмотря на ряд серьезных ограничений как по территориальному покрытию, так и по способности идентификации объектов, первичный радар, тем не менее, долгое время использовался как единственное средство наблюдения воздушного движения.

Концепция наблюдения радикально изменилась после ввода в эксплуатацию группировки навигационных спутников Глобального позиционирования GPS. Оснащение всех ВС средствами навигации по сигналам спутников GPS обеспечило значительное повышение точности позиционирования, ликвидировав попутно ее зависимость от удаленности ВС от наземной диспетчерской инфраструктуры.

Оснащение ВС транспондерами, обеспечивающими передачу в эфир информации о позиционировании  по запросу со стороны радиолокатора, легло в основу технологии так называемого вторичного радара, используемого в настоящее время в системах управления воздушным движением.

Параллельно использованию вторичного радара в настоящее время развивается новая концепция наблюдения за воздушным движением, получившая название автоматического  зависимого наблюдения радиовещательного типа (АЗН-В). АЗН-В представляет собой безрадарный метод наблюдения, при котором ВС автономно, например, при помощи средств спутниковой навигации GPS/ГЛОНАСС, определяет свое местоположение и по определенному протоколу, зависящему от выбранной линии передачи данных (ЛПД), сообщает в радиовещательном режиме (т. е. всем одновременно, без получения подтверждения сообщения) о своем положении заинтересованным участникам воздушного движения. Международная организация гражданской авиации (ИКАО) и авиационные администрации всех ведущих стран первоначально рассматривали АЗН-В как основной метод наблюдения, который должен стать обязательным  для гражданской авиации на рубеже 2020 г. АЗН-В обеспечивает наземное наблюдение воздушных судов без использования РЛС; может также обеспечиваться ситуационная осведомленность пилотов либо при прямом взаимодействии борт-борт, либо при передаче на борт информации, в т. ч. о ВС, не оборудованных аппаратурой АЗН-В, через наземную систему УВД.  Одновременно по мере возможности за счёт той же ЛПД стараются обеспечить примыкающие применения (полетно-информационное обслуживание с предоставлением оперативной метеорологической и аэронавигационной информации, навигационное обслуживание в части обеспечения информации о целостности спутниковых навигационных сигналов и дифференциальных поправок, связь пилота по линии передачи данных с диспетчером и/или авиакомпанией, операции по поиску и спасанию и др.).

На начальных этапах технологии АЗН-В развивались по различным направлениям, обусловленным использованием различных ЛПД. В 2003 г. на 11-й Аэронавигационной конференции для начального внедрения было рекомендовано использовать АЗН-В на базе ЛПД расширенного сквиттера (extended squitter) на частоте 1090 МГц — 1090 ES (далее – АЗН-В/1090); тогда же было указано на опасность для такого АЗН-В явления т.н. насыщения/интерференции (наложения сигналов при высокой плотности движения).  Тогда же в 2003 г. было указано на необходимость вести работы по другим ЛПД, в частности, по VDL-4 (Very High Frequency Data Link Mode 4). В последующем, благодаря усилиям главным образом FAA и RTCA (США), и EUROCAE (Европа), был разработан целый ряд документов, базирующихся на монопольном использовании АЗН-В/1090 [1,2].

За время, прошедшее с момента начала разработки систем АЗН-В, в мире произошло неблагоприятное для гражданской авиации изменение геополитической обстановки, породившее явление квалифицированного терроризма.

Квалифицированный терроризм в авиации может явиться страшнейшим порождением XXI века. Сохраняя историческую преемственность классического терроризма в стремлении использования все более и более изощренных технических средств и методов, терроризм в авиации получил в XXI веке новые легко доступные и недорогие инструменты уничтожения воздушных судов – беспилотные летательные аппараты (БЛА), и средства их наведения на цель — многочисленные радиоконструкторы SDR, выпускаемые различными фирмами – производителями с целью демонстрации возможностей выпускаемой элементной базы и ускорения разработок на ее основе. Последний вид инструментария может быть также активно использован для нарушения корректной работы бортовых навигационных и телекоммуникационных систем.

Квалифицированный терроризм предполагает возможность следующего вида атак на сигналы АЗН-В:

1. Радиоперехват с целью определения реальных координат конкретного воздушного суда (по его идентификатору). Обладание одновременно информацией об идентификаторе воздушного суда и  его координатах открывает террористу возможность запуска БЛА (возможно, оснащенного взрывным устройством для усиления эффекта), запрограммированного на столкновение с конкретным воздушным судном.
2. Организация целенаправленных квалифицированных помех, подобных реальным сигналам АЗН-В – фантомов. Организация фантомов – это для террориста не требующий больших затрат способ заставить воздушное судно (возможно, целенаправленно выбранное) совершить опасный маневр, способный привести к аварии. Например, фантом выезжающего на посадочную полосу снегоуборщика для воздушного судна в условиях захода на посадку при ограниченной видимости. Наиболее простым способом организации фантомов в настоящее время, неотличимых от реально действующих участников воздушного движения, является простая запись в память сигналов АЗН-В  конкретных воздушных судов и дальнейшее, – возможно, многократное, – повторное воспроизведение этих сигналов в качестве квалифицированной помехи типа фантома.
3. Завал спамом экрана диспетчера или воздушного судна. Внезапное появление «из ниоткуда» на дисплее диспетчера множества объектов – фантомов, наведенных террористом, может заставить диспетчера потерять контроль над ситуацией и создать угрозу аварии для всех воздушных судов в районе аэропорта. Особенно если ситуационная осведомленность пилотов в окружающем аэропорт воздушном пространстве будет определяться только сообщениями диспетчера.
4. Атака на сигналы Глобальных спутниковых систем навигации. Этот вид атаки подразумевает два вида действий:  либо «грубое»  подавление спутниковых сигналов наведенной помехой, либо генерацию в эфир сигналов «ложных» спутников, нарушающих адекватную работу системы определения координат приемного оборудования. В любом случае успех атаки может привести к потере ориентации в пространстве воздушного суда или группы воздушных судов, а для БЛА – нарушить работу системы управления, создавая опасность столкновения с пилотируемыми воздушными судами.

Авиация оказалась неготовой к отражению опасности со стороны квалифицированного терроризма. Внедренная в большинстве стран мира в недавнем прошлом система АЗН-В/1090  доказала свою беспомощность в новых условиях и полное несоответствие современным требованиям безопасности воздушного движения. Система АЗН-В/1090 использует для передачи сигналов открытые каналы без каких-либо средств защиты информации. Это очень опасная практика. При известных обстоятельствах система АЗН-В/1090 может стать весомым подспорьем для террористов, открытый характер сообщений которой открывает террористам картину воздушного движения практически по всему миру, поддерживаемую в сети Интернет владельцами сайта FlightRadar24.

Интересы безопасности полетов диктуют необходимость разработки концепции и средств обеспечения информационной безопасности системы АЗН-В, гарантирующих защиту от:

• перехвата сообщений, содержащих одновременно идентификатор воздушного судна и его координаты, несанкционированными органами или частными лицами;
• навязывания ложной информации со стороны террористов и легальных участников воздушного движения;
• возможности отрицания легальным участником воздушного движения фактов передачи в эфир сообщений АЗН-В;
• повторов ранее переданных сообщений, передаваемых «в записи» террористами или легальными участниками воздушного движения;
• возможности навязывания террористами или легальными участниками воздушного движения сообщений «от чужого имени» — от лица других участников движения;
• подавления сигналов Глобальных спутниковых систем навигации.

Решение задачи защиты осложняется двумя противоречивыми требованиями.

С одной стороны, передаваемая информация должна быть надежно защищена от всех посторонних лиц, среди которых могут оказаться террористы.

С другой стороны, она должна быть открыта для доступа диспетчерам и пилотам всех ВС всех стран как средство предупреждения столкновений.

Наиболее адекватным средством решения задачи обеспечения информационной безопасности в сложившихся условиях представляется использование двухключевых (Public-Key) алгоритмов криптографической защиты информации.

Необходимый уровень безопасности полета в текущих условиях можно обеспечить за счет внедрения системы информационной безопасности в соответствии со следующими требованиями:

1. Система должна быть снабжена автоматическими невыключаемыми/неостанавливаемыми средствами наблюдения, сигнал от которых, несущий идентификатор ВС, временные и пространственные координаты, должен быть защищен криптографическими средствами от перехвата террористами и несанкционированными пользователями.
2. Система должна защищать процесс наблюдения от неверной информации, поступившей из несанкционированных источников; источники всех сообщений должны быть аутентифицированы и проверены на подлинность; прием информации из несанкционированных источников должен стать невозможным. Получатель сообщения должен иметь возможность убедиться, что принятое сообщение не было изменено при передаче; у нарушителя не должно быть возможности заменить подлинное сообщение на ложное. Получатель сообщения должен иметь возможность убедиться в его происхождении; у нарушителя не должно быть возможности замаскироваться под кого-либо другого.
3. Система должна предоставить поддержку функции идентификации, обеспечивая возможность отличать фантомы от реальных ВС.
4. Система должна позволить определить местонахождение сигналов призраков, чтобы надлежащим образом подавить их.
5. Система должна обеспечивать неотрекаемость, у отправителя не должно быть возможности ложно отрицать позднее, что он не посылал сообщения. Отправитель не может отрицать, что он не является автором сообщения и ссылаться на то, что он его не посылал; кроме того, получение каждого сообщения сопровождается подтверждением и пересылкой отправителю уведомления об этом, включая регистрацию у получателя.
6. Необходимо обеспечить в масштабе системы возможность управления и навигации ВС на случай подавления сигналов GNSS.
7. В целях записи и последующей интерпретации событий, включая поисково-спасательные действия, сигналы АЗН-В следует соотнести со шкалой времени (метка времени); это позволит записать положение всех ВС в 4-х измерениях. Метки времени в системе безопасности исключат дублирование ранее записанных сообщений.
8. В то же время все действия по обеспечению безопасности должны строиться на основном принципе, когда применяемые меры безопасности должны быть соизмеримыми с угрозами. После оценки риска, проводимой соответствующими национальными полномочными органами, должна быть обеспечена разработка мер защиты критически важных систем информационных и связных технологий, используемых для целей гражданской авиации, вмешательство в которое может поставить под угрозу безопасность гражданской авиации. Политика риска должна быть прозрачной, предсказуемой и контролируемой; сосредоточенной на самом высоком риске; объективной. Должна применяться разработка степеней безопасности и соответствующая стандарту ARP 4754А SAE классификация условий отказов; для классов условий отказа типа катастрофических, опасных/жестких крупных, крупных, мелких и отсутствия влияния на безопасность соответствующие вероятности должны назначаться единым для всех высокоинтегрированных бортовых систем образом. 
9. Помимо защиты системы от несанкционированного доступа и использования, система безопасности должна обнаруживать кибератаки на систему, обеспечивая надлежащую защиту от вирусов и хакерских программ, выполняя записи, анализ и разработку соответствующего противодействия.
10. Криптографические алгоритмы, используемые в системе, должны иметь подтвержденный статус (approved), средства защиты должны быть сертифицированы. Длина ключа должна обеспечивать требуемый уровень защиты. При использовании двухключевых алгоритмов криптозащиты система должна обеспечивать устойчивость к попыткам составления террористом «словаря» зашифрованных открытым ключом двухключевого алгоритма сообщений известного содержания, дающего возможность распознавания этих сообщений в составе потока сообщений.

Реализация представленных требований может базироваться на протоколах, поддерживающих диалоговый характер обмена информацией. Результаты зарубежных исследований, объединившие 118 литературных источников [3], показали невозможность обеспечения требуемого уровня информационной защиты в рамках системы АЗН-В/1090. Криптографические средства 1090ES, и, в частности, формат DF-19, не обеспечивают защиту от спуфинга, поскольку используют единый ключ для всех участников информационного обмена. Размер информационных блоков не согласован с алгоритмами шифрования, криптостойкость которых аттестуется как approved по требованиям NIST. И, самое главное, система АЗН-В/1090 не поддерживает диалоговых протоколов обмена информацией, что является препятствием использованию двухключевых криптографических алгоритмов и формированию сеансовых ключей.

Решение поставленных проблем может быть достигнуто  использованием самоорганизующихся  сетевых технологий – построением А–сети на основе специальных коммутирующих радиотранспондеров, функционирующих на базе протоколов VDL-4.  Как система автоматического зависимого наблюдения – вещания, А-сеть является альтернативой системе стандарта 1090ES, исключающей использование результатов наблюдений другими странами в разведывательных целях и снимающей зависимость процесса наблюдения от действий другой страны. Системный подход к процессу наблюдения за воздушными судами в рамках А–сети снимет проблему наложения во времени сигналов разных воздушных судов, передаваемых на одной частоте, и обусловленные этим положением взаимные помехи.

Защита информации в А–сети строится на основе двухключевых алгоритмов криптозащиты в соответствии с рисунком ниже.

Протокол защищенного аутентифицированного обмена информацией

Каждое ВС оснащается двухключевой криптосистемой, открытый ключ которой размещается в базе авиаданных. Каждое передаваемое сообщение шифруется открытым ключом адресата и аутентифицируется закрытым ключом источника.

Синхронный характер сети обеспечивает возможность использования мультилатерационных механизмов – как для локализации источников злонамеренных воздействий, так и в целях навигации в отсутствие сигналов ГНСС.

Литература:

1. Минимальные требования стандартов к характеристикам авиационных систем – автоматическое зависимое наблюдение в радиовещательном режиме (АЗН-В), RTCA, DO-242A, 2005.
2. Minimum Aviation System Performance Standards for Aircraft Surveillance Applications (ASA), Volume 1-2, RTCA, DO-289, 2003.
3. M. Strohmeier, I. Martinovic, V. Lenders ON THE SECURITY OF THE AUTOMATIC DEPENDENT SURVEILLANCE – BROADCAST PROTOCOL

Оригинал статьи размещен в журнале «Радиоэлектронные технологии» 5/2017