CyberAviation

Bezpieczeństwo informacji, którego elementem jest cyberbezpieczeństwo, odgrywają coraz większą rolę w naszym życiu zawodowym oraz prywatnym.  Technologie informacyjno-komunikacyjne (ICT) są wykorzystywane coraz powszechniej. Jest to głównie związane z dwoma trendami - postępującą cyfryzacją i globalizacją świadczenia usług cyfrowych czy usług społeczeństwa informacyjnego.

Z tymi dwoma trendami powiązane są również rozwój technologii oraz zagrożeń dla bezpieczeństwa informacji, w tym cyberbezpieczeństwa, jak również standaryzacja rozwiązań cyfrowych (sprzętu oraz oprogramowania) połączona ze zmniejszeniem kosztów i koniecznością specjalizacji.

Bezsprzecznie technologie ICT są nieodłączną częścią lotnictwa, a co za tym idzie cyberbezpieczeństwo, czy bezpieczeństwo informacji są elementem bezpieczeństwa i ochrony lotnictwa cywilnego. Można by pokusić się o twierdzenie, że od zawsze. Choć oczywiście moglibyśmy debatować na ten temat.

Z punktu widzenia przepisów, zapewnienie odpowiedniego poziomu cyberbezpieczeństwa w lotnictwie cywilnym jest stosunkowo nowe i związane jest z nowelizacją Aneksu 17 do Konwencji Chicagowskiej, który następnie został implementowany i rozszerzony w przepisach znowelizowanego Rozporządzenia 2015/1998.

Oczywiście w innych aneksach do Konwencji Chicagowskiej odnajdziemy wskazówki dotyczące cyberbezpieczeństwa, ale dopiero w Aneksie 17 cyberbezpieczeństwo zostało wymienione z imienia. Tak więc należy stwierdzić, że cyberbezpieczeństwo dotyczy obu obszarów lotnictwa cywilnego - ochrony (aviation security) oraz bezpieczeństwa (aviation safety)/

Wspomniane rozporządzenie 2015/1998 nie jest (niestety) jedynym aktem prawnym regulującym cyberbezpieczeństwo lotnictwa cywilnego. Ten krajobraz przepisów prawnych jest dość skomplikowany, ale możemy go podzielić następująco:

  • przepisy dotyczące cyberbezpieczeństwa ochrony lotnictwa cywilnego (tzw. AVSEC)
  • przepisy dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze (tzw. Part-IS)
  • przepisy dotyczące środków na rzecz wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (tzw. system NIS/ Krajowy System Cyberbezpieczeństwa - KSC)
  • przepisy dotyczące ochrony danych osobowych przetwarzanych na potrzeby lotnictwa cywilenego (m.in. RODO/ GDPR)
  • inne przepisy prawne, które mają lub mogą mieć wpływ na podmioty prowadzące lotniczą działalność gospodarczą w zakresie cyberbezpieczeństwa

Oczywiście oprócz powyższych rodzajów przepisów prawnych, lotnictwo nie jest oderwane od nowych technologii. Tak więc dodatkowo trzeba brać również pod uwagę różnego rodzaju wytyczne i poradniki, jak również najlepsze praktyki opracowywane m.in. przez Komisję Europejską, Europejską Agencję Bezpieczeństwa Lotniczego (EASA), Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) czy przez instytucje amerykańskie (np. CISA czy NIST).