Руководитель Airbus CSO: о слабых местах в цепочках поставок, угрозах из космоса и границах искусственного интеллекта

Паскаль Андрей, директор по безопасности Airbus, осознаёт, что аэрокосмическая и оборонная отрасль сталкивается с угрозами, которые развиваются быстрее, чем большинство организаций способны отслеживать. От субподрядчиков, незаметно превращающихся в точки входа для атак, поддерживаемых государствами, до спутников, становящихся целями во всё более конкурентной космической сфере, — риски реальны и растут.

В этом интервью для Help Net Security Андрей затрагивает слепые зоны, которые защитники недооценивают, разрыв между формальным соответствием требованиям и реальной безопасностью, а также объясняет, почему современные модели тестирования на основе ИИ опасно несовершенны. Его ответы раскрывают лидера в области безопасности, мыслящего системно и продвигающего Airbus к более совместному, основанному на разведданных подходу к защите.

В Airbus существует специальная команда, которая отслеживает и создаёт аналитику по угрозам безопасности. Она предоставляет актуальную информацию об эволюции различных угроз (кибернетических, физических или геополитических), способных нанести вред Airbus. Команда работает по ключевым критическим и стратегическим для компании направлениям, чтобы бизнес Airbus мог преобразовывать эту аналитику в управление рисками безопасности.

В то время как основные подрядчики (уровень 1) укрепили свои периметры, наиболее уязвимые слепые зоны сместились глубоко в цепочку субподрядчиков и «цифровые связи», которые их соединяют. Используя нестабильность текущего геополитического контекста, злоумышленники атакуют более мелкие компании с ограниченными ресурсами как «точки входа», чтобы нарушить глобальные поставки в аэрокосмической и оборонной отрасли. В ответ на эту ситуацию мы усилили интеграцию между корпоративной безопасностью, закупками и бизнес-подразделениями для определения требований безопасности к нашей цепочке поставок.

Более того, мы переходим к модели отраслевого сотрудничества, чтобы совместно повышать зрелость процессов выбора поставщиков как выше, так и ниже по цепочке. Эта проактивная позиция в сочетании с нашим ранним внедрением таких нормативов, как Part-IS и NIS 2, служит важным рычагом для обеспечения безопасности нашей сквозной цепочки поставок.

Действительно, космос становится новой кибер-ареной для противостояния. Как и все продукты, спутники являются целями; однако в Airbus создана специальная организация по безопасности продукции, чтобы защищать спутники от угроз на протяжении всего жизненного цикла изделия, обеспечивать соответствие нормативным требованиям и удовлетворять запросам заказчиков.

В то же время, среди всех продуктов Airbus космические системы обладают своей спецификой, поскольку безопасность должна обеспечиваться с самого начала — от концепции и проектирования до эксплуатации на орбите. Поскольку космос становится новой ареной противостояния, Airbus анализирует и предвосхищает все новые угрозы, чтобы гарантировать максимально возможную устойчивость этих космических аппаратов.

Наиболее значительные трудности, с которыми сталкиваются подрядчики оборонно-промышленного комплекса, связаны с переходом от «формального соответствия» (письменных политик) к «внедрению безопасности в операции» — то есть к превращению этих политик в проверяемую, постоянно отслеживаемую часть повседневной деловой и IT-деятельности. Этот разрыв часто сосредоточен в трех основных областях:

  • Поддержание базовой кибергигиены и автоматизация непрерывного мониторинга безопасности
  • Точное определение границ и периметра для информации ограниченного распространения (т.е. конкретных систем, компонентов и персонала, которые обрабатывают, хранят или передают такие данные) и формирование проверяемых объективных доказательств
  • Ошибочное восприятие соответствия требованиям как разового IT-проекта при отсутствии постоянной поддержки со стороны руководства.

Но помимо этих трудностей мы видим, насколько сложно подрядчикам ОПК соответствовать различным (и иногда не согласованным на международном уровне) рамкам кибербезопасности.

Обеспечение безопасности искусственного интеллекта в оборонных системах, таких как целеуказание и обнаружение угроз, ограничено незрелостью современных моделей валидации; несмотря на широкое использование термина «красное командирование», существует фундаментальный недостаток стандартизированных, системных методологий, необходимых для тестирования всей операционной архитектуры против сложных угроз.

Мы обычно сосредотачиваемся на отдельных моделях, а не на системе в целом: текущее красное командирование часто узко фокусируется на модели машинного обучения изолированно (например, тестирование на враждебные входные данные, такие как инъекция промпта в модель компьютерного зрения). Часто упускается из виду более широкий контекст «системы систем» — сложное взаимодействие между моделью, датчиками, конвейерами данных, каналами связи и интерфейсом оператора. Уязвимость в любом из этих элементов может привести к системному сбою.

Узнать подробнее:

  • Директор по информационной безопасности United Airlines о формировании устойчивости, когда сбои неизбежны
  • Директор по информационной безопасности Southwest Airlines о борьбе с киберрисками в авиационной отрасли
  • Впереди кибертурбулентность: авиакомпании готовятся к кризису безопасности
  • Что делает системы аэропортов и авиакомпаний столь уязвимыми для атак?
Supply Chain SecurityThreat IntelligenceAI Security TestingAerospace CybersecurityGeopolitical Risk