De website van de Amsterdamse luchthaven Schiphol scoort het beste wat betreft cybersecurity. Op nummer twee staat het Finse Helsinki-Vantaa vliegveld en op drie het vliegveld in Dublin. De sites van deze vliegvelden kwamen zonder kleerscheuren uit een kwetsbaarheidstest.
Dit blijkt uit onderzoek van ImmuniWeb, een onderdeel van High-Tech Bridge SA, een Zwitsers bedrijf voor webbeveiliging. Het bedrijf ontdekte dat van de honderd onderzochte homepages van vliegvelden, maar liefst 97 veiligheidsrisico’s lopen door kwetsbare web- en mobiele applicaties, verkeerde configuraties in de publieke cloud, contact met het Dark Web en mogelijke codes die gelekt zijn.
Verouderde en kwetsbare sites
De sites van de vliegvelden Schiphol, Helsinki en Dublin waren de enige drie die een A+ verdienden. Vijftien ontvingen een A, elf een B, 47 een C en maar liefst vierentwintig van de honderd websites scoorden een F. Dit betekent dat de sites verouderde software bevatten met veel kwetsbaarheden in het cms (WordPress) of in onderdelen van de site (jQuery). In totaal bleek 97 procent van de websites verouderde websoftware te bevatten, 24 procent bevatte kwetsbaarheden, 76 procent was niet GDPR-proof en 73 procent was niet pci dds-proof. Daarbij had 24 procent van de sites geen SSL-encryptie of gebruikte ze het verouderde SSLv3. Ten slotte was slechts 55 procent van de sites beschermd door een firewall.
Datalekken en onbeschermde publieke cloud
De onderzoekers keken ook in hoeverre de sites van de vliegvelden op het Dark Web te vinden waren. Het bleek dat dit bij 66 het geval was. Van de luchthavens had 87 procent datalekken van codes en drie procent had zelfs zijn publieke cloud met gevoelige data niet beveiligd.
Ilja Kolochenko, ceo van ImmuniWeb, geeft aan de resultaten alarmerend te vinden. Cybercriminelen kunnen volgens hem via vliegvelden een serie van aanvallen verrichten op reizigers of vrachtverkeer. Ook kunnen ze luchthavens direct aanvallen om de kritische infrastructuur te verzwakken. Hij raadt vliegvelden daarom onder meer aan een continue securitymonitoringsysteem te implementeren, een holostisch devsecops-eneabled securityprogramma voor apps te implementeren, een derde partij in te schakelen om de externe leveranciers te monitoren én om te investeren in de security-bewustwording van het personeel.
