Трохи про кібер-не-безпеку аеропортів
Трохи про кібер-не-безпеку аеропортів.
Не так давно активісти #FRD Alexandr Galushchenko, Andrii Pertsiukh, Андрей Перевезий публікували матеріали про шокуючи-низький рівень кібербезпеки Одеського аеропорту та аеропорту Київ (Жуляни).
А виявляється, що це проблема не тільки українська.
Хлопці з однієї міжнародно-швейцарської кібер-компанії дослідили зовнішній стан кібербезпеки 100 найбільших аеропортів Світу і виявилося, що лише 3 з них можна вважати захищеними: аеропорти Амстердаму, Хельсінкі та Дубай.
Усі інші вражають рівнем безвідповідальності:
97% веб-сайтів аеропортів написані на застарілому софті;
24% веб-сайті мають відомі та «працюючи» вразливості;
76% веб-сайті не відповідають вимогам GDPR (приватність)
73% не відповідають вимогам PCI DSS (хоча і не повинні, це стандарт для фінансових установ, але про це нижче)
24% веб-сайтів не користуються шифруванням SSL або користуються застарілими версіями
55% веб-сайті захищено неефективним фаєрволом WAF
По мобільним додаткам:
Усі 100% мобільних додатків містять щонайменше 2 вразливості
100% додатків використовують щонайменше 5 зовнішніх фреймворків (це не є гут)
У середньому, кожен додаток містить 15 проблем з приватністю або безпекою
34% додатків не мають шифрування вихідного трафіку
І ще кілька цікавих фактів по «чорному хакерському ринку»:
66% аеропортів представлені на підпільних майданчиках, тобі дані, вразливості, трафік, тощо – продається та покупається хакерами-злочинцями. І, відповідно, використовується у злочинних цілях;
72 з 325 пропозицій на чорному ринку – у зоні високого або критичного ризику і свідчать про серйозні прогалини у безпеці аеропортів та пасажирів;
87% аеропортів мають витоки даних через публічні репозитарії;
503 з 3184 таких витоків – високого або критичного рівня ризику;
3% аеропортів мають геть незахищену публічну хмару з чутливими даними (від автора – OMG! Я не хочу бувати у тих аеропортах!)
По кожному з цих пунктів можна почитати детальніше у звіті (лінк під дописом), у тому числі надані рекомендації як знизити згадані ризики.
Дослідження проводилися «ззовні», на основі OSINT, без вторгнення в локальну мережу аеропортів та без порушення законодавства. Тобто майже так само, як #FRD, але у глобальному обсязі та з більшої кількістю присідань, ніж в #FRD.
Ще моніторилися публічно-доступні репозиторії, а також кіберзлочинні майданчики (так званий Dark Web).
Вимоги за банківським стандартом PCI DSS використовувалися тому, що вони містять «фундаментальні аспекти безпеки і не повинні ігноруватися ніким, навіть тоді, коли цього не вимагається”.
Ось такі справи.
Начебто і гроші є у аеропортів, і міжнародні вимоги з безпеки виконують, але чомусь кібербезпека до тих вимог не входить і про кіберзахист бізнесу та пасажирів власники не дуже дбають.
Думаю, це ненадовго. До першого збитого хакерами літака, недайбоже.
Дуже сподіваюся, що вимоги з кібербезпеки стануть обов’язковими для аеропортів раніше, ніж настануть фатальні наслідки.