In de luchtvaart ligt de lat voor security hoger dan gemiddeld

David Callebaut, Chief Information Security Officer (CISO), Brussels Airlines 

Binnen de luchtvaartsector heeft cyberbeveiliging het voorbije decennium een opvallend hoge vlucht genomen. Daarvan getuigt ook de aanstelling van een Chief Information Security Officer, kortweg CISO, bij onze nationale luchtvaarttrots Brussels Airlines. Niet dat er in andere sectoren te weinig aandacht uitgaat naar de strijd tegen cybercriminelen. Alleen is het veiligheidsaspect in de luchtvaartindustrie letterlijk van levensbelang

Brussels Airlines viert dit jaar zijn twintigjarige bestaan. De nationale luchtvaartmaatschappij van België is vandaag voor honderd procent in handen van Deutsche Lufthansa AG. Als een van de vier netwerkmaatschappijen van de Lufthansa Groep verbindt ze de Europese hoofdstad vanuit Brussels Airport met meer dan 85 bestemmingen over de hele wereld, waaronder 17 in Sub-Sahara-Afrika. Het bedrijf stelt 3.200 werknemers te werk en exploiteert veertig vliegtuigen. 

Voor wie nog niet vertrouwd was met de term: wat houdt de rol van CISO precies in? 

David Callebaut: “Als CISO bij Brussels Airlines heb ik een tweeledige verantwoordelijkheid. Enerzijds ben ik lokaal, bij Brussels Airlines zelf, de eindverantwoordelijke voor alles wat met informatieveiligheid en cybersecurity te maken heeft. Dat omvat de overkoepelende strategie en alle concrete projecten die eraan gerelateerd zijn, maar ook de monitoring en de rapportering aan het lokale management. Anderzijds rapporteer ik over dat alles ook aan de Lufthansa Groep. Bij Brussels Airlines rapporteer ik dan weer aan de CIO. Zelf heb ik ook een achtergrond in ICT. Ik ben IT’er van opleiding en heb mijn eerste professionele stappen in de ICT-wereld gezet. Maar al vrij snel ben ik mijn passie voor security gevolgd. En intussen ben ik toch al bijna twintig jaar aan de slag in diverse securityfuncties.” 

Leidt u als CISO ook een eigen team waarop u kan terugvallen? 

“Jazeker. Op dit moment kan ik rekenen op een vijftal medewerkers die voltijds met security bezig zijn, vooral met security-analyses en compliancebeheer. Daarnaast kan ik steeds een beroep doen op collega’s uit het IT-team van Brussels Airlines. En dan is er nog de sterke synergie met de Lufthansa Groep. Die telt meer dan honderd securityprofielen, waaronder een aantal diepe experts. Die extra kennisbasis is best handig.” 

Als het op luchtvaartbeveiliging aankomt, is er dan ook geen enkele marge voor risico’s.

David Callebaut

Streven naar nulrisico 

In welke mate zijn cybermisdaad en cyberoorlog vandaag écht een issue in de luchtvaartsector? 

Beide gevaren gelden zeker als een hot topic binnen onze business, om de simpele reden dat wij een cruciale rol spelen in het vervoer van mensen. Als dat personenverkeer plots stilvalt, kunnen we vandaag gelukkig wel terugvallen op tussenoplossingen. Zo hebben velen van ons tijdens de pandemie op afstand leren vergaderen, via Microsoft Teams bijvoorbeeld. Maar dat zijn geen blijvende, volwaardige alternatieven. We voelen allemaal aan dat we, of het nu voor het werk is of puur voor het plezier, toch af en toe die fysieke verplaatsing moeten opbrengen. Valt die mogelijkheid weg, dan zitten we met een serieus probleem. En dan bedoel ik niet enkel wij als commerciële onderneming, maar de samenleving in haar geheel.” 

Wat zijn de belangrijkste of meest voorkomende bedreigingen voor uw organisatie? 

“Ik vermoed dat wij daarin niet zo heel veel verschillen van de meeste andere bedrijven, in België of het buitenland. De klassiekers zijn ook bij ons nog steeds phishing , ransomware en DDoS-aanvallen. Die gangbare types van bedreigingen houden ook de grootste risico’s in. Waarin wij wel verschillen van andere bedrijven en sectoren is de mogelijke impact die zo’n cyberaanval kan hebben. Als de motor van een wagen uitvalt, dan valt die wagen stil en ontstaat er in het slechtste geval een vervelende file. Als de motor van een vliegtuig uitvalt, is dat een compleet ander verhaal. Dat verklaart meteen ook waarom er in de luchtvaart zo’n sterke convergentie is tussen safety en security. Al moet ik daar meteen aan toevoegen dat het vandaag absoluut niet mogelijk is om een motor van een vliegtuig vanop afstand te beïnvloeden. De link tussen de IT-systemen en de puur operationele systemen – zoals de motoren – is er vandaag niet. De technische werking van de vliegtuigen is niet het terrein van het team dat voor informatieveiligheid bevoegd is. Maar tegelijk zijn we wel betrokken partij. We staan in voor de IT-beveiliging zodat die technische diensten hun werk kunnen doen. Of nog anders gezegd: de veiligheid van wie op een vliegtuig stapt, is niet in handen van IT’ers. In de luchtvaart primeert het fysieke beveiligingsaspect steevast op de informatie- en cyberbeveiliging. Je kan nu eenmaal niet verwachten dat klanten op een vliegtuig stappen zonder honderd procent zeker te zijn dat het toestel in kwestie veilig is. Als het op luchtvaartbeveiliging aankomt, is er dan ook geen enkele marge voor risico’s. Terwijl je binnen pakweg een ICT-omgeving wel meer risico zou toelaten of dat risico voorlopig althans zou aanvaarden, in afwachting van een oplossing.” 

Geconnecteerde wereld 

Welke evolutie baart u vandaag het meeste zorgen? 

De toegenomen connectiviteit. Tot een jaar of tien geleden was dat een non-issue: vliegtuigen waren niet verbonden met allerlei netwerken. Je kon ze dus ook niet vanop afstand benaderen – elektronisch, bedoel ik. Je moest echt al fysiek in het toestel aanwezig zijn om je ook maar enige toegang tot de boordsystemen te kunnen verschaffen. Maar het voorbije decennium is er een algemene trend ontstaan om alles met alles te verbinden, en het liefst nog via het internet. Ook de luchtvaartsector ontsnapt niet aan die dwingende evolutie. Niet alleen bij Brussels Airlines, ook op groepsniveau besteden we daarom heel veel aandacht en energie aan het beveiligen van die nieuwe, geconnecteerde omgeving. Zo zorgen we ervoor dat we op een gecontroleerde, doordachte manier meegaan in die evolutie die uiteraard ook heel wat voordelen biedt.” 

Bij de oorlog tussen Rusland en Oekraïne neemt cyberwar bij beide partijen een prominente rol in. Brengt dat een risico met zich mee voor Brussels Airlines? 

“We volgen de situatie op groepsniveau op. Momenteel zien we in het conflict geen directe bedreiging voor onze organisatie.” 

U heeft ervaring met verschillende sectoren. Is de luchtvaartsector meer begaan met security? Ligt de lat hoger? 

“Dat denk ik wel. De lat ligt hoger dan bij de gemiddelde andere industrie, wellicht met uitzondering van de financiële sector. Maar die is dan ook al heel lang slachtoffer van aanvallen.”  

Ook cyberoorlog is tekenend voor de manier waarop security evolueert. Het is de eeuwige strijd tussen aanvallers en beveiligers. 

“Klopt. In het algemeen heb ik de wereld in de loop van mijn carrière alleen maar complexer zien worden. Zowel de complexiteit van de IT-systemen als die van de bedrijfsprocessen is enorm gegroeid. En ironisch genoeg zorgt net die complexiteit er mee voor dat de spreekwoordelijke muis altijd wel ergens op een of andere manier door de mazen van het net weet te glippen. Waarop de spreekwoordelijke kat – wij dus – telkens opnieuw achter die muis aan moet. Maar ik zou liegen als ik zou beweren dat dit eeuwige kat-en-muisspel ons werk ook niet elke dag opnieuw boeiend houdt.” (lacht) 

Dries Van Damme, ICT-journalist met ruim 20 jaar ervaring. Hij publiceert onder meer in Data News en is zaakvoerder van het redactiekantoor Bureau 44. 

Meer lezen over cyberwar?