Klachten zoals vertraagde en geannuleerde vluchten, verloren en beschadigde bagage en problemen met de klantenservice zijn alomtegenwoordig in de luchtvaartsector. Wat niet zo vaak wordt gehoord – maar wellicht zelfs nog verraderlijker – zijn de cyberveiligheidsincidenten.
De moderne luchtvaart is een mix van oude en nieuwe technologie, waardoor een complexe omgeving ontstaat die moeilijk te beveiligen is. Luchtvaartsystemen zijn sterk afhankelijk van machinaal leren en kunstmatige intelligentie, augmented reality, cloudtechnologie en het internet der dingen, die allemaal het aanvalsoppervlak vergroten. Oudere, minder veilige protocollen worden nog steeds gebruikt in kritieke functies, waardoor tegenstanders nog meer aanvalsmogelijkheden krijgen. Het protocol dat wordt gebruikt voor de communicatie tussen de piloot en het grondpersoneel is bijvoorbeeld nog steeds niet gecodeerd, zodat de communicatie kan worden onderschept en kan worden geknoeid.
Luchtvaartmaatschappijen vertrouwen doorgaans ook op honderden dienstverleners om verschillende aspecten van hun activiteiten te beheren. Een supply chain-probleem in de manier waarop de softwareapplicaties zijn gebouwd of een hardwarefout in de systemen kan helemaal doorwerken in het vliegtuig en de mensen aan boord.
En het aantal cyberveiligheidsincidenten bij luchtvaartmaatschappijen neemt toe. Alleen al in 2020 meer dan 40 Er zijn luchtvaartgerelateerde cyberbeveiligingsgebeurtenissen gemeld. De belangrijkste vectoren waren onder meer gedistribueerde denial-of-service (DDoS)-aanvallen, datalekken en ransomware. British Airways en Cathay Pacific hebben de afgelopen jaren te maken gehad met grote datalekken en een compromis uit 2021 wereldwijde IT-leverancier SITA voor de luchtvaartindustrie gevolgen voor boekingen bij luchtvaartmaatschappijen. Pilot-applicatiegegevens voor Amerikaanse en Southwest Airlines werd in 2023 gestolen via een rekruteringsportaal.
Geconfronteerd met een groeiend cyberbeveiligingsprobleem en de noodzaak om de technologische activiteiten te moderniseren, heeft Cathay, een merk voor reislevensstijl waartoe ook de grote luchtvaartmaatschappij Cathay Pacific behoort, besloten zijn infrastructuur te vervangen door een infrastructuur waarin cyberbeveiliging is ingebouwd.
Denk aan beveiliging bij modernisering
De pandemie, en de daarmee gepaard gaande verschuiving naar hybride werk en de toename van het cloudgebruik, hebben de beperkingen van de verouderende infrastructuur van Cathay benadrukt. De bandbreedtevereisten van Cathay stegen van ongeveer 600 Kbit/s vóór de pandemie tot ongeveer 4 Mbit/s erna. Cathay begon met het vervangen van een 40 jaar oud MPLS-netwerk (Multiprotocol Label Switching) waarop de luchtvaartmaatschappij vertrouwde voor de communicatie met haar bijna 200 kantoren over de hele wereld. Het netwerk kon de vraag niet bijhouden, de zichtbaarheid van eindpunten was beperkt, de prestaties van applicaties gingen achteruit en het was jammerlijk ontoereikend als het om beveiliging ging.
“De enige beveiligingscontrole die we hadden met MPLS was toegangscontrole over netwerkapparaten, wat betekende dat zelfs als we een potentiële inbreuk of incident wilden onderzoeken, het voor het beveiligingsteam een hele uitdaging was om ver genoeg in te zoomen”, zegt Rajeev Nair , algemeen directeur IT-infrastructuur en beveiliging bij Cathay Pacific.
MPLS moest weg. Cathay had een vervangende cloudgebaseerde technologie nodig die in staat was om aan de vereisten van een gemoderniseerde infrastructuur te voldoen en end-to-end zichtbaarheid te bieden over VPN's, SD-WAN's en andere cloudbronnen. Uiteindelijk koos het bedrijf voor Secure Access Service Edge (SASE), dat datacentrische mogelijkheden biedt, zoals bescherming tegen gegevensverlies en -lekken, en dat de noodzaak voor gebruikers vermindert om bestaande beveiligingscontroles te omzeilen.
“Het SASE-model waarbij beveiligingsmogelijkheden als een service worden geleverd, is een haalbare manier voor organisaties om hun eigen beveiligingsinspanningen te optimaliseren”, zegt Fernando Montenegro, senior hoofdanalist voor cyberbeveiliging bij Omdia. “De SASE-aanpak met regionale aanwezigheidspunten voor veiligheidsdiensten en geavanceerde verkeerstechniek kan de gebruikerservaring verbeteren. En voor doorlopend beheer kan SASE zowel het beheer van het beveiligingsbeleid centraliseren, wat het duidelijker en consistenter maakt, als de edge-configuraties vereenvoudigen.”
Deze beveiligingsfuncties waren ook belangrijk voor Cathay, omdat de traditionele netwerkperimeter minder effectief is in een cloud-native omgeving. Op SASE gebaseerde oplossingen maken gebruik van een zero-trust beveiligingsmodel, wat cruciaal is voor het controleren van apparaten, op identiteit gebaseerde toegang en netwerken, zegt Nair.
“SASE biedt netwerkbrede beveiligingsbescherming, wat een enorme verbetering is naarmate we meer richting werken op afstand gaan en de betrokkenheid en ervaring van medewerkers verbeteren”, voegt hij eraan toe.
Blauwe luchten vooruit met SASE
Het Cathay-team heeft er bewust voor gekozen om producten die door grote telecommunicatiebedrijven worden ondersteund te vermijden vanwege zorgen over flexibiliteit, toekomstige mogelijkheden en snelheid om op de markt te komen. Na een aantal jaren van proof-of-concept-experimenten koos Cathay uiteindelijk voor Aryaka's verenigde SASE.
Met deze oplossing zorgen netwerkbeheerdiensten ervoor dat alle beveiligingsgebeurtenissen die verschillende locaties en typen bestrijken, op de juiste manier worden geregistreerd en dat er actie op wordt ondernomen, inclusief gedragsanalyse. Bovendien zal de beveiligde webgateway, die deel uitmaakt van de service, ervoor zorgen dat het beleid en de controles van Cathay van kracht zijn, ongeacht vanaf welke netwerkapparaten er verbinding wordt gemaakt. Ten slotte verbetert de oplossing de beveiliging door op rollen gebaseerd beleid af te dwingen en veilig browsen mogelijk te maken, ongeacht de gebruikte browser, locatie of netwerk.
In de loop van de tijd zullen veel van de functies die Cathay graag wil bieden aan SASE-oplossingen worden toegevoegd, zegt Omdia's Montenegro. SASE integreert technologieën zoals SD-WAN, veilige webgateways, firewall-as-a-service en zero-trust-toegang, en leveranciers blijven innoveren door nieuwe mogelijkheden toe te voegen. Functies als browserbeveiliging, gegevensbeveiligingsbeheer en cloudbeveiliging zijn belangrijke interessegebieden voor SASE-leveranciers.
De groep van Nair rondt momenteel de pilotfase-implementatie van de oplossing af, die bestaat uit het inzetten van de technologie op vijf tot tien van de tweehonderd locaties van het bedrijf. Op basis van de lessen die daaruit zijn getrokken, zal het team de tijdlijn en aanpak voor de resterende locaties verfijnen.
“We willen ervoor zorgen dat we op alle locaties inzicht hebben in de netwerkprestaties en hoe beveiligingselementen worden gemonitord en gecontroleerd”, legt Nair uit. De pilot zal ook het gemak van de implementatie, het beleidsbeheer in de verschillende regio's en de prestaties testen. In het tweede deel van de pilotfase wordt de oplossing uitgebreid naar luchthavens.
Om volledige monitoring en controle te garanderen, zal de nieuwe implementatie profiteren van Aryaka's uniforme platform voor veilige toegang tussen applicaties, workloads en apparaten. Het zal ook Aryaka's cloud access security broker (CASB) integreren – onderdeel van zijn beveiligde services edge, een subset van zijn SASE-oplossing – om de activiteiten van gebruikers op niet-goedgekeurde apps te ontdekken en passende controles uit te voeren. Om beveiliging op schaal te garanderen, zal Cathay de ingebouwde firewall as a service gebruiken, die wordt toegepast op de service edge-laag.
Zodra de pilotfase is afgerond, zal de volledige implementatie, inclusief integratie met meer dan 400 applicaties in de publieke cloud, beginnen. Het is een grote verandering; Tegenwoordig is al het verkeer afkomstig van het hoofdkantoor in Hong Kong en reist het via verschillende knooppunten om de eindbestemming te bereiken. Eenmaal volledig geïmplementeerd, zal het verkeer verbinding maken met de dichtstbijzijnde Aryaka-hub of -circuit en vervolgens weer verbinding maken met de cloudprovider.
Wanneer Cathay Pacific volledig operationeel is, zal het een van de eerste luchtvaartmaatschappijen zijn die SASE omarmt, maar het zal niet de laatste zijn. In november kondigde Qatar Airways aan dat het SASE aan zijn technologiepakket zal toevoegen om de connectiviteit, operationele efficiëntie en veiligheid te verbeteren. United Airlines en Qantas hebben ook aangegeven in de richting van SASE te gaan.
In de loop van de tijd is Nair van plan andere beveiligingsverbeteringen aan te brengen. De volgende stap is het dichter bij de eindgebruikers brengen van beveiliging. Om dat te doen is het team van plan de firewalls en softwarewebgateways in de datacenters en de publieke cloudomgeving te upgraden, los van de SASE-oplossing.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/airline-experiments-with-sase-to-improve-overall-security
