Cyberincidenten stellen de veerkracht van wereldwijde luchtvaartmaatschappijen op de proef

Cyberincidenten testen de veerkracht van wereldwijde luchtvaartmaatschappijen

Door Danny Bradbury • 15 July 2025

De volgende keer dat u rustig door het gangpad van een vliegtuig wandelt, denk dan eens aan het ongelooflijke werk dat u daar heeft gebracht, van vliegtuigbouwkunde tot de operators die te allen tijde meer dan 5,000 vliegtuigen in de lucht houden. De luchtvaartindustrie staat voor verbijsterende uitdagingen.

De afgelopen decennia hebben ze met nog iets anders te maken gehad: cyberdreigingen. Vorige maand zagen we enkele voorbeelden van wat er gebeurt als indringers hun systemen binnendringen.

Drie cyberaanvallen in één maand

Begin juni realiseerde Westjet, een van Canada's populairste luchtvaartmaatschappijen, zich voor het eerst dat er iets mis was met zijn systemen. Het bedrijf was getroffen door een cyberincident, waardoor gebruikers niet meer konden inloggen op de website en mobiele app.

Westjet heeft het probleem snel aangepakt, zoals het in zijn persbericht gedetailleerd heeft beschreven. adviespagina in de daaropvolgende dagen. Dit was echter geen op zichzelf staand incident. De luchtvaartmaatschappij was een van de drie die het slachtoffer werden van aanvallen. Ook Qantas en Hawaiian Airlines werden getroffen.

Hawaiian Airlines ontdekte op 23 juni zelf een inbreuk en maakte dit drie dagen later bekend via een bondige boodschap op haar website. De vluchtschema's waren operationeel en het reizen van gasten werd niet beïnvloed, aldus de website.

Toen was Australië aan de beurt. Luchtvaartmaatschappij Qantas zag ongebruikelijke activiteit op een platform van een derde partij dat door het callcenter werd gebruikt. De aanvaller wist namen, adressen, telefoonnummers, geboortedata en frequent flyer-nummers van klanten te stelen.

Op 2 juli, Qantas bepaald dat het de servicegegevens van zes miljoen klanten op het platform had en verwachtte dat het aandeel gestolen gegevens "aanzienlijk" zou zijn. De dieven kwamen er echter niet mee weg met de betalingsgegevens, voegde het eraan toe.

Deze aanvallen lijken gecoördineerd. Scattered Spider, de dreigingsgroep die ook verantwoordelijk wordt geacht voor de aanvallen op het MGM Grand Casino en, meer recent, Marks & Spencer, had zijn aandacht gericht op de luchtvaartsector, waarschuwde de FBI.

Volgens het Bureau maakt de criminele groep misbruik van werknemersaccounts door helpdesks te bezoeken en zich voor te doen als werknemers of contractanten. Vervolgens probeert de groep operators ervan te overtuigen hen accounttoegang te geven. Vervolgens overtuigt de groep die operators er vaak van om MFA-toegang aan de accounts toe te voegen, waardoor de legitieme gebruikers worden buitengesloten. Bronnen geven aan dat de aanvallen op de luchtvaartmaatschappijen het werk van deze groep lijken te zijn.

Een decennium van digitale turbulentie

Het is niet de eerste keer dat een luchtvaartmaatschappij te maken krijgt met een cyberaanval. In 2015 werd de Poolse luchtvaartmaatschappij LOT getroffen een DDoS-aanval ondergaan Hierdoor kon er geen vluchtplan worden opgesteld, waardoor 1,400 passagiers gestrand raakten en 20 vluchten werden geannuleerd.

Drie jaar later kaapten aanvallers British Airways door een BA-netwerkaccount te hacken dat was toegewezen aan een medewerker van vrachtafhandelingsbedrijf Swissport. Door een gebrek aan MFA konden de aanvallers het account hacken en een kwetsbaarheid in Citrix misbruiken om toegang te krijgen tot het bredere BA-netwerk. Van daaruit kregen ze toegang tot de inloggegevens van een Windows-domeinbeheerdersaccount dat in platte tekst was opgeslagen. De aanvaller, Magecart, plaatste JavaScript op de website van de luchtvaartmaatschappij en stola de betaalkaartgegevens van 380,000 klanten. BA ontsnapte aan een boete van £20 miljoen, een verlaging van £183 miljoen.

Incidenten als deze komen zo vaak voor dat ze de reputatie van de luchtvaartindustrie hebben aangetast. Beveiligingsmanagementsoftwarebedrijf Security Scorecard geeft De sector krijgt een 'B' voor cybersecurity. Dat is geen onvoldoende, aldus de organisatie, maar het zorgt er wel voor dat bedrijven in deze sector bijna drie keer meer kans hebben op een inbreuk dan bedrijven in sectoren met een A-beoordeling.

Toezichthouders nemen kennis

Dat is geen wonder, gezien het enorme aanvalsoppervlak van de meeste luchtvaartmaatschappijen. Niet alleen administratieve systemen vormen een doelwit. Ook operationele systemen, variërend van apparatuur op de luchthaven tot apparatuur aan boord, worden bedreigd.

De meeste inbreuken op de luchtvaart zijn administratief van aard en richten zich op passagiers- en betalingsgegevens in plaats van op de vliegtuigen zelf. De situatie zou echter veel ernstiger worden als iemand zich zou richten op operationele technologie in vliegtuigen tijdens de vlucht. Tot nu toe waren dergelijke hacks meestal proof-of-concept-tests. Toezichthouders nemen echter nog steeds preventieve maatregelen. De FAA voorgestelde nieuwe regels vorig jaar om vliegtuigsystemen te beschermen.

De Amerikaanse Transportation Security Administration (TSA) opgelegd nieuwe cyberbeveiligingsregels voor luchthaven- en vliegtuigexploitanten in 2023, inclusief vereisten voor netwerksegmentatie. De EU gepubliceerde Uitvoeringsverordening (EU) 2023/203 (Deel-IS) in oktober 2022, die regels schetst voor het identificeren en beheren van beveiligingsrisico's binnen luchtvaartorganisaties. Deze treedt dit jaar in werking.

Het bouwen van veerkrachtige luchtvaartoperaties

Wat kunnen luchtvaartmaatschappijen doen om zich te beschermen tegen toenemende cyberrisico's? Hoewel de regelgeving sectorspecifiek is, hebben toezichthouders in sommige gevallen de moeite genomen om overlapping met ISO 27001Hoewel organisaties in de luchtvaartindustrie mogelijk extra werk moeten verrichten om te voldoen aan de specifieke eisen voor luchtvaartveiligheid die in Deel IS zijn uiteengezet, zijn ze desondanks ‘consistent en afgestemd op ISO-IEC 27001' volgens het Agentschap voor de veiligheid van de luchtvaart van de EU (EASA).

De beveiligingsmaatregelen die luchtvaartmaatschappijen moeten nemen, zijn geen hogere wiskunde. De TSA richt zich op netwerksegmentatiebeleid en toegangscontrole om te voorkomen dat indringers uw netwerk binnendringen. Ook worden er waarschuwingen gegeven om software te patchen. Dergelijke aanbevelingen komen zelfs vaker voor dan wachtrijen bij het toilet op een lange vlucht.

Net als niet roken in het vliegtuig, is het implementeren van goede cybersecuritypraktijken in luchtvaartnetwerken onontkoombaar. Het stelen van passagiersaccountgegevens is al erg genoeg, maar zonder effectieve bescherming kunnen de gevolgen van een meer gecoördineerde aanval door een operator die niet uit is op winst, veel erger zijn.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 23 oktober 2025

Waarom het onderzoek van de FTC naar chatbots zorgen zou moeten baren bij B2B-bedrijven

Waarom het chatbotonderzoek van de FTC B2B-bedrijven zorgen zou moeten baren

September was een keerpunt voor voorstanders van AI-ethiek. De FTC vaardigde Sectie 6(b)-bevelen uit aan zeven grote techbedrijven die chatbots produceren...

Danny Bradbury

Cyber security 7 oktober 2025

Safe Harbor Review betekent dat alles voorlopig gewoon doorgaat

September was een keerpunt voor bedrijven in Europa die data wilden delen met de VS. Het Gerecht van de Europese Unie verwierp een bezwaar...

Danny Bradbury

Cyber security 23 September 2025

Wanneer oude systemen falen: lessen uit de inbreuk op de federale rechtbanken

Cyberaanvallen vinden dagelijks plaats, maar sommige zijn bijzonder huiveringwekkend. Een aanval deze zomer op het Amerikaanse rechtssysteem had iedereen kippenvel moeten bezorgen...

Danny Bradbury