通往网络弹性航空业的途径（英文）

与德勤合作通往网络弹性航空业的途径I N S I G H T R E P O R TA P R I L 2 0 21 通往具有网络弹性的航空的途径行业2图片：盖蒂图片社内容1COVID-19时代的发展状况61.11.22增强整个行业网络弹性的障碍102.12.2价值链的复杂性增加了12模棱两可的问责制2.32.43网络抗灾能力的推荐途径153.13.23.3词汇表28©2021世界经济论坛。版权所有。本出版物的任何部分均不得以任何形式或通过任何方式（包括影印和录制）或通过任何信息存储和检索系统进行复制或传播。 通往具有网络弹性的航空的途径行业3前言刘芳国际民政秘书长航空组织帕特里克·凯（Patrick Ky）欧洲航空安全局执行董事自2005年以来，国际民航组织（ICAO）一直走在应对民航网络威胁的最前沿。我们领导了国际标准和建议措施和指导材料的开发，支持通过了几项重要的国际声明，支持了我们的会员各国在正式确定两项国际民航组织大会决议的过程中，并制定了《航空网络安全战略和行动计划》。航空网络安全战略和行动计划构成了一个全面的框架，使州和利益相关者在完善全球，稳健的基础上可以更有效地进行协作跨民航领域的网络安全和网络弹性的整体方法。世界经济论坛关于航空网络抵御能力的工作补充了国际民航组织领导的这些全球努力，是基础广泛的国际会议的重要性的另一个很好的例子。公共和私人利益相关者之间的合作。国际民航组织很高兴为这份报告做出贡献，该报告强调了我们组织与论坛之间的持续合作。我们还期待着在解决这一重要问题时促进所有利益相关者之间的合作与协作，以确保全球民航部门的持续安全，保安，效率和可持续性。全球民航生态系统正在加速走向更多数字化。这意味着航空界需要的任何数字工作流程中的任何信息交换能够抵御信息安全威胁，这些信息威胁对飞行安全或空域的可及性产生影响。欧盟航空安全局（EASA）正在通过设计新的数字工作流程（例如用于颁发许可证，批准和认证），并与全球航空界和欧洲战略协调平台（ESCP）进行协商。它还正在制定新的欧盟规则，以在所有航空领域中以全面，标准化的方式应对信息安全风险。为了强调EASA的承诺，其相关活动记录在该机构的工作计划中，并与参与国协调进行。尼克·卡伦（Nick Careen）国际航空运输协会货运，旅客和安全部门高级副主席机场Eamonn Brennan EUROCONTROL总干事航空业日益数字化，但过去一年COVID-19大流行使我们的行业瘫痪，这意味着可用于网络投资的资金将大大减少弹力。网络犯罪分子已经能够利用这一弱点。我们很高兴为世界经济做出了贡献论坛倡议旨在支持航空业变得更具网络弹性，并能够抵抗当今和未来的网络威胁。2020年是毁灭性的一年。大流行使航空业陷入僵局，但对网络犯罪却产生了相反的影响。许多专家报告了在此期间网络攻击的增加。这种上升趋势要求采取史无前例的行动来解决和建立公司和互连系统的弹性。合作是我们最大的保护措施，我希望这份报告将引发必要的讨论和行动，以在不断发展的技术生态系统中建立我们的网络弹性。 通往具有网络弹性的航空的途径行业4前言乔治·德·莫拉世界经济论坛网络安全中心行业解决方案负责人劳伦·乌平克世界经济论坛航空，旅游业主管杰夫·威德（Geoff Wylde）领导，物联网与城市转型克里斯·沃登克（Chris Verdonck）比利时德勤合伙人长期以来，航空业一直以其无懈可击的安全记录而倍受赞誉，这表明航空业可以通过全球合作，标准和治理来共同努力，以确保其人员和客户的最大责任和安全。在传感器和嵌入式计算系统（“物联网”）激增的推动下，第四次工业革命促成了信息技术（IT）和运营技术（OT）的融合。由于我们复杂基础设施和工业生态系统的不同部分之间建立了数字连接，因此，速度，生产力和协作已达到了新的水平引入，隐藏和复杂的风险也随之出现。随着航空业的指数级增长，数字化转型已使威胁面越来越大，必须立即解决这一问题。为了利用这一机会并减轻潜在风险，社会必须重新构想我们如何使用和管理关键基础设施。这包括了解我们的个人行动如何影响集体并建立共同责任的框架。尽管该行业已从COVID-19大流行中遭受了巨大冲击，但在提供获得经济和社会利益方面，它仍然是最关键的行业之一。随着世界的增长日益复杂的行业必须防范日益增多的威胁。世界经济论坛继续与其航空业利益相关者合作，以确保航空业的利益在世界范围内越来越可及，而这不能不确保其长期弹性和可持续性而做到。为此，必须预见并减轻所有形式的风险，无论是自然的，与气候相关的风险还是自然的网络风险。考虑到这一点，论坛与德勤（Deloitte）和一个多利益相关方社区合作，以提高航空部门的网络弹性，并帮助确定，衡量和塑造减轻关键网络中普遍采用技术的网络风险的方法。这项工作是航空界内部继续合作的起点，也是其他行业和生态系统可借鉴的典范。该报告是朝着使航空安全界的利益和行动保持一致的重要一步，以确保在大流行的灾难性影响下恢复和重建网络安全时，将其纳入所有航空企业的战略中。没有这种流行病以前一直经历着快速发展的行业带来的压力，但历经艰辛，却为航空业提供了一个机会窗口，可以重新设计其系统，使其在面对另一场危机时能适应未来的需求和困难。 通往具有网络弹性的航空的途径行业5执行摘要通过全球合作和多方利益相关者的动员，将增强航空业的网络弹性。航空运输是至关重要的行业，它为经济发展和生活水平的提高做出了巨大贡献。航空业在商业，贸易和运输基础设施中的作用使其成为全球经济必不可少的。的后果任何重大的技术或组织故障都会直接对公共安全和国家安全造成影响和成本。由于COVID-19大流行，到2020年国际旅行几乎完全停滞不前，航空业遭受了灾难性的一年。与2019年相比，全球客运量下降了65.9％。国际客运需求量下降了75.6％，国内需求量比2019年下降了48.8％。在2021年，航空部门将在运输疫苗方面发挥至关重要的作用-这是其历史上最大的单一运输挑战。在这次备受瞩目的战役中，航空网络和与疫苗分销供应链相关的其他部门很可能会受到大量有针对性的对抗性网络活动的影响。1最近发生的COVID-19大流行提醒人们，灾难性冲击的发生频率和严重性最近都在增加，并且在未来建立更大的应变能力已成为我们时代的决定性任务。根据世界经济论坛的《 2021年全球风险报告》，2 网络安全失败和技术治理失败是全球中期中期主要威胁。我们对数字基础架构的依赖程度不断提高，以及新兴技术的迅速采用，进一步加剧了脆弱性，并加剧了国家，行业和企业之间的治理实践中的不平等现象。为了确保航空业能够更好地应对未来的冲击，制定两个并发的弹性策略至关重要–两者都在公司和整个生态系统的层面。航空组织将需要：–在更广泛的企业和生态系统的弹性范围内考虑网络风险，当他们越来越依赖互联网和数字渠道时，着眼于业务运营的网络和物理要素–采用弹性思想来控制他们如何应对任何重大网络事件并从中恢复，以扩展其针对安全和物理安全事件的稳健的应急响应做法该报告呼吁企业领导人，监管机构和政策制定者，网络安全从业人员和技术提供商采取行动。它旨在定义一种通用语言，以鼓励采取集体行动来提高整个生态系统的网络弹性。第一步是建立一个包容性框架，以适应航空生态系统中各种参与者的不同监管要求。它必须同时维持强大的安全基准，以确保安全和安全的旅行。该计划中的基准测试将提高整个航空数字生态系统中网络风险管理和治理实践的可见性和透明度，并可以引领进一步改进的道路。 通往具有网络弹性的航空的途径行业6COVID-19时代的发展状况随着世界从大流行中摆脱出来，网络安全必须仍然是保护航空最重要资产的优先事项。1 通往具有网络弹性的航空的途径行业7网络弹性可以定义为：“对使用或由网络资源启用的系统进行不利条件，压力，攻击或折衷的预期，承受，恢复和适应的能力”。3不能低估COVID-19对民用航空的影响。与大流行前的数字相比，2021年1月，欧洲空中航行安全组织（EUROCONTROL）在其41个成员国的网络中记录了民用航班下降64％。同样，美国和中东的国际航班分别下降了45％和57％。由于收入突然持续下降，资金和资源分配不断重新设置优先级以实现业务连续性。这大规模采用远程访问技术以实现在家工作的方式，并且更多地依赖数字服务，这使公司能够在社会疏离和政府和/或在家定单的情况下继续运营并降低成本雇主。它还正在重塑数字景观和架构，同时使供应链的弹性和网络安全运营面临不断升级的风险。4外部因素的组合可能会影响航空业生态系统的关键功能，包括其网络弹性。图1突出显示了对全球航空生态系统的网络弹性的潜在威胁。数字 1COVID-19大流行对航空业的影响居家办公快速上升的社会工程学攻击供应链中模棱两可的问责制快速创新关键基础设施服务依赖性增加恶意行为者使用随着供应链的增加快速数字化可能关键基础设施在手机上（个人）越来越复杂缺乏复杂性导致组织服务仍在设备和住宅社会工程策略监督和big昧绕过风险保证急性压力和网络增加了分心问责制影响步骤，改变风险特别针对攻击面脆弱的劳动力网络弹性个人资料可能会复杂的攻击导致未知状态通过犯罪组织和民族国家演员1.1不断变化的风险状况和网络威胁态势随着更深入的性能洞察和新的连接水平，企业可以从中获得收益突破性技术带来的好处，世界正在变得更快，更灵活，更高效。这一转变正在创建一个全球生态系统，从关键基础架构资产到人员和数据，物理和数字实体之间的联系日益紧密。这些风险凸显出需要对现有威胁和新兴威胁达成共识并采取共同方法，以使行业和政府行为体能够采取适当的对策来减轻供应链安全风险。收入和网络预算在减少，网络攻击却没有。我们工作方式的突然变化，加上工作产生的紧迫感和不确定性，COVID-19大流行被证明是网络犯罪分子和民族国家行为者的沃土。网络钓鱼仍然是最常见的攻击手段之一，并且与COVID-19相关的骗局激增。在2020年进行的一项调查中根据国际机场理事会（ACI）的调查，87.2％的受访者将社会工程学作为妥协的最大载体。5 此外，针对特定目标的网络钓鱼电子邮件–诸如首席执行官，财务部门和采购团队之类的人员日益成熟。在过去两年中，针对企业的勒索软件活动激增，2019年的检测数量增加了365％。6其他目标包括关键基础设施提供商，例如医院，电力公司和机场。生命的丧失是间接的结果。此外，对医院的此类攻击可能会损害公众信任，并造成重大的经济和声誉损失。 通往具有网络弹性的航空的途径行业82021年2月，一家提供航空客运服务系统的主要信息技术公司证实受到高度复杂的网络攻击的打击。该公司表示，为全球约90％的航空业提供IT系统，其美国服务器受到了威胁。7攻击的完全影响尚不清楚，但是，预计将有数百万乘客受到影响。根据现有数据，攻击指向共同努力，以与关键基础设施提供商相关的全球供应链为目标。COVID-19疫苗分配国防，重要的紧急服务和关键基础设施在很大程度上依赖于航空业，并期望其迅速改变方向。航空在分发COVID-19疫苗中的作用完美地说明了对灵活性和弹性的需求。要调整COVID-19疫苗的运送范围和规模，需要对可用的温度控制设施进行准确的评估。它需要足够的合格人员来监视能力并保证疫苗的完整性。此外，必须扩大现有的安全协议，以保护贵重商品免遭盗窃和潜在篡改。所有过程都依赖于足够和可靠的数据共享。除了传统上与航空业相关的参与者，例如航空公司，机场，飞机制造商和空中航行服务提供商–航空生态系统还包括较少可见的区域演员。通过收购和建立伙伴关系，通常与其他行业相关的参与者在航空生态系统的更广泛的价值和供应链中扮演着不可或缺的角色。数字 2航空生态系统的广度和复杂性9275364110811生态系统参与者1飞机场2航空公司3工程与维护4空中航行服务提供者5政府机构6制造业7军用航空8旅游公司9卫星提供商10电信供应商11IT-OT提供商资料来源：德勤 通往具有网络弹性的航空的途径行业91.2盘点关键行业计划在一个无法解决的风险可能对个人安全以及组织的声誉和财务损失产生重大影响的行业中，人们早就确定了需要系统性方法应对网络风险的需求