Akt prawny
obowiązujący
Wersja aktualna od 2017-03-08
Wersja aktualna od 2017-03-08
obowiązujący
KOMUNIKAT NR 344
PREZESA URZĘDU LOTNICTWA CYWILNEGO
z dnia 7 marca 2017 r.
w sprawie zdarzenia lotniczego nr 1112/2015
Na podstawie § 31 ust. 2 rozporządzenia Ministra Transportu z dnia 18 stycznia 2007 r. w sprawie wypadków i incydentów lotniczych (Dz. U. Nr 35, poz. 225) w związku z zarządzeniem nr 14 Prezesa Urzędu Lotnictwa Cywilnego z dnia 14 grudnia 2006 r. w sprawie wprowadzenia klasyfikacji grup przyczynowych zdarzeń lotniczych (Dz. Urz. ULC Nr 10, poz. 43) ogłasza się, co następuje:
1. Incydent lotniczy, który wydarzył się w dniu 21 czerwca 2015 r., klasyfikuję do kategorii:
"Czynnik organizacyjny"
w grupie przyczynowej: "O12 – Inny".
2. Opis okoliczności incydentu lotniczego:
Skrócony opis zdarzenia powstał na podstawie raportu końcowego przesłanego przez Państwową Komisję Badania Wypadków Lotniczych do Prezesa Urzędu Lotnictwa Cywilnego.
W dniu 21 czerwca 2015 roku nastąpiło znaczące obciążenie przepustowości łącza internetowego operatora. W wyniku tego, działanie systemów, które wykorzystują to łącze, zostało spowolnione, co z kolei przełożyło się na brak możliwości ich efektywnego wykorzystania do przygotowania dokumentacji na rejs oraz odprawy pasażerów. Zagrożenie dla bezpieczeństwa lotniczego zostało zminimalizowane poprzez wstrzymanie uruchomienia rejsów, na które nie było możliwe przygotowanie wymaganej dokumentacji i odprawienie pasażerów. Zaistniałe zdarzenie miało istotny wpływ na ciągłość działalności przewozowej. W związku z tym został powołany sztab kryzysowy, którego zadaniem było zarządzanie dostępnymi zasobami w celu przywrócenia działalności przewozowej i minimalizacji konsekwencji operacyjnych zaistniałej sytuacji. Działania podjęte przez operatora pozwoliły na przywrócenie normalnej przepustowości łącza internetowego. W rezultacie, szybkość działania systemów służących do przygotowywania dokumentacji na rejs i odprawiania pasażerów umożliwiła ich wykorzystanie przez służby operacyjne. Po analizie systemów wspomagania operacji lotniczych stwierdzono że nie doszło do ingerencji w systemy planowania, wyważania, obliczania osiągów i zarządzania ciągłą zdatnością do lotu. Incydent był incydentem informatycznym. Bezpośrednią przyczyną wyczerpania pasma łącza było długotrwałe wykorzystanie sieci operatora do ataku DDoS (Distributed Denial of Service). Atak DDoS polega na działaniu prowadzącym do wyczerpania zasobów sieciowych lub obliczeniowych atakowanego serwisu tak, by uniemożliwić mu realizację normalnych czynności. Ataki Reflected Amplification DDoS polegają na wysłaniu do wielu otwartych serwerów zapytań, dla których rozmiary odpowiedzi są znacznie większe od samego zapytania. Zapytania wysyłane są protokołem UDP ze sfałszowanym adresem źródłowym IP, pod który serwery wysyłają odpowiedzi. W ten sposób przy pomocy niewielkiego nakładu środków można bardzo efektywnie (bo z pomocą wielu serwerów) wygenerować olbrzymi ruch w sieci. Po wystąpieniu ataku zwołano Sztab Kryzysowy oraz poinformowano CERT – rządowy zespół reagowania na incydenty, które w toku badania zwróciło uwagę na niedociągnięcia wymagające poprawy zabezpieczeń w funkcjonowaniu sieci IT operatora. W celu otrzymania głębszej analizy zwrócono się do zespołu CERT Polska działającego w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK) o dokonanie pełnej analizy. Zgodnie z analizą przeprowadzoną przez NASK atak nie był wymierzony w infrastrukturę sieci operatora.
3. Przyczyna incydentu lotniczego:
1. Zidentyfikowano pośrednie przyczyny incydentu, których wybrane elementy to:
– nieprawidłowa reguła w zaporze sieciowej Fortunatek (zastępującej wcześniejszą zaporę Checkpoint), otwierająca dostęp do wewnętrznego serwera DNS dla całego ruchu sieciowego, także spoza sieci użytkownika. Wprowadzenie tej reguły było wynikiem błędnego przeniesienia reguł z poprzedniej zapory;
– nieskuteczność procedury dotyczącej działania podczas ataków DDoS. Przewidziane procedury działania operatorów nie wystąpiły lub były nieadekwatne. Plan działań nie przewidywał wewnętrznych czynności prowadzących do rozpoznania i zniesienia ataku;
– brak wykwalifikowanego wsparcia dla zapory FortiGate w trakcie przełączenia. Zdalne wsparcie zapewniane przez firmę Trecom okazało się niewystarczające;
– brak procedur dotyczących zapewnienia łączności dla krytycznych systemów (np. zapasowe, niezależne łącza w innym systemie autonomicznym).
2. Monitoring ruchu sieciowego w wewnętrznych systemach, w szczególności testów przełączeniowych, jak i właściwego przełączenia był nieskuteczny.
3. Nieskuteczne monitorowanie zdarzeń bezpieczeństwa dotyczących systemów wewnętrznych, takich jak nieuprawnione próby logowania, nadmierne obciążenie, błędna konfiguracja.
4. Zalecenia profilaktyczne Państwowej Komisji Badania Wypadków Lotniczych dotyczące bezpieczeństwa:
Państwowa Komisja Badania Wypadków Lotniczych po zapoznaniu się ze zgromadzonymi w trakcie badania zdarzenia materiałami nie wydała zaleceń dotyczących bezpieczeństwa.
Prezes Urzędu Lotnictwa Cywilnego |
Piotr Samson |