Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-8810

van Martine Taelman (Open Vld) d.d. 19 april 2013

aan de staatssecretaris voor Leefmilieu, Energie en Mobiliteit, toegevoegd aan de minister van Binnenlandse Zaken en Gelijke Kansen, en staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister

Vliegtuigen - Computersystemen - Hacking - Beveiliging - Maatregelen

veiligheid van het luchtverkeer
computercriminaliteit

Chronologie

19/4/2013 Verzending vraag
10/9/2013 Antwoord

Vraag nr. 5-8810 d.d. 19 april 2013 : (Vraag gesteld in het Nederlands)

Een Spaanse beveiligingsonderzoeker ontdekte dat het mogelijk is de computersystemen aan boord van vliegtuigen voor de burgerluchtvaart op afstand te hacken. Daarvoor kan het radioverkeer tussen vliegtuigen en grondstations worden misbruikt. De luchtvaartindustrie zou te weinig nagedacht hebben over ict-beveiliging.

Ik had dan ook volgende vragen:

1) Mijnheer de staatssecretaris, hoe reageert u op deze wel zeer verregaande veiligheidsrisico's van ons luchtverkeer?

2) Kan u toelichten wat hiertegen wordt gedaan, al of niet in samenspraak met andere actoren en de vliegtuigmaatschappijen zelf? Bestaan er protocols?

3) Hoe oud zijn de systemen gemiddeld in vliegtuigen die onze luchthavens aandoen? Wat is de hack-gevoeligheid van deze vliegtuigen volgens u?

4) Aan welke oplossingen wordt er gewerkt en heeft u overleg met de European Aviation Safety Agency hieromtrent? Kan u gedetailleerd aangeven hoe men hackingmogelijkheden in de toekomst gaat voorkomen?

5) Welke maatregelen worden voor de korte termijn voorzien om dit probleem aan te pakken? Ik verwijs naar een suggestie van de onderzoekers wat betreft de voorlichting voor piloten om ingeval van ernstige malfuncties de automatische piloot snel uit te schakelen.

6) Heeft u weet van pogingen bij één van onze luchthavens en/of vliegtuigen die onze luchthavens aandoen om deze te hacken (verkeerstoren, luchthavensystemen, vliegtuigen)? Kan u uitvoerig toelichten?

Antwoord ontvangen op 10 september 2013 :

Het geachte lid vindt hieronder het antwoord op zijn vraag.

1. Het Directoraat-generaal Luchtvaart (DGLV) van de Federale Overheidsdienst (FOD) Mobiliteit en Vervoer en het European Aviation Safety Agency (EASA) zijn ervan op de hoogte dat een Spaanse beveiligingsonderzoeker beweerd heeft dat het Honeywell NZ-2000 vluchtbeheersysteem een beveiligingsprobleem bevat dat met een eenvoudige thuiscomputer misbruikt kan worden. Het EASA heeft echter vastgesteld dat deze techniek om te hacken, die tijdens een recente conferentie inzake computerbeveiliging met een simulatie gedemonstreerd werd, geen risico voor de vliegveiligheid inhoudt omdat deze techniek geen invloed heeft op de gecertificeerde versie van deze vluchtapparatuur. Het agentschap heeft immers aangetoond dat de versie van deze software die effectief aan boord van luchtvaartuigen geïnstalleerd wordt bijkomende beveiligingsmaatregelen bevat die deze vorm van hacking voorkomen. Ook de fabrikant van het Honeywell vluchtbeheersysteem in kwestie heeft de zaak onderzocht en kwam tot de conclusie dat “gecertificeerde vluchtbeheersystemen ontworpen en gebouwd zijn met een hoog niveau van redundantie en beveiliging”, en dat het Spaanse onderzoek “over gesimuleerde testen ging met een virtueel luchtvaartuig in een labo, wat een omgeving is die niet analoog is met die waarin de gecertificeerde luchtvaartsystemen opereren in het luchtruim”. De Spaanse beveiligingsonderzoeker heeft zelf ook toegegeven dat hij deze techniek enkel getest heeft op een simulatieprogramma van het systeem in kwestie, welke niet over dezelfde strenge beveiligingsmaatregelen beschikt als de gecertificeerde versie van dit systeem dat effectief in het luchtruim gebruikt wordt. De beschreven techniek kan het vluchtbeheersysteem van een luchtvaartuig in het luchtruim dan ook niet hacken. Om deze redenen kan een hacker met deze techniek geen “volledige controle over een luchtvaartuig” verkrijgen zoals deze Spaanse beveiligingsonderzoeker heeft beweerd.

2. Het DGLV en EASA zijn er zich van bewust dat de verder ontwikkelde ICT-technologie, en de sterke opmars van mobiele toestellen, zoals smartphones, aan boord van luchtvaartuigen, tot nieuwe risico’s kunnen leiden. In samenwerking met de luchtvaartindustrie wordt er dan ook op toegezien dat er voortdurend bijkomende beveiligingsmaatregelen ontwikkeld worden om het hoogste niveau van bescherming te blijven garanderen.

3. De software en databanken van de vluchtbeheersystemen worden elke vier weken geactualiseerd, of sneller indien vereist. Ook de apparatuur zelf kan na de initiële installatie regelmatig vervangen worden. Omwille van deze complexiteit is het niet mogelijk om de exacte ouderdom van de systemen aan boord van de luchtvaartuigen op onze luchthavens vast te stellen. Het is wel zo dat, alvorens gecertificeerd en luchtwaardig verklaard te kunnen worden, het vereist is dat deze systemen aan de meest recente verplichtingen van EASA voldoen.

4. Ik verwijs hiervoor naar het antwoord op vraag 2.

5. Gezien het vastgestelde probleem enkel misbruikt kan worden in een gesimuleerde omgeving en het niet mogelijk is om op deze manier de software en de apparatuur aanwezig in de gecertificeerde vluchtbeheersystemen te hacken, zijn er inzake dit voorval geen specifieke richtlijnen aan het vliegend personeel gegeven. Het is echter zo dat, bij een storing of een vermoeden van hacking, het vluchtbeheersysteem steeds manueel uitgeschakeld kan worden en de piloten ten allen tijde de volledige controle van het luchtvaartuig kunnen overnemen. De piloten worden al sinds de introductie van deze systemen voortdurend getraind om dergelijke situaties snel op te merken en om passend in te grijpen. Een vluchtbeheersysteem in storing, en het snel en gepast reageren daarop, is tevens een scenario dat kan voorkomen tijdens de halfjaarlijkse evaluatieproeven die elke beroepspiloot moet ondergaan.

6. Het DGLV is niet op de hoogte van enige concrete pogingen om de luchtvaartuigen op ons grondgebied, onze luchthavens of onze vliegveiligheidsinstallaties te hacken.