Aviation Security: উড়োজাহাজ এবং এভিয়েশন সেক্টরের সাইবার নিরাপত্তা ব্যবস্থা!

Aviation cybersecurity বুঝতে গেলে প্রথমে এই ecosystem-এর components-গুলো বুঝতে হবে।

Aircraft Systems: Modern commercial aircraft, বিশেষ করে Boeing 787 এবং Airbus A350 generation, "fly-by-wire" এবং extensive networked computer system-এর উপর নির্ভরশীল। Flight Management System (FMS), Avionics, Electronic Flight Bag (EFB), Aircraft Communications Addressing and Reporting System (ACARS), এবং In-Flight Entertainment (IFE)—সবই complex software systems।

Air Traffic Control (ATC): Ground-based radar, communication system, এবং automation tool যা ATM (Air Traffic Management) সম্পন্ন করে। FAA-এর NextGen, EUROCONTROL-এর SESAR—এসব modernization initiative ATC-কে আরো digital এবং network-dependent করছে।

Airport Infrastructure: Check-in, baggage handling, security screening, boarding gate, perimeter security, lighting, fuel system—সবই networked।

Airlines IT: Reservation system, frequent flyer database, crew scheduling, maintenance system, flight planning।

Communication Systems: VHF voice, HF voice, CPDLC (Controller Pilot Data Link Communications), ATN (Aeronautical Telecommunication Network), SATCOM।

Navigation Systems: GPS, ILS (Instrument Landing System), VOR, GBAS, ADS-B (Automatic Dependent Surveillance-Broadcast)।

প্রতিটি component-এই বিভিন্ন cyber threat profile।

Modern aircraft-এ একাধিক network domain থাকে different criticality level-এর সঙ্গে। ARINC 664 / AFDX (Avionics Full-Duplex Switched Ethernet) standard অনুযায়ী একটি typical Boeing 787-তে চারটি domain:

1. Aircraft Control Domain (ACD): Most critical—flight control, autopilot, engine control। Strict isolation।
2. Airline Information Services Domain (AISD): Operational data, maintenance information, charts।
3. Passenger Information and Entertainment Services Domain (PIESD): IFE, Wi-Fi for passenger, USB charging port।
4. Passenger-Owned Devices (POD): Bring-your-own-device territory।

এই domain-গুলো physically এবং logically separated হওয়ার কথা। কিন্তু ২০১৫ সালে Chris Roberts-এর Boeing 737-এর IFE-via-USB hack এবং পরবর্তী investigation-এ এই separation কতটা strict সে সম্পর্কে প্রশ্ন উঠেছে। FBI-এর search warrant অনুযায়ী Roberts দাবি করেছিলেন তিনি IFE থেকে engine control system access করেছিলেন—Boeing strongly denied।

২০১৯ সালে IOActive-এর Ruben Santamarta SATCOM (Satellite Communication) terminal-এ vulnerability প্রকাশ করেছিলেন যা ground থেকে aircraft-এর SATCOM unit compromise সম্ভব করত।

ADS-B (Automatic Dependent Surveillance-Broadcast) modern air traffic surveillance-এর backbone। Aircraft তাদের position, altitude, velocity—GPS-এর ভিত্তিতে—broadcast করে। ATC এবং অন্যান্য aircraft এই data receive করে।

কিন্তু ADS-B-এর design-এ একটি critical flaw আছে: কোনো authentication নেই। যে কেউ একটি cheap SDR (Software-Defined Radio) দিয়ে ADS-B message receive বা transmit করতে পারে।

Ghost Aircraft Injection: Attacker fake ADS-B message broadcast করে non-existent aircraft তৈরি করতে পারেন ATC display-এ। এটি সম্ভাব্যভাবে operational disruption ঘটাতে পারে।

Aircraft Spoofing: একটি existing aircraft-এর message manipulate বা suppress করা।

Tracking Privacy: যেকোনো ব্যক্তি কোনো aircraft-কে globally track করতে পারেন। FlightRadar24, ADS-B Exchange-এর মতো service এই উপর built।

GPS spoofing-ও একটি serious threat। Russia, Iran, এবং অন্যান্য region-এ commercial pilot-রা bizarre GPS reading report করেছেন—aircraft hundreds of mile দূরে দেখাচ্ছে। Black Sea, Persian Gulf, Eastern Mediterranean region-এ এই incident বেড়েছে। OPSGROUP-এর তথ্য অনুসারে ২০২৩-২০২৪-এ commercial aviation-এ GPS spoofing incident সাংঘাতিক বেড়েছে।

Air Traffic Control system-এর cybersecurity একটি ক্রমবর্ধমান উদ্বেগের বিষয়। Most ATC system legacy infrastructure—কিছু এখনও ১৯৭০-এর design philosophy-তে চলে। Modernization slowly happening কিন্তু legacy support প্রয়োজনের কারণে fully secure design transition কঠিন।

Voice Communication: VHF এবং HF voice—যা pilot এবং controller-এর মধ্যে primary communication—সম্পূর্ণ unencrypted। যে কেউ scanner দিয়ে শুনতে পারে, এবং একটি transmitter দিয়ে spoofed message inject করতে পারে।

CPDLC: Text-based communication যা voice-এর সঙ্গে চলে। FANS-1/A এবং ATN-B1-এ message integrity-এর জন্য কিছু provision আছে, কিন্তু modern cryptographic standard নয়।

ATC Network: FAA-এর internal network—NAS (National Airspace System)—একটি extensive network। ২০১৪ এবং ২০১৬-এ unauthorized access incident report হয়েছে। ২০২৩ সালে FAA NOTAM system outage-এর জন্য damaged database file দায়ী, কিন্তু এটি system-এর fragility প্রকাশ করেছে।

Airport Systems: Baggage handling, jet bridge, fuel pumping, lighting—সবই IT system-এ depend। Ground stop-এর জন্য একটি airport-এর IT compromise যথেষ্ট। ২০২৩-এ Frankfurt, Berlin সহ multiple European airport-এ ransomware বা DDoS attack-এর কারণে disruption।

Airline-এর passenger-facing IT system regular cyber attack-এর target।

British Airways (২০১৮): Magecart attack-এর মাধ্যমে ৪২৯,০০০ customer-এর payment card details চুরি। GDPR-এর under £20 million fine।

Cathay Pacific (২০১৮): ৯.৪ মিলিয়ন passenger-এর data breach—passport number, ID, frequent flyer info।

EasyJet (২০২০): ৯ মিলিয়ন customer-এর data এবং ২,২০৮ credit card detail চুরি।

Air India (২০২১): SITA (একটি aviation IT provider) supply chain attack-এর কারণে ৪.৫ মিলিয়ন passenger-এর data leak।

SITA Breach (২০২১): এই incident-এ Lufthansa, Singapore Airlines, Cathay Pacific, Malaysia Airlines সহ multiple airline-এর passenger data affected। এটি aviation supply chain-এর interconnectedness প্রকাশ করেছে।

প্রতিটি case-এ root cause varied—কখনো web application vulnerability, কখনো third-party provider compromise, কখনো insider threat।

ACARS (Aircraft Communications Addressing and Reporting System) aircraft এবং ground-এর মধ্যে digital message exchange-এর জন্য ব্যবহৃত। Position report, OOOI (Out, Off, On, In) timing, fuel data, এবং occasionally critical operational message।

ACARS-এর design সম্পূর্ণ unencrypted। যে কেউ একটি VHF receiver বা ACARSDeco2 software দিয়ে message intercept করতে পারে। গবেষকরা প্রমাণ করেছেন:

• ACARS Spoofing: Fake message inject করে false weather data, fuel report, এবং অন্যান্য operational data manipulate করা সম্ভব।
• Message Manipulation: Pilot-এর জন্য fake routing instruction বা bogus weather information। যদিও critical command voice confirmation দাবি করে, distraction এবং confusion ঘটানো সম্ভব।

ATN (Aeronautical Telecommunication Network) আধুনিক বিকল্প যা better security feature প্রদান করে, কিন্তু global adoption slow।

Aviation cybersecurity নিয়ন্ত্রণে কয়েকটি major framework।

ICAO: Annex 17 traditionally physical security cover করত। Annex 17 amendment-এ এখন cybersecurity provision যোগ হয়েছে। Doc 8973—Aviation Security Manual—এ cybersecurity guidance।

EASA Part-IS: European Union Aviation Safety Agency-এর Information Security regulation। ২০২৬ থেকে fully applicable। সব EU-based aviation organization-কে cybersecurity management system maintain করতে হবে।

FAA: US Federal Aviation Administration-এর কয়েকটি advisory circular, এবং বর্তমানে Part 121 এবং Part 135 operator-দের জন্য emerging cybersecurity requirement।

TSA: Security Directives via Information Circular—post-Colonial Pipeline incident-এর পরে TSA aviation sector-এর জন্য specific cybersecurity requirement issue করেছে।

ISA (International Air Transport Association): Industry standard এবং voluntary best practice।

ED-202/DO-326A: Airworthiness Security Process Specification—aircraft certification-এর জন্য cybersecurity consideration।

Unmanned Aircraft System (UAS) বা drone aviation security-এ একটি নতুন challenge যোগ করেছে। Heathrow এবং Gatwick airport-এ drone sighting-এর কারণে operation suspension—২০১৮-এ Gatwick incident-এ ১,০০০-এর বেশি flight cancelled হয়েছিল।

Drone-এর সঙ্গে aviation cybersecurity-এর intersection multi-dimensional:

• Airspace Intrusion: Drone aircraft-এর সঙ্গে collision risk।
• Drone Hijacking: Adversary drone-কে hijack করে weaponize করতে পারে।
• Counter-Drone Systems: GPS spoofing, RF jamming-এর মাধ্যমে drone neutralize—কিন্তু এসব technique normal aircraft-কেও impact করতে পারে।

আধুনিক commercial aircraft-এ Inmarsat-এর GX Aviation, Gogo-এর 2Ku, এবং Viasat-এর system-এর মাধ্যমে in-flight Wi-Fi এবং operational SATCOM প্রদান করা হয়। এসব system aircraft এবং ground-এর মধ্যে high-bandwidth communication enable করে।

Security implication:

• Passenger Wi-Fi থেকে Aircraft System Access: Theoretically domain separation prevent করে, কিন্তু configuration error possible।
• SATCOM Terminal Vulnerability: IOActive-এর research SATCOM terminal firmware-এ multiple critical vulnerability প্রকাশ করেছে।
• Satellite-side Compromise: Service provider-এর backend compromise লাখ লাখ flight-এ communication affect করতে পারে।

Cobham, Iridium, Inmarsat-এর equipment-এ historically vulnerability discovered হয়েছে এবং patch করা হয়েছে।

Polish Airline LOT (২০১৫): Ground operations system-এ DDoS attack-এর কারণে ১০টি flight cancelled, ১,৪০০ passenger affected। Flight plans generate করতে পারছিল না।

Boryspil International Airport, Ukraine (২০১৭): NotPetya-এর collateral damage—malware passenger display screen affect করেছিল।

Russian GPS Jamming (Ongoing): Eastern Europe-এ commercial aviation-এর জন্য consistent GPS jamming এবং spoofing report। Baltic states, Finland—সবাই formal complaint জমা দিয়েছে।

KLM/Air France-KLM Group (২০১৯): Customer service via Facebook Messenger-এ data exposure।

Pearson Airport, Toronto (২০২৩): WestJet partial outage cybersecurity incident সন্দেহে।

প্রতিটি ক্ষেত্রে impact bounded ছিল, কিন্তু catastrophic potential clearly demonstrated।

Aviation cybersecurity-এর future কয়েকটি direction-এ যাচ্ছে।

Security by Design: Future aircraft program (Boeing 777X, Airbus A321XLR, China-এর COMAC C919)-এ cybersecurity initial design phase থেকে integrated। ED-202/DO-326A compliance mandatory।

Cyber Information Sharing: A-ISAC (Aviation Information Sharing and Analysis Center) industry-wide threat intelligence sharing। EU-তে similar initiative।

SOC এবং Incident Response: Major airline এবং airport-এর dedicated cybersecurity operations center। ২৪/৭ monitoring এবং rapid response।

Penetration Testing: Boeing, Airbus, এবং major airline regular pen-testing করে both ground systems এবং aircraft system-এ। যদিও practical reason-এ in-flight testing rare, simulator-based এবং ground-based testing routine।

Supply Chain Security: Tier-1 এবং tier-2 supplier-দের কাছ থেকে cybersecurity attestation। SBOM requirement।