תיקונים אחרונים לתקנות אבטחת סייבר בכל האיחוד האירופי עבור תעשיית התעופה עלולים להניע את ההטמעה של תקני תעשיית IT כמו ISO 27001.
1 כללי גישה נוחה (EAR) לאבטחת מידע (חלק IS) מסוכנות הבטיחות בתעופה של האיחוד האירופי (EASA) קבעו "דרישות לניהול סיכוני אבטחת מידע עם השפעה אפשרית על בטיחות התעופה". כללי אבטחת סייבר קודמים היו מוגבלים ליצרני ציוד מקורי - בניגוד ל-EAR (Part IS), שחלים על כל מגזר התעופה. מועדי הציות של אוקטובר 2025 ופברואר 2026 יחולו על סוגים שונים של ארגונים, כפי שהוגדרו בתמיכה בחוקי האיחוד האירופי.
אלה כוללים: ארגוני תחזוקה, ספקי ניהול כושר אווירי, מפעילי אוויר, מרכזים תעופה-רפואיים, ארגוני אימון בקרי תנועה אווירית ומפעילי מכשירי סימולציית טיסה. עוד ברשימה נמנים שדות תעופה, ספקי תשתיות תקשורת, ארגוני תשתיות ניווט, מגדלי אוויר ותלבושות מעקב.
הכללים נועדו להבטיח שסיכוני אבטחת מידע מנוהלים ביעילות בתוך תעשיית התעופה, גורם חשוב בבטיחות הכוללת. התאמה לתקני התעופה האמריקאיים כבר סוכם, ומתוכננים עדכונים שוטפים לכללי גישה נוחה (Part IS), מה שהופך אותם למערכת של תקנות שיתפתחו עם הזמן.
זיהוי, הגן, השב ושחזור
הפעלת מערכת ניהול אבטחת מידע (ISMS) היא המפתח עבור ארגוני תעופה שצריכים לציית לכללים. מרכיבים חשובים נוספים מכסים ניטור אבטחה, ביקורת ואמצעים המצביעים על ארגונים לקראת בגרות גדולה יותר של אבטחת סייבר. הם:
⦁ להקים ולהפעיל ISMS
⦁ יישום ותחזוקה של מדיניות אבטחת מידע
⦁ זיהוי, סקירה ותיקון של סיכוני אבטחת מידע
⦁ זיהוי איומים לאירועים הקשורים לאבטחת תעופה
⦁ לנקוט בפעולות מתקנות כדי לטפל בממצאים שעליהם הודעת רשות מוסמכת
⦁ דיווח אבטחה
⦁ ניטור ציות
⦁ להכניס תהליך שיפור מתמיד
קן מונרו הוא מנכ"ל ב-Pen Test Partners, חברה של בודקי חדירה בבריטניה עם לקוחות במגזר התעופה. הוא אומר ל-ISMS.online שאימוץ ISO 27001 יעזור לארגון מגזר התעופה לציית לתקנות החדשות של האיחוד האירופי.
"ה-EAR (Part IS) אכן עוקב אחר תקנים קיימים כגון ISO 27001 די מקרוב, כך שארגונים עם מסגרות ציות קיימות צריכים למצוא מיפוי פשוט למדי", הוא מסביר.
עם זאת, רמות שונות של אימוץ שיטות עבודה מומלצות בתחום אבטחת הסייבר בכל המגזר עשויות להוות אתגר עבור חלק.
"הניסיון שלנו במגזר התעופה בכללותו הצביע על רמות שונות מאוד של בגרות ביטחונית. חלק מזה מובן: האם היינו מצפים שלשדה תעופה אזורי זעיר תהיה אותה רמת בגרות כמו שדה תעופה מרכזי גדול? האתגר כאן הוא שהנוסע והמטען שלו עוברים סינון בנקודת הצ'ק אין, לא העברה, מה שעלול לחשוף טיסות המשך", מסביר מונרו.
"באופן דומה, האם היינו מצפים שחברת תעופה גדולה תהיה בעלת אותה רמת בגרות כמו מפעיל אזורי קטן? יהיו להם משטרי בטיחות טיסה דומים, אבל אותה מידה של משטר אבטחת סייבר פחות סביר".
מציאת דרך לבצר את החוליות החלשות הללו בשרשרת ברחבי מגזר התעופה היא אפוא אתגר.
סערה לפנינו?
הכללים החדשים נותנים כמה דוגמאות לתחולתם מבחינת היקפם, תוך שהם "קצת קצרים בפרטים" בהשוואה לתוכניות אחרות כמו CAA ASSURE, לפי Munro.
תכנית CAA ASSURE (ביקורת סייבר) היא מודל ביקורת של צד שלישי שפותח על ידי רשות התעופה האזרחית של בריטניה (CAA) בשיתוף עם CREST.
"זה [חוסר פירוט ב-EAR] נראה קצת בסתירה לתוכנית CAA ASSURE, שעושה מאמץ משמעותי לזהות מערכות קריטיות בחברות תעופה ושדות תעופה", מסביר מונרו. "זה עזר למפעילים למקד את מאמציהם במערכות שעלולות להשפיע על בטיחות הטיסה או למנוע שיגור טיסות. לכל אחד מהם עשויות להיות השפעות בטיחותיות משמעותיות".
מונרו מסכם: "יש ניסיון לתת כמה דוגמאות של התקפות פוטנציאליות בנספח 1, אבל זו נראית בחירה אקראית למדי ומפספסת תחומים חשובים רבים. הסיכון כאן הוא שארגונים מתמקדים בדוגמאות שניתנו על חשבון תחומים אחרים".
הוגו טסו, טייס מסחרי ומומחה לאבטחת סייבר תעופה, שימש כמומחה חיצוני בתהליך שהוביל לפיתוח הרגולציה. בפוסט בלינקדאין, הוא אומר שהתקנות חורגות מעבר ל"צריך רק ISMS" עבור ארגונים בהיקף.
המסמך התומך בן 278 העמודים המתאר את EAR Part-IS והיקפם מציב את ה-ISMS כמרכיב מפתח, אך בשום פנים ואופן לא השלב היחיד בהפיכתו לתקן.
מתכוננים להמראה
עם זאת, ISO 27001 הוא מקום טוב להתחיל בו, לדברי מומחים אחרים.
"כאשר חברות תעופה וחלל מתכוננות לתקנות האיחוד האירופי בתחום אבטחת הסייבר התעופה EASA EAR Part-IS, אחד הצעדים הראשונים שהן יכולות לנקוט הוא הקמת ISMS תואם לתקן ISO 27001", טוען סם פיטרס, מנהל המוצר הראשי של ISMS.online.
"על ידי עבודה יזומה לקראת תאימות ל-ISO 27001 כעת, ארגוני תעופה וחלל יכולים לקבל התחלה בעמידה בדרישות EASA ולהוכיח לרגולטורים שהם לוקחים את אבטחת הסייבר ברצינות."
פיטרס ממשיך ומתווה תוכנית פעולה עבור מנהלי ציות ואלו האחראים על אבטחת סייבר במגזר התעופה.
"השלב הראשון יהיה להגדיר את היקף ה-ISMS בהתבסס על שירותי התעופה והנכסים של החברה שייכנסו לפיקוח של EASA", הוא אומר.
"הערכת סיכונים מקיפה תוכל לזהות פגיעות סייבר ולמפות בקרות מתאימות מ-ISO 27001 כדי לחזק את ההגנות באזורים קריטיים. יש לתת עדיפות לדברים כמו מדיניות בקרת גישה, ניהול ספקים, תוכניות תגובה לאירועים והדרכת אבטחת צוות".
ללא קשר לדרישות EAR Part-IS, הפיכתו ל-ISO 27001 תעניק יתרונות עסקיים לספקי מגזר התעופה.
"יתרון נוסף לאימוץ ISO 27001 הוא שהוא נוקט בגישה הוליסטית מבוססת תהליכים לאבטחת מידע. זה הופך את ה-ISMS למניע עסקי טוב, המאפשר לחברות תעופה וחלל לזהות חוסר יעילות, להפחית סיכונים ולקבל החלטות השקעה מונחות נתונים בכל הארגון", הוא מסכם.
"ככל שמתקרב המועד האחרון לתאימות של EASA EAR Part-IS, בעקבות מסגרות ISO 27001 שנקבעו יסייעו לארגוני תעופה וחלל להוכיח למבקרי EASA שהם יישמו ISMS בוגר המותאם לסיכוני הסייבר הייחודיים של תעשיית התעופה. נקיטת צעדים יזומים אלה היום תהפוך את מסע הציות לחלק יותר מחר."
