”Eihän ennenkään ole mitään sattunut” – Näin paljon lentoturmilla ja kyberhyökkäyksillä on yhteneväisyyksiä

Mikä tietoturvahaavoittuvuus on aiheuttanut lentoturman? Ei ehkä mikään, riippuen vähän tulkinnoista, mutta muuten lentoturmien tutkinnalla ja tietoturmien tutkinnalla on paljonkin yhteistä. Esimerkiksi kivat kolmikirjaimiset lyhenteet (niistä lisää tekstin lopussa).

National Geographic esittää kanavallaan sarjaa “Lentoturmatutkinta” (MayDay/Air Crash Investigation), jossa käsitellään tuhoisia lento-onnettomuuksia tai sellaisten läheltä-piti-tilanteita. Tässä blogissa tutustutaan hiukan tarkemmin lentoturmien taustasyihin ja siihen, miten lennonjohtotorni ja kyberturvallisuuskeskus eli SOC muistuttavat monellakin tapaa toisiaan.

Monimutkaiset tapahtumaketjut turmien ja hyökkäysten taustalla

Televisiosarjan jaksoissa kuvataan ensin varsinainen rekonstruoitu tapahtuma yleisellä tasolla lopputuloksineen. Lentoturmien seuraukset ovat usein varsin järkyttäviä, mutta sarja ei mässäile seurauksilla. Lähestymistapa on pragmaattinen ja keskittyy turmaan johtaneisiin tapahtumiin.

Turman yleiskuvauksen jälkeen kerrotaan sen tutkinnan etenemisestä. Joissakin jaksoissa tapahtumien kuvaamiseen käytetään myös turmasta selvinneiden aitoja haastatteluja. Tutkinnan kuvaus on kiinnostavaa seurattavaa, eikä sitä onneksi ole dramatisoitu liikaa, vaikka toki “mustien laatikoiden” löytyminen esitetään aina päivän pelastavana tapahtumana.

Pääsääntöisesti lähes jokaiseen turmaan löytyy selitys, mutta joissakin tapauksissa ilmaan jää virallisen selityksen kanssa kilpailevia teorioita, joiden elinkaari myös kuvataan siltä osin kuin se on mahdollista.

Mikä tekee sarjasta mielenkiintoisen tietoturva-ammattilaisen näkökulmasta?

Lentoturmien ja tietoturmien tutkinnassa on paljon yhtäläisyyksiä:

• Juurisyytä metsästetään joskus hyvinkin monimutkaisen tapahtumaketjun taustalta. Yhteistä on myös se, että turmaan on harvoin yhtä ainoata syytä. Klassisen “inhimillisen virheen” taustaltakin löytyy yleensä useita muita tekijöitä, jotka yhtä aikaa toteutuessaan ovat johtaneet inhimillisen virheen tekemiseen.
   
• Lähes aina turman takana on "teknologia-prosessit-ihmiset" -kolmio, jossa jokaisella kärjellä on oma osuutensa. Joissakin tapauksissa lentoturma voi olla seurausta tahallisesta teosta (esimerkiksi Germanwings 9525), mutta niissäkin lopputulokseen on usein vaikuttanut jokin puute turvallisuusprosesseissa.
   
• Teknologia eli tekninen vika on hyvin harvoin yksin syynä lentoturmaan, johtuen kriittisten järjestelmien kahdentamisesta, tarkoin määritellyistä huolto-ohjelmista ja kriittisten tilanteiden toimintaohjeista ja tarkistuslistoista. Varsin usein turma on aiheutunut tapahtumaketjusta, jossa ensin on ohitettu yksi tai useampi prosessi, sitten on tapahtunut jokin häiriö ja lopulta ihmisen tekeminen on ollut virheellistä tai puutteellista. Kuulostaako tutulta?
   

Lentoturma ja tietoturvahyökkäys on usein monen tekijän summa

Erityisen ikäviä ovat turmat, jossa turman uhrit ovat täysin syyttömiä tilanteeseen. Lentoturmista puhuttaessa siis pääsääntöisesti matkustajat, mutta joissakin tapauksessa myös lentäjät.

Eräällä eurooppalaisella pienehköllä, mutta vilkkaalla kentällä tapahtui onnettomuus, jossa lentoon lähtevä kone törmäsi juuri ilman noustessaan kiitotielle eksyneeseen pienkoneeseen. Molemmat koneet tuhoutuivat törmäyksessä ja lisäksi törmäsivät matkatavarahalliin, jossa osa siellä työskennelleistä henkilöistä kuoli räjähdysmäisen tulipalon seurauksena.

Lentoon lähtevä kone oli saanut nousuluvan ja sen lentäjät toimivat mallikelpoisesti: he jopa saivat koneen melkein nousemaan ilmaan huolimatta toisen moottorin ja toisen laskutelineen menetyksestä. Vauriot olivat kuitenkin liian suuret ja kone syöksyi alas.

Mitä turmaan johtaneita syitä tunnistettiin 178-sivuisessa onnettomuusraportissa?

Epämääräiset ohjeet ja puutteelliset opasteet

Kyseisellä kentällä luvattomat kiitotielle eksymiset olivat enemmänkin sääntö kuin poikkeus. Aikaisemmissa tilanteissa koneet olivat nähneet toisensa ja yhteentörmäys oli vältetty, mutta onnettomuuspäivänä kentällä vallitsi sankka sumu. Sumu oli osasyyllinen myös pienkoneen eksymiseen.

Lentäjät valitsivat väärän rullaustien osittain lennonjohtajan epämääräisten ohjeiden, osittain puutteellisten ja kuluneiden opasteiden ja merkintöjen seurauksena.

Vanhentuneet tiedot ja välinpitämättömyys

Lentäjät kertoivat lennonjohtajalle kulustaan rullaustiellä viitaten siellä näkyviin merkintöihin, joita lennonjohtaja ei tunnistanut: hänen käytössään oleva kartta kentästä oli vanhentunut ja/tai puutteellinen eikä pitänyt kaikilta osin paikkaansa. Lennonjohtaja ei kuitenkaan pyytänyt tarkennusta eikä pysäyttänyt rullausta.

Käytöstä poistettu liiketunnistin

Väärä rullaustie ristesi kiitorataa ja sinne eksymisten varalta kentälle oli asennettu liiketunnistimet varoittamaan lennonjohtoa siltä varalta, että kone olisi päätymässä kiitoradalle väärään aikaan. Liiketunnistimet oli kuitenkin poistettu käytöstä väärien hälytysten takia joitakin aikoja sitten.

Uuden tutkan viivästynyt asennus

Kentällä tapahtuvan liikenteen seuraamiseksi oli lisäksi ollut maatutka, mutta se oli vanhentuneena purettu pois. Uusi tutka oli odottanut asennusta laatikoissaan jo muutamia vuosia, mutta jostain syystä sitä ei oltu otettu käyttöön.

Hidas reagointi ja riittämättömät resurssit

Onnettomuuden jälkeen kesti parikymmentä minuuttia, että pienkone löydettiin kentältä. Lääketieteellisten arvioiden mukaan kolme sen neljästä matkustajasta olisi voitu pelastaa rivakammalla toiminnalla.

Puutteellinen ammattitaito tai koulutus

Pienkoneen lentäjillä ei ollut kelpuutusta vallitsevaan säähän, eikä lennonjohto tarkistanut sitä.

Onnettomuudesta tehtiin 178 sivuinen raportti, jossa lueteltiin muitakin mahdollisesti tapahtumien kulkuun vaikuttaneita puutteita, mutta kuvasin yllä keskeisimmät.

(Oma osaamiseni lentämisestä perustuu vain kokemukseen lentomatkustamisesta ja lentoturmatutkintojen katsomiseen, joten pahoittelen mahdollisten väärien termien käyttöä - mahdolliset epäloogisuudet ovat todennäköisesti käännösvirheitä.)
 

Tietoturvajohtaja – kuulostaako tutulta?

Lentoturmatutkinnan inspiroimana kannattaa pohtia omaa toimintaa näiden kysymysten avulla: 

• Kuinka usein tietoturvallisuuden osalta ohitetaan “läheltä piti” - tilanteet, koska “eihän ennenkään ole mitään sattunut”?
• Onko dokumentaatio ajan tasalla ja tiedetäänkö, missä se on?
• Eihän valvontaa ole poistettu käytöstä “turhana” tai liikaa virheellisiä hälytyksiä antavana?
• Lykkäytyikö uuden varmistusjärjestelmän asennus kesälomien yli, vaikka vanha oli jo ehditty poistaa käytöstä?
• Onko henkilöstön koulutus ajan tasalla ja onko heitä riittävästi hoitamaan tehtävänsä myös “huonon sään” aikana?

Näiden kysymysten takia minä katson Lentoturmatutkintaa. Tietoturmatutkinnasta on hyvin harvoin saatavilla seikkaperäistä juurisyyanalyysiä, ellei itse satu olemaan siinä jollakin tavalla mukana, joten mieltään pitää avartaa analogioiden kautta. Analogiat ovat hyviä myös asioiden konkretisoimisessa muulle yleisölle. Niitä voi turvallisesti käyttää esimerkkeinä osoittamatta sormella suoraan esimerkiksi omaa esimiestään tai asiakkaan edustajaa.

PS. Ne kolmikirjaimiset lyhenteet. FDR (Flight Data Recorder) kääntynee jotakuinkin “lentoarvotallentimeksi”. Tuskin tarvinnee kysyä, mikä sitä vastaisi tietoturvatyössä. Toinen suosikkini on “CRM”, (Cockpit Resource Management), ainakin jossain lähteissä käännetty “Miehistöyhteistyöksi”. Se on lähtöisin ilmailun piiristä, muttei enää nykyisin rajoitu siihen, sen oppeja hyödynnetään esimerkiksi myös terveydenhuollossa. Kysymys on yksinkertaisesti vuorovaikutustaidoista, miten “miehistö” toimii yhteen paineen alla ja miten voidaan tukea siinä onnistumisessa. Milloin olet viimeksi testannut SOCin CRM-taitoja?  

Tekstin on kirjoittanut Matti Aho (Senior Security Consultant)

"Erikoisalaani on hallinnollinen tietoturva, mutta vanhasta muistista myös Microsoft-ympäristöjen tietoturva on lähellä sydäntä. Pitkä kokemus IT-alalta eri tehtävissä on opettanut, että pelkällä tekniikalla ei voida ratkaista kaikkia haasteita, varsinkaan tietoturvan osalta."