תקריות סייבר בוחנות את חוסנן של חברות תעופה גלובליות

מאת דני ברדבורי • 15 יולי 2025

בפעם הבאה שאתם צועדים לאט לאט במעבר מטוס, חשבו על העבודה המדהימה שהביאה אתכם לשם, החל מהנדסת תעופה ועד למפעילים ששומרים על למעלה מ-5,000 מטוסים באוויר בכל רגע נתון; תעשיית התעופה מתמודדת עם אתגרים לא פשוטים.

בעשורים האחרונים, הם התמודדו עם דבר נוסף: איומי אבטחת סייבר. בחודש שעבר ראינו כמה דוגמאות למה שקורה כאשר פולשים חודרים למערכות שלהם.

שלוש מתקפות סייבר בחודש אחד

בתחילת יוני, חברת Westjet, אחת מחברות התעופה הפופולריות ביותר בקנדה, הבינה לראשונה שמשהו לא בסדר במערכות שלה. החברה נפגעה מתקרית סייבר, שמנעה ממשתמשים להתחבר לאתר האינטרנט ולאפליקציה שלה.

ווסטג'ט מיהרה לטפל בבעיה, כפי שפרטה בפוסט שלה דף ייעוץ במהלך הימים הבאים. עם זאת, זה לא היה מקרה בודד. חברת התעופה הייתה אחת משלוש חברות תעופה שספגו תקיפות. גם קוואנטס והוואיאן איירליינס נפגעו.

חברת התעופה הוואיאן איירליינס זיהתה את הפרת הרשת שלה ב-23 ביוני וחשפה אותה שלושה ימים לאחר מכן באמצעות הודעה תמציתית באתר שלה. לוח הזמנים של הטיסות היה פעיל, ונסיעות האורחים לא הושפעו, נמסר.

אז, הגיע תורה של אוסטרליה. חברת התעופה קוואנטס שלה ראתה פעילות חריגה בפלטפורמה של צד שלישי בה השתמש מרכז הקשר שלה. התוקף הצליח לגנוב שמות לקוחות, כתובות, מספרי טלפון, תאריכי לידה ומספרי נוסע מתמיד.

ב-2 ביולי, קוואנטס אמור שיש לה רישומי שירות של שישה מיליון לקוחות בפלטפורמה וצפתה ששיעור הנתונים שנגנבו יהיה "משמעותי". עם זאת, הגנבים לא חמקו עם פרטי תשלום, הוסיפה החברה.

נראה שההתקפות הללו מתואמות. Scattered Spider, קבוצת האיום, נחשבת גם אחראית להתקפות על קזינו MGM Grand, ולאחרונה, מרקס וספנסרהפנתה את תשומת ליבה למגזר התעופה, הזהיר את ה-FBI.

על פי הלשכה, קבוצת הפשע פורצת לחשבונות עובדים על ידי ביקור בדלפקי תמיכה והתחזות לעובדים או קבלנים, ומשכנעת מפעילים לתת להם גישה לחשבון. לאחר מכן, היא משכנעת לעתים קרובות את המפעילים הללו להוסיף גישת MFA לחשבונות, ובכך נועלת את המשתמשים הלגיטימיים. מקורות ציינו כי נראה כי התקפות חברות התעופה היו מעשה ידיה של קבוצה זו.

עשור של סערה דיגיטלית

זו לא הפעם הראשונה שחברת תעופה מתמודדת עם מתקפת סייבר. בשנת 2015 נפגעה חברת התעופה הפולנית LOT לסבול מהתקפת DDoS שמנע ממנה להנפיק תוכניות טיסה, והותיר 1,400 נוסעים תקועים ו-20 טיסות בוטלו.

שלוש שנים לאחר מכן, תוקפים גנבו את בריטיש איירווייס על ידי פריצת חשבון רשת של בריטיש איירווייס שהונפק לעובד בחברת טיפול במטענים סוויספורט. היעדר גישה ל-MFA איפשר לתוקפים לפגוע בחשבון ולנצל פגיעות ב-Citrix כדי לקבל גישה לרשת בריטיש איירווייס הרחבה יותר. משם, הם ניגשו לאישורים בחשבון מנהל דומיין של Windows המאוחסן בטקסט רגיל. התוקף, Magecart, שתל JavaScript באתר האינטרנט של חברת התעופה ו... צָעִיף פרטי כרטיסי התשלום של 380,000 לקוחות. BA ניצלה מקנס של 20 מיליון ליש"ט, קוצץ מ-183 מיליון ליש"ט.

אירועים כאלה שכיחים מספיק כדי למחוק את ספר העדכונים של תעשיית התעופה. חברת תוכנת ניהול אבטחה, Security Scorecard. נותן המגזר מקבל ציון 'B' באבטחת סייבר. זה לא ציון נכשל, אומר הארגון, אבל זה גורם לחברות במגזר הזה להיות כמעט פי שלושה יותר מועדות לסבול מפריצה מאשר אלו במגזרים בעלי דירוג A.

רגולטורים שמים לב

אין זה פלא, בהתחשב בשטח התקיפה הנרחב של רוב חברות התעופה. לא רק מערכות אדמיניסטרטיביות הן מטרה. גם מערכות תפעוליות, החל מציוד בשדה התעופה ועד ציוד בטיסה, נמצאות תחת איום.

רוב הפרות בתחום התעופה הן אדמיניסטרטיביות, ומתמקדות בפרטי נוסעים ותשלומים ולא במטוסים עצמם; עם זאת, הדברים היו מחמירים הרבה יותר אם מישהו היה מכוון לטכנולוגיה תפעולית במטוסים בטיסה. עד כה, פריצות כאלה היו בעיקר בדיקות הוכחת היתכנות. עם זאת, הרגולטורים עדיין נוקטים באמצעי מניעה. ה-FAA הציעו כללים חדשים בשנה שעברה כדי להגן על מערכות המטוסים.

מינהל אבטחת התחבורה של ארה"ב (TSA) מוּטָל כללי אבטחת סייבר חדשים על מפעילי שדות תעופה ומטוסים בשנת 2023, כולל דרישות פילוח רשתות. האיחוד האירופי לאור תקנת היישום (EU) 2023/203 (Part-IS) מאוקטובר 2022, המתווה כללים לזיהוי וניהול סיכוני אבטחה בארגוני תעופה. היא נכנסת לתוקף השנה.

בניית פעילות תעופה עמידה

מה יכולות חברות תעופה לעשות כדי להגן על עצמן מפני סיכון סייבר גובר? למרות שהסטנדרטים הרגולטוריים ספציפיים למגזר, הרגולטורים, במקרים מסוימים, עשו מאמץ חפיפה עם ISO 27001בעוד שארגוני תעשיית התעופה עשויים להידרש לבצע עבודה נוספת כדי לעמוד בדרישות בטיחות תעופה ספציפיות המפורטות בחלק IS, הן בכל זאת "עקביות ומותאמות ל- ISO-IEC 27001" על פי סוכנות בטיחות התעופה של האיחוד האירופי (EASA).

אמצעי האבטחה שחברות התעופה צריכות לנקוט אינם מדע טילים. רשות התעופה האמריקאית (TSA) מתמקדת במדיניות פילוח רשתות ובקרות גישה כדי למנוע מפורצים לפרוץ לרשת שלכם. נזיפות לתקן תוכנות מופיעות גם כן. המלצות כאלה נפוצות אף יותר מתורים לשירותים בטיסה ארוכת טווח.

בדומה לאי-עישון בטיסה, אימוץ נהלי אבטחת סייבר טובים ברשתות תעופה אינו דבר שניתן למשא ומתן עליו. גניבת נתוני חשבון נוסעים היא גרועה מספיק, אך ללא הגנה יעילה, התוצאות של מתקפה מתואמת יותר מצד מפעיל שמניע משהו שאינו רווח עלולות להיות גרועות בהרבה.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.