Een toenemend aantal processen is afhankelijk van internet. Dit brengt risico’s met zich mee, zoals systeemuitval, datamanipulatie of hacks. Digitale beveiliging is essentieel voor de continuïteit en veiligheid van het vliegverkeer. Toezicht op cybersecurity krijgt dan ook steeds meer gewicht.
Luchtvaart-AED’s die zijn meegenomen in de verkenning: Royal Schiphol Group (AAS), Luchtverkeersleiding Nederland (LVNL), Aircraft Fuel Supply B.V. (AFS), Maastricht Upper Area Control Centre en Koninklijke Luchtvaart Maatschappij.
2020: verkennend ILT-onderzoek
Eind 2020 deed de Inspectie Leefomgeving en Transport (ILT) verkennend onderzoek naar cybersecurity bij de Aanbieders van Essentiële Diensten (AED’s) in de sector luchtvaart. De ILT onderzocht of, en hoe, cybersecurity een plek heeft binnen deze organisaties. En of de AED’s zich bewust zijn van de noodzaak om procesautomatisering te beveiligen tegen cybersecurity-risico’s (OT-security). Ook bekeek de ILT of de AED’s cybersecurity-risico’s van kwetsbaarheden in ICT- en OT-systemen voldoende beheersen. Tot slot besteedde de ILT aandacht aan hoe AED’s kwetsbaarheden in ICT-systemen wegnemen en aan patchmanagement.
Patchmanagement gaat over het doelgericht verhelpen van ICT-kwetsbaarheden, met software-updates of -verbeteringen van de systeemleverancier.
De uitkomsten van het verkennend onderzoek geven een positieve 1e indruk. De AED’s scoren goed op de inrichting van het kwetsbaarhedenmanagement. Hetzelfde geldt voor de inrichting van patchmanagement, inbedding van cybersecurity in de organisatie en het bewustzijn rondom OT-security.
In 2021 gaf de ILT het toezicht op cybersecurity in de sector luchtvaart verder vorm. De Regeling beveiliging netwerk- en informatiesystemen was daarbij uitgangspunt. Deze regeling ging op 1 juli 2021 in en beschrijft hoe de AED’s de Wbni-zorgplicht moeten invullen.
De Regeling beveiliging netwerk- en informatiesystemen schrijft voor dat AED’s het volgende moeten doen:
Gebruikmaken van een Information Security Management System (ISMS) en risicoanalyse.
Zorgen voor netwerk- en informatiebeveiliging.
Netwerk- en informatiesystemen in kaart brengen.
Cybersecurity-incidenten voorkomen.
Incidenten opsporen, en effectief reageren op incidenten en kwetsbaarheden.
Systemen en bedrijfsprocessen herstellen na een incident.
Om te kunnen beoordelen of de AED’s voldoen, stelde de ILT een toetsingskader op. Dit kader richt zich op:
Scherp krijgen hoe de AED’s hun cybersecurity-risico’s beheersen (nulmeting).
Kunnen vaststellen of er tekortkomingen zijn, en daarover het gesprek aangaan.
Gedetailleerd in kaart brengen waar verbetering mogelijk is.
De ILT gebruikt het nieuwe toetsingskader sinds eind 2021. De luchtvaart-AED’s verzamelden in november en december 2021 informatie voor de nulmeting. Daarnaast interviewde de ILT organisatiedirecties over hun cybersecurity.
2022: resultaten nulmeting en vervolg
De resultaten van de nulmeting worden eind 2022 verwacht. Deze zijn uitgangspunt voor detailinspecties van de ILT. Het is waarschijnlijk dat een aantal andere op Schiphol actieve Nederlandse luchtvaartmaatschappijen worden aangewezen als AED. En daarmee vanaf 2022 ook onder ILT-toezicht vallen.
