吳明宜
根據最新一份政府報告顯示,過去 4 年,駭客已進攻阿拉斯加飛航控制系統、聯邦航空總署 (FAA) 網路伺服器,竊取 FAA 48,000 位現任和前任員工的資料。
美國運輸部督察室週三公佈這份名為《飛航控制系統 Web 應用安全及入侵偵測檢視》的報告。
上個月華爾街日報才報導美國空軍飛航控制系統遭到駭客入侵,並且被要求到國會聽證會作證。
美運輸部報告指出,督察室和 KPMG 稽核人員針對 70 個網路應用進行測試,其中 35 個是 FAA 用以發佈訊息,35 個是支援飛航控制系統內部。安全稽核發現 763 項高風險、 504 項中度風險及 2,590 項低風險的弱點,像是密碼太弱、資料匣未發佈。
除了組態不良、 web 應用弱點太多,報告也發現入侵偵測系統未能有效防護飛航控制系統。只有 11% 的飛航控制系統設施有 IDS 設備,而且沒有一個入侵防禦設備監控飛航控制作業系統,它們只監控支援任務的系統,像是郵件伺服器。
2008 年航空組織發佈超過 800 次安全事件警示,該單位負責監控飛航控制的運作。去年底,17%(約 150 件)的重大事件未被解決。
「若設施端未完整部署的 IDS 監控能力,並即時修正安全事件,FAA 就無法有效阻止或預防網路攻擊,進而提升 ATC 的安全風險,」報告指出。
報告指出,多數攻擊都可能破壞 FAA 飛航控制支援系統,而非控制飛機的作業網路。不過,它也指出,除非儘可能採取行動,否則重大問題只是遲早的事。
同時,防禦也需要經費,當然在有危機感時比較容易取得。 FAA 已要求建構下一代空運系統,這個專案將更新美國的空運基礎架構,預計至少花掉 200 億美元。
這筆經費可能也可以拿來買幾個稻草人。 2007 年動物和飛機相撞的事件,是 2008 年飛航控制系統事件的快 10 倍(7,666 件)。此類攻擊造成每年損失高達 6.28 億—如一月時一隻飛鳥造成美國 US. Airways 編號 1549 航機掉入哈德遜河。駭客攻擊相對威脅小多了,除非他們跑進飛機跑道。