Към блога

Европейски летища: как един пробив в Collins Aerospace разстрои чекина и багажа

27 септември 2025 г.
collins-muse-airports-2025
 Collins Aerospace (звено на RTX) се превърна в епицентър на инцидент, който показа колко крехки са общите платформи в авиацията. На 19 септември 2025 г. ransomware атака срещу Multi-User System Environment (MUSE/vMUSE) — общообхватната система за чекин/бординг и багаж — доведе до ръчни процедури, опашки и отмени на полети на големи европейски летища (Heathrow, Brussels, Berlin, Dublin). ENISA потвърди, че е ransomware, а RTX уведоми регулаторите, че ударът е по пътническия софтуер за обработка.

Как започна пробивът

Първите симптоми вечерта на 19 септември: автоматичният чекин и bag-drop падат синхронно на няколко летища. Аерогарите преминават към ръчни процеси и ограничена пропускателност; полети се забавят и отменят. RTX в регулаторно уведомление потвърждава ransomware по системи, поддържащи MUSE; паралелно ENISA комуникира, че става дума за трета страна, чийто срив има каскаден ефект.

Какво беше засегнато и какво означава

MUSE/vMUSE е „общо ползване“ (CUPPS/CUTE) — позволява на множество авиолинии да споделят гишета, порти, багажни системи и бординг. Когато централният доставчик спре, падат чекин терминалите, бордингът и част от багажната обработка, което повлича стотици полети. Инцидентът показа, че дори при липса на кражба на данни, оперативният риск е огромен: времеви „опашки“, нарушени ротации на екипажи и наземен персонал, натрупване на багаж.

Методът зад кулисите

Официалните данни описват ransomware срещу системи, които поддържат MUSE. В публичната експертна дискусия се разглеждат три вероятни вектора: (1) уязвимост в периферен компонент/доставчик на Collins, (2) компрометирани администраторски токени/обмяна на ключове, (3) злоупотреба през отдалечени услуги/API. Общото между тях: доверие към доставчик, което не е обвързано с достатъчно технически контроли (сегментация, DLP/UEBA, ротация на токени).

Кой стои зад атаката?

Формално приписване няма; в Обединеното кралство има арест във връзка с разследването. Спекулациите за държавно спонсорство остават непотвърдени. Експерти отбелязват тенденция: част от групите търсят не само пари, а престиж чрез максимално прекъсване на високопрофилни цели.

Кого засегна и колко струва

  • Обхват: основни хъбове (Heathrow, Brussels, Berlin, Dublin) с ръчен чекин и забавяния/отмени в пиков период на трафик.
  • Ефект за пътници: часове в опашки, пропуснати връзки, натрупан багаж.
  • Ефект за авиолинии/летища: ре-маршрутизации, допълнителни слотове, извънреден персонал, риск за SLA/компенсации по ЕС261.
  • Финансов ефект (индикативно): При сходни сривове разходите на оператор могат да се измерят в милиони евро дневно (диспечиране, наземни услуги, компенсации); консолидиран секторен ефект — десетки милиони евро за продължителност 2–4 дни.

Графики

Аерогари: индикативни първогодишни разходи след инцидента (EUR млн.)
Състав на разходите (примерна разбивка)
Оперативно въздействие (индикативни метрики за ден пик)

Пет урока, които секторът не може да игнорира

  • Един доставчик — система от зависимости. CUPPS/CUTE платформи създават „single point of failure“. Изисквайте active-active резервираност и независими „runbooks“.
  • Токените са новите привилегии. Въведете ротация на ключове, обвързване с устройства/локации и ограничение на експорт/админ действия.
  • UEBA/DLP за OT-adjacent ИТ. Наблюдавайте аномалии в обем/време/география; алармирайте при масово изключване/шифроване на услуги.
  • Tabletop учения с бизнес сценарии. Не само „рестор“ на ИТ — симулирайте опашки, пренасочвания, ЕС261, комуникация с пътници/медии.
  • Договори със зъби. SLA с финансови неустойки, право на независим одит, задължителни контроли (segmentation, EDR, backup имунитет).

Прагматичен чеклист за CISOs (летища/авиокомпании)

  • Пълен инвентар на зависимостите: MUSE/vMUSE, DCS, BHS, CUSS, SITA/Amadeus и др.; картографирайте „какво пада, ако падне X“.
  • Задължителен MFA за админ достъп + out-of-band проверка при критични операции (изключване/ъпдейт/масови промени).
  • Immutable backups и изолирани „чисти“ jump-хостове; регулярни възстановителни тестове под натоварване.
  • Сегментация между чекин киоски, gate-системи, багажни PLC/SCADA и корпоративна ИТ.
  • Комс план за пътници: готови шаблони, многоезични екрани, push известия през приложенията на авиокомпаниите.

Лично мнение на автора

Този инцидент е трезва диагноза: авиацията не страда от липса на технологии, а от липса на предпазни клапани между тях. Когато whole-EU трафик разчита на една търговска система, киберустойчивостта трябва да е „by design“: независими режими на работа, failsafe към деградирана, но предсказуема услуга — не хаотични ръчни процедури в real-time.

Често задавани въпроси

Поуката? Днешната авиация е софтуерна екосистема. Ако не можете да отговорите „Кое поемаме, когато падне MUSE?“, отговорът е: „Всичко.“ Време е за истинска киберустойчивост, не за надежда.

Използвана терминология

  • MUSE/vMUSE – Multi-User System Environment, софтуерна платформа за чекин, бординг и багаж, използвана от много авиолинии.
  • CUPPS/CUTE – Common Use Passenger Processing System/Equipment, стандарти за споделено използване на летищна инфраструктура.
  • Ransomware – зловреден софтуер, който криптира данни и изисква откуп за отключване.
  • UEBA – User and Entity Behavior Analytics, анализ на аномалии в поведението на потребители/системи.
  • DLP – Data Loss Prevention, технологии за предотвратяване на изтичане на данни.
  • OT – Operational Technology, технологии за управление на физически процеси (напр. багажни системи).
  • SLA – Service Level Agreement, договор за ниво на услуга с гарантирани параметри.
  • ES261 – Европейски регламент за компенсации при закъснели или отменени полети.
Източници: Reuters; The Guardian; Cybersecurity Dive; TechCrunch; World Economic Forum.
В тази статия