Kyberturvallisuus osana siviili-ilmailun turvallisuutta

Abstract

Tässä tutkimuksessa tavoitteena oli selvittää, miten kyberturvallisuus vaikuttaa siviili-ilmailun turvaamiseen. Kyberturvallisuutta tarkastellaan tutkimuksessa kyberturvallisuuden hallintamallin kautta. Tarkastelunäkökulma valittiin siviili-ilmailun turvallisuuden rakenteen myötä, sillä turvallisuustoimet perustuvat alalla vahvasti eri turvallisuuden hallintajärjestelmiin. Tutkimuksen rajaus keskittyy kaupalliseen lentoliikenteeseen ja rajaus koskee siviili-ilmailua suomalaisten toimijoiden näkökulmasta. Tutkimuksen kirjallisuuskatsaus muodostuu kyberturvallisuuden hallinta-mallin sekä siviili-ilmailun turvaamisen viitekehyksistä. Kyberturvallisuuden hallintamallin viitekehyksessä käsitellään kyberturvallisuutta käsitteenä, kyber-turvallisuuden hallintaa, johtamisesta, riskienhallintaa sekä resilienssiä. Viitekehykseen on otettu vertailtavaksi kaksi yleisesti tunnettua kyberturvallisuuteen ja tietoturvallisuuteen keskittyvää hallintamallia; NIST sekä ISO/IEC 27001. Siviili-ilmailun turvaamisen viitekehys rakentuu siviili-ilmailun turvaamisen teoriasta, siviili-ilmailun turvaamisessa käytetyistä hallintajärjestelmistä sekä siviili-ilmailun kyberturvallisuuden teoriasta. Lisäksi viitekehykseen on sisällytetty siviili-ilmailun turvaamisen ja ilmailun kyberturvallisuuden kannalta keskeisiä säädöksiä. Tutkimus toteutettiin laadullisena tapaustutkimuksena ja aineistonkeruu-menetelmänä käytettiin systemaattista kirjallisuuskatsausta sekä puolistrukturoituja teemahaastatteluita. Kaksi haastatteluista toteutettiin etäyhteyden avulla ja kaksi paikan päällä kasvotusten. Haastateltaviksi valittiin siviili-ilmailun turvallisuuden sekä ilmailun kyberturvallisuuden asiantuntijoita ilmailualan organisaatioista sekä Suomen ja Euroopan valvovan viranomaisen puolelta. Haastattelut litteroitiin, jonka jälkeen tutkimustulokset teemoiteltiin lopulta neljään pääteemaan. Tutkimuksen tulokset muodostuivat kirjallisuuskatsauksen sekä haastatteluanalyysin pohjalta. Johtopäätöksissä otettiin huomioon edeltävien syötteiden lisäksi aiempien tutkimusten löydökset, jotka esiteltiin tässä tutkimuksessa.

The aim of this study was to find out how cyber security affects the security of civil aviation. In the study, cyber security is examined through the cyber security management model. The review perspective was chosen along with the structure of civil aviation security, as security measures are strongly based on different security management systems in the sector. The delimitation of the study focuses on commercial air traffic and the delimitation applies to civil aviation from the point of view of Finnish operators. The research's literature review consists of the cyber security management model and the reference frameworks for securing civil aviation. The framework of the cyber security management model discusses cyber security as a concept, cyber security management, management, risk management and resilience. Two commonly known management models focused on cyber security and information security have been included in the framework for comparison; NIST and ISO/IEC 27001. The reference framework for securing civil aviation is built on the theory of securing civil aviation, the management systems used in securing civil aviation and the theory of cyber security of civil aviation. In addition, the reference framework has included key regulations in terms of securing civil aviation and aviation cyber security. The research was done as a qualitative case study and a systematic literature review and semi-structured thematic interviews were used as data collection methods. Two of the interviews were carried out remotely and two on site face to face. Civil aviation security and aviation cyber security experts from aviation industry organizations and Finnish and European supervisory authorities were chosen to be interviewed. The interviews were transcribed, after which the research results were finally themed into four main themes. The results of the study were formed based on a literature review and interview analysis. In addition to previous inputs, the conclusions considered the findings of previous studies, which were presented in this study.