Zdarzenie lotnicze nr 1112/2015.
Dz.Urz.ULC.2017.354
Akt indywidualnyKOMUNIKAT Nr 344
PREZESA URZĘDU LOTNICTWA CYWILNEGO
z dnia 7 marca 2017 r.
w sprawie zdarzenia lotniczego nr 1112/2015
"Czynnik organizacyjny"
w grupie przyczynowej: "O12 - Inny".
Skrócony opis zdarzenia powstał na podstawie raportu końcowego przesłanego przez Państwową Komisję Badania Wypadków Lotniczych do Prezesa Urzędu Lotnictwa Cywilnego.
W dniu 21 czerwca 2015 roku nastąpiło znaczące obciążenie przepustowości łącza internetowego operatora. W wyniku tego, działanie systemów, które wykorzystują to łącze, zostało spowolnione, co z kolei przełożyło się na brak możliwości ich efektywnego wykorzystania do przygotowania dokumentacji na rejs oraz odprawy pasażerów. Zagrożenie dla bezpieczeństwa lotniczego zostało zminimalizowane poprzez wstrzymanie uruchomienia rejsów, na które nie było możliwe przygotowanie wymaganej dokumentacji i odprawienie pasażerów. Zaistniałe zdarzenie miało istotny wpływ na ciągłość działalności przewozowej. W związku z tym został powołany sztab kryzysowy, którego zadaniem było zarządzanie dostępnymi zasobami w celu przywrócenia działalności przewozowej i minimalizacji konsekwencji operacyjnych zaistniałej sytuacji. Działania podjęte przez operatora pozwoliły na przywrócenie normalnej przepustowości łącza internetowego. W rezultacie, szybkość działania systemów służących do przygotowywania dokumentacji na rejs i odprawiania pasażerów umożliwiła ich wykorzystanie przez służby operacyjne. Po analizie systemów wspomagania operacji lotniczych stwierdzono że nie doszło do ingerencji w systemy planowania, wyważania, obliczania osiągów i zarządzania ciągłą zdatnością do lotu. Incydent był incydentem informatycznym. Bezpośrednią przyczyną wyczerpania pasma łącza było długotrwałe wykorzystanie sieci operatora do ataku DDoS (Distributed Denial of Service). Atak DDoS polega na działaniu prowadzącym do wyczerpania zasobów sieciowych lub obliczeniowych atakowanego serwisu tak, by uniemożliwić mu realizację normalnych czynności. Ataki Reflected Amplification DDoS polegają na wysłaniu do wielu otwartych serwerów zapytań, dla których rozmiary odpowiedzi są znacznie większe od samego zapytania. Zapytania wysyłane są protokołem UDP ze sfałszowanym adresem źródłowym IP, pod który serwery wysyłają odpowiedzi. W ten sposób przy pomocy niewielkiego nakładu środków można bardzo efektywnie (bo z pomocą wielu serwerów) wygenerować olbrzymi ruch w sieci. Po wystąpieniu ataku zwołano Sztab Kryzysowy oraz poinformowano CERT - rządowy zespół reagowania na incydenty, które w toku badania zwróciło uwagę na niedociągnięcia wymagające poprawy zabezpieczeń w funkcjonowaniu sieci IT operatora. W celu otrzymania głębszej analizy zwrócono się do zespołu CERT Polska działającego w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK) o dokonanie pełnej analizy. Zgodnie z analizą przeprowadzoną przez NASK atak nie był wymierzony w infrastrukturę sieci operatora.
Państwowa Komisja Badania Wypadków Lotniczych po zapoznaniu się ze zgromadzonymi w trakcie badania zdarzenia materiałami nie wydała zaleceń dotyczących bezpieczeństwa.