<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">caht</journal-id><journal-title-group><journal-title xml:lang="ru">Научный вестник МГТУ ГА</journal-title><trans-title-group xml:lang="en"><trans-title>Civil Aviation High Technologies</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2079-0619</issn><issn pub-type="epub">2542-0119</issn><publisher><publisher-name>Moscow State Technical University of Civil Aviation (MSTU CA)</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.26467/2079-0619-2020-23-2-20-32</article-id><article-id custom-type="elpub" pub-id-type="custom">caht-1672</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ТРАНСПОРТ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>TRANSPORT</subject></subj-group></article-categories><title-group><article-title>Исследование профиля уязвимостей авиационного персонала к социоинженерным атакам</article-title><trans-title-group xml:lang="en"><trans-title>Research of the aviation personnel vulnerability profile to social engineering attacks</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Волков</surname><given-names>Ал. К.</given-names></name><name name-style="western" xml:lang="en"><surname>Volkov</surname><given-names>A. K.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Волков Александр Константинович - кандидат технических наук, доцент </p></bio><bio xml:lang="en"><p>Andrei K. Volkov - Assistant Professor</p></bio><email xlink:type="simple">oabuvauga@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Волков</surname><given-names>Ан. К.</given-names></name><name name-style="western" xml:lang="en"><surname>Volkov</surname><given-names>A. K.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Волков Андрей Константинович - старший преподаватель</p></bio><bio xml:lang="en"><p>Andrei K. Volkov - Assistant Professor</p></bio><email xlink:type="simple">oabuvauga@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Фролова</surname><given-names>Л. И.</given-names></name><name name-style="western" xml:lang="en"><surname>Frolova</surname><given-names>L. I.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Фролова Лидия Ивановна - аспирант кафедры летной эксплуатации и безопасности полетов, заместитель начальника отдела дистанционных образовательных технологий</p></bio><bio xml:lang="en"><p>Lidia I. Frolova - Post-graduate student, Flight Operation and Flight Safety Chair, Deputy Head of the Distant Learning Technology Department</p></bio><email xlink:type="simple">va.i.lidiya@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Ульяновский институт гражданской авиации им. Главного маршала авиации Б.П. Бугаева</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Ulyanovsk Institute of Civil Aviation named after Air Chief Marshal B.P.Bugaev</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2020</year></pub-date><pub-date pub-type="epub"><day>22</day><month>04</month><year>2020</year></pub-date><volume>23</volume><issue>2</issue><fpage>20</fpage><lpage>32</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Волков А.К., Волков А.К., Фролова Л.И., 2020</copyright-statement><copyright-year>2020</copyright-year><copyright-holder xml:lang="ru">Волков А.К., Волков А.К., Фролова Л.И.</copyright-holder><copyright-holder xml:lang="en">Volkov A.K., Volkov A.K., Frolova L.I.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://avia.mstuca.ru/jour/article/view/1672">https://avia.mstuca.ru/jour/article/view/1672</self-uri><abstract><p>В условиях усиления информационной составляющей авиационной деятельности задача обеспечения авиационной кибербезопасности становится чрезвычайно актуальной. В настоящее время прорабатывается нормативно-правовая база, регламентирующая деятельность в данной области, как со стороны Международной организации гражданской авиации, так и на уровне Российской Федерации. В комплексе угроз авиационной кибербезопасности, к которому относятся умышленные атаки, ошибки сторонних компаний, системные ошибки, природные явления, важное место занимает человеческий фактор. В работе данное негативное явление рассмотрено с точки зрения уязвимости авиационного персонала к социоинженерным атакам. Подобный тип воздействий злоумышленников предполагает набор прикладных психологических и аналитических приемов, способствующих получению конфиденциальной информации или нарушению правил информационной безопасности легитимными сотрудниками компаний. Существующий подход к построению профиля уязвимостей пользователей к социоинженерным атакам предполагает проведение ряда психологических тестов, по результатам которых с использованием регрессионной модели прогнозируются уязвимости пользователя через его психологические особенности. В данной работе ставится несколько иная задача - восстановить профиль уязвимостей авиационного персонала по данным активности в социальной сети. Это связано с тем, что изучение профиля пользователя социальной сети позволит более оперативно решить задачу выбора наиболее уязвимого сотрудника к конкретному типу социоинженерной атаки и внедрять профилактические мероприятия. В работе проведены исследования на базе АО «Международный аэропорт Сургут». В качестве респондентов были выбраны 36 инспекторов по досмотру службы авиационной безопасности. Получены эмпирические данные, включаюшце анкеты профилей пользователя социальной сети и ряд психологических тестов. С использованием факторного анализа решена задача снижения размерности и выбора наиболее информативных показателей, характеризующих активность пользователя социальной сети. Разработана дискриминантная модель, позволяющая прогнозировать профиль уязвимостей персонала по данным социальной сети. Представлены возможные типы социоинженерных атак на авиационный персонал.</p></abstract><trans-abstract xml:lang="en"><p>In conditions of strengthening the informational component of aviation activity, the task of ensuring aviation cybersecurity becomes extremely urgent. Currently, a regulatory framework is being developed that regulates activities in this area, both on the part of the International Civil Aviation Organization and at the Russian Federation level. In the complex of aviation cybersecurity threats, which include deliberate attacks, errors of third-party companies, system errors, natural phenomena, the human factor occupies an important place. In this work, this negative phenomenon is considered from the point of view of the aviation personnel vulnerability to social engineering attacks. Such type of attack by an attacker involves a set of applied psychological and analytical techniques that facilitate the receipt of confidential information or the violation of information security rules by legitimate company employees. The existing approach to building a profile of user vulnerabilities to social engineering attacks involves a series of psychological tests, the results of which are used to predict the user vulnerability through its psychological characteristics. In this work a slightly different task is posed, the main idea is to restore the vulnerability profile of aviation personnel from activity data in a social network. This is due to the fact that studying the user profile of a social network will more quickly solve the problem of choosing the most vulnerable employee for a particular type of social engineering attack and introduce preventive measures. The research was conducted on the basis of JSC «Surgut International Airport». 36 aviation security inspectors were selected as the respondents. Empirical data have been obtained including profiles of social network user profiles and a number of psychological tests. Using factor analysis the problem of reducing dimensionality and choosing the most informative indicators characterizing the activity of a social network user has been solved. A discriminant model that allows predicting the vulnerability profile of personnel according to the social network has been developed. Possible types of social engineering attacks on aviation personnel are presented.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>кибербезопасность</kwd><kwd>авиационная безопасность</kwd><kwd>социоинженерная атака</kwd><kwd>авиационный персонал</kwd><kwd>социальная сеть</kwd><kwd>уязвимость пользователя</kwd></kwd-group><kwd-group xml:lang="en"><kwd>cybersecurity</kwd><kwd>aviation security</kwd><kwd>social engineering attack</kwd><kwd>aviation personnel</kwd><kwd>social network</kwd><kwd>user vulnerability</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Кузнецов С.В. Бортовые гетерогенные информационно-вычислительные сети перспективных воздушных судов // Научный вестник МГТУ ГА. 2019. Т. 22, № 2. С. 16-27. DOI: 10.26467/2079-0619-2019-22-2-16-27</mixed-citation><mixed-citation xml:lang="en">Kuznetsov, S.V. (2019). On-board heterogeneous information computer networks of perspective aircraft. Civil Aviation High Technologies, vol. 22, no. 2, pp. 16-27. DOI: 10.26467/2079-0619-2019-22-2-16-27. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Paganini P. Cyberthreats against the aviation industry [Электронный ресурс]. Infosec. URL: http://resources.infosecinstitute.com/cyber-threats-aviation-industry/ (дата обращения 25.01.2020).</mixed-citation><mixed-citation xml:lang="en">Paganini, P. (2014). Cyberthreats against the aviation industry. Infosec. Available at: http://resources.infosecinstitute.com/cyber-threats-aviation-industry/ (accessed 25.01.2020).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Greenberg A. Researcher says he's found hackable flaws in airplanes' navigation systems. [Электронный ресурс] // Forbes. 10 April, 2013. URL: http://www.forbes.com/sites/andygreenberg/2013/04/10/researcher-says-hes-found-hackable-flaws-in-airplanes-navigation-systems/#67f5622123b7 (дата обращения 25.01.2020).</mixed-citation><mixed-citation xml:lang="en">Greenberg, A. (2013). Researcher says he's found hackable flaws in airplanes' navigation systems. Forbes, 10 April. Available at: http://www.forbes.com/sites/andygreenberg/2013/04/10/researcher-says-hes-found-hackable-flaws-in-airplanes-navigation-systems/#67f5622123b7 (accessed 25.01.2020).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Демин Д.С. Обзор основных киберугроз ключевых субъектов инфраструктуры гражданской авиации / Д.С. Демин, О.Ф. Машошин, А.В. Никитин, В.В. Соломенцев, Ю.М. Колити-евский, И.В. Никитин // Научный вестник ГосНИИ ГА. 2018. № 22 (333). С. 130-143.</mixed-citation><mixed-citation xml:lang="en">Demin, D.S., Mashoshin, O.F., Nikitin, A.V., Solomentsev, V.V., Kolitiyevskiy, Yu.M. and Nikitin, I.V. (2018). Overview of the main threats key stakeholders of civil aviation infrastructure. Scientific Bulletin of the State Scientific Research Institute of Civil Aviation, GosNII GA, no. 22 (333), pp. 130-142. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Demin D. Aspects of cyber-security in civil aviation / D. Demin, V. Shapkin, S. Musin, A. Nikitin, A. Pleshakov, V. Solomentsev // International Journal of Civil Engineering and Technology (IJCIET). 2018. Vol. 9, iss. 9. Pp. 182-189.</mixed-citation><mixed-citation xml:lang="en">Demin, D., Shapkin, V., Musin, S., Nikitin, A., Pleshakov, A. and Solomentsev, V. (2018). Aspects of cyber-security in civil aviation. International Journal of Civil Engineering and Technology (IJCIET), vol. 9, issue 9, pp. 182-189. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Быкова В.В Проблемы уязвимости информационных систем предприятий авиационной отрасли: анализ и классификация ошибок / В.В. Быкова, Г.Е. Глухов, А.Н. Шарыпов, П.Е. Черников, С.В. Коваль, А.Ю. Коньков // Научный вестник ГосНИИ ГА. 2019. № 27. С. 56-65.</mixed-citation><mixed-citation xml:lang="en">Bykova, V.V., Glukhov, G.Ye., Sharypov, A.N., Chernikov, P.Ye., Koval, S.V. and Konkov, A.Yu. (2019). Problems of vulnerability of information systems of aviation industry enterprises: analysis and classification of errors. Scientific Bulletin of the State Scientific Research Institute of Civil Aviation, GosNII GA, no. 27, pp. 56-65. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Азаров А.А. Социоинженерные атаки: проблемы анализа / А.А. Азаров, Т.В. Тулупь-ева, А.В. Суворова, А.Л. Тулупьев, М.В. Абрамов, Р.М. Юсупов / Под. общ. ред. Р.М. Юсупова. СПб.: Наука, 2016. 349 с.</mixed-citation><mixed-citation xml:lang="en">Azarov, A.A., Tulupeva, T.V., Suvorova, A.V., Tulupev, A.L., Abramov, M.V. and Yusupov, R.M. (2016). Social Engineering Attacks: the Problems of Analysis, in Yusupova R.M. (Ed.). St.Petersburg: Nauka, 349 p. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Тулупьева Т.В. Социально-психологические факторы, влияющие на степень уязвимости пользователей автоматизированных информационных систем с точки зрения социоинженерных атак / Т.В. Тулупьева, А.Л. Тулупьев, А.Е. Пащенко, А.А. Азаров, М.В. Степашкина // Труды СПИИРАН. 2010. № 1 (12). С. 200-214.</mixed-citation><mixed-citation xml:lang="en">Tulupyeva, T.V., Tulupyev, A.L., Pashchenko, A.E., Azarov, A.A. and Stepashkin, M.V. (2010). Social psychological factors that influence the information system users vulnerability degree in regard of socio-engineering attacks. SPIIRAS Proceedings, no. 1 (12), pp. 200-214. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Абрамов М.В. Модель профиля компетенций злоумышленника в задаче анализа защищенности персонала информационных систем от социоинженерных атак / М.В. Абрамов, А.А. Азаров, Т.В. Тулупьева, А.Л. Тулупьев // Информационно-управляющие системы. 2016. № 4 (83). С. 77-84. DOI: 10.15217/issn1684-8853.2016.4.77</mixed-citation><mixed-citation xml:lang="en">Abramov, M.V., Azarov, A.A., Tulupyeva, T.V. and Tulupyev, A.L. (2016). Model of malefactor competencies profile for analyzing information system personnel security from social engineering attacks. Management Information Systems, no. 4, pp. 77-84. DOI: 10.15217/issn1684-8853.2016.4.77. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Азаров А.А. Анализ защищенности групп пользователей информационных системы от социоинженерных атак: принцип и программная реализация / А.А. Азаров, М.В. Абрамов, Т.В. Тулупьева, А.Л. Тулупьев // Компьютерные инструменты в образовании. 2015. № 4. С. 52-60.</mixed-citation><mixed-citation xml:lang="en">Azarov, A.A., Abramov, M.V., Tulupyeva, T.V. and Tulupyev, A.L. (2015). The analysis of the information systems ''users'' groups protection analysis from the social engineering attacks: theprinciple and program implementation. Computer tools in education, no. 4, pp. 52-60. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Тулупьев А.Л., Пащенко А.Е., Азаров А.А. Информационная модель пользователя, находящегося под угрозой социоинженерной атаки // Труды СПИИРАН. 2010. № 2 (13). С.143-155.</mixed-citation><mixed-citation xml:lang="en">Tulupyev, A.L., Pashchenko, A.E. and Azarov, A.A. (2010). Information model of the user, who may be under the threat of socioengineering attack. SPIIRAS Proceedings, no. 2 (13), pp. 143-155. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Практическая психодиагностика: Методики и тесты / Под ред. Д.Я. Райгородского. Самара: БАХРАХ-М, 2002. 667 с.</mixed-citation><mixed-citation xml:lang="en">Raygorodsky, D.Ya. (Ed.). (2002). Prakticheskaya psikhodiagnostika: Metodiki i testy [Practical Psychodiagnostics: Methods and Tests]. Samara: BAKHRAKH-M, 667 p. (in Russian)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Meyer J.P., Allen N.J. A three-component conceptualization of organizational commitment // Human Resource Management Review. 1991. Vol. 1, iss. 1. Pp. 61-89. DOI: 10.1016/1053-4822(91)90011-Z</mixed-citation><mixed-citation xml:lang="en">Meyer, J.P. and Allen, N.J. (1991). A three-component conceptualization of organizational commitment. Human Resource Management Review, vol. 1, issue 1, pp. 61-89. DOI: 10.1016/1053-4822(91)90011-Z</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
