Niniejszy artykuł to część druga cyklu na temat ciągłości działania i odtwarzania po awarii (BC/DR, z ang.: Business Continuity/Disaster Recovery) w kontroli ruchu lotniczego. Na początku zostanie zaprezentowana historiapowstawania standardów dotyczących BC/DR, ich powiązania z już istniejącymi normami ISO/IEC i nie tylko. Następnie będą pokrótce przedstawione zasady tworzenia planów BC/DR, ich wdrażania, testowania, aktywacji i dezaktywacji oraz przykładowe sposoby oceny efektywności tych planów. Po krótkim przeglądzie jednej z proponowanych norm zostaną omówione aktualne akty prawne, normujące bezpieczne prowadzenie kontroli ruchu lotniczego, będące regulacjami zarówno międzynarodowymi jak i krajowymi. Następnie w skrócie opisane będą zagrożenia dla ruchu lotniczego oraz aktualne procedury mające za zadanie ograniczenie zakresu oraz likwidacją skutków zdarzeń niepożądanych (awarii, celowych uszkodzeń, ataków terrorystycznych itp.). Na zakończenie zostaną podane aktualne informacje na temat wykorzystania procedur BC/DR w kontroli ruchu lotniczego, w świetle wcześniej omówionych standardów.
Geneza standardów BC/DR
Obecnie prowadzenie jakiejkolwiek działalności gospodarczej jest niemożliwe bez wykorzystania najnowszych technologii w dziedzinie telekomunikacji i informatyki. To ścisłe powiązanie ujawnia się szczególnie mocno w przypadku wszelkiego rodzaju awarii spowodowanych przez zła obsługę, włamania do systemów, katastrofy naturalne lub ataki terrorystyczne. Wielokrotnie okazywało się, że nawet duże firmy nie były przygotowane na takie ewentualności, co z kolei prowadziło do ograniczenia ich działalności a nierzadko do całkowitego zniknięcia z rynku w sytuacjach awaryjnych. Doświadczenia te wymusiły na wielu instytucjach uwzględnianie w swoich planach działania specjalnych procedur, które mogłyby uchronić je przed tragicznymi skutkami katastrof i awarii.
Początkowo zadowalano się budowaniem systemów z wszelkiego rodzaju nadmiarowością (dyski, pamięci, procesory a nawet całe systemy komputerowe) w jednym ośrodku przetwarzania. Jednak już wkrótce okazało się, że takie podejście w wielu przypadkach jest niewystarczające. Rozpoczęto więc prace nad budowa zapasowych centrów przetwarzania. Prace te były jednak początkowo bardzo utrudnione ze względu na brak jakichkolwiek doświadczeń w tej dziedzinie, a co za tym idzie - brak krajowych i międzynarodowych norm. Co prawda powstawały instytucje, takie jak Disaster Recovery Institute (DRI) [28] lub Business Continuity Institute (BCI) [29], zajmujące się certyfikacja i edukacja w dziedzinie BC/DR, ale to nie rozwiązywało problemu w skali globalnej.
Jednym z impulsów do opracowania normy międzynarodowej było wydanie w Singapurze w 2004 roku normy dotyczącej procedur BC/DR pt. Business continuity/disaster recovery (BC/DR) service providers [2]. Opisuje ona zasady budowy i utrzymania w działaniu zapasowych centrów przetwarzania informacji. Stosunkowo szybko, bo już w 2005 roku, połączony komitet ISO/IEC JTC 1/SC 27 rozpoczął prace nad międzynarodowa norma zatytułowana roboczo Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services [1]. Punktem wyjścia do jej opracowania stał się standard opracowany w Singapurze. W grudniu 2006 roku komitet ISO/IEC wydał wersje FCD (Final Committee Draft), co oznacza, że już wkrótce norma ta powinna być opublikowana.
Jednocześnie należy zaznaczyć, że wiele krajów prowadziło lub prowadzi prace nad własnymi normami dotyczącymi BC/DR. Między innym w Stanach Zjednoczonych opracowany został w 2002 roku standard zatytułowany Contingency planning guide for information technology systems [3], a w Wielkiej Brytanii opublikowano dwuczęściowy standard BS 25999 [4,5].
Charakterystyka nowego standardu ISO/IEC
Nowy standard ISO dotyczący BC/DR powstaje jako element, który stanowi uzupełnienie już istniejących norm, a w szczególności normy ISO/IEC 17799.
Jak pokazano to na rys. 1, łączy się on bardzo ściśle z rozdziałem czternastym wyżej wymienionego standardu, aczkolwiek występują też odwołania do innych rozdziałów.
Standard ten opiera się na strukturze wielowarstwowej, zawierającej różne elementy, które są niezbędne do zapewnienia szeroko pojętych usług odtwarzania po awarii dla technologii informacyjno-komunikacyjnych (ICT DR - od ang. Information and Communication Technology Disaster Recovery). Podstawę tej struktury (rys. 2) stanowią polityki (Policies), ocena efektywności (Performance Measurement), procesy (Process) oraz ludzie (People). Warstwy te pomagają zdefiniować infrastrukturę (Infrastructure) zapewniająca odtwarzanie po awarii oraz zakres świadczonych usług (Services Capability). Ciągłe ulepszanie (Continuous improvement) umożliwia wybór najlepszych rozwiązań w poszczególnych dziedzinach tej działalności oraz podnosi poziom usług. Tak więc wszystkie wskazówki zawarte w tym standardzie biorą się z całościowego spojrzenia na niniejsza strukturę oraz zapewniają równowagę pomiędzy ponoszonymi kosztami a odpowiednim poziomem świadczonych usług [1].
Polityki umożliwiają dostawcy usług ICT DR (rozumianemu jako dostawca wewnętrzny lub zewnętrzny) określenie kierunków działania w obszarach powiązanych ze Świadczeniem usług ICT DR oraz umożliwiają łatwa i szybka komunikację, zgodna z ustanowionymi regułami, z wszystkimi podmiotami zaangażowanymi w proces ich świadczenia (klientami oraz dostawcami). Dzięki ocenie efektywności możliwa jest bieżąca kontrola oraz poprawa poziomu usług, a to z kolei umożliwia dostawcy usług ICT DR zapewnienie swoich klientów, że usługi są świadczone na najwyższym możliwym poziomie. Procesy zapewniają spójne podejście do zagadnień niezwiązanych bezpośrednio ze świadczeniem usług ICT DR, umożliwiając w ten sposób ciągłe utrzymanie poziomu usług oraz ułatwiając szkolenie personelu. Wszystkie wyżej wymienione elementy nie są możliwe do zrealizowania bez odpowiednio przygotowanego i wyszkolonego personelu. Dotyczy to zarówno osób zaangażowanych bezpośrednio w świadczenie usług ICT DR oraz innych pracowników, którzy w jakikolwiek sposób maja wpływ na jakość tych usług (np. firm zewnętrznych). Ponadto bardzo istotnym elementem, który należy zawsze brać pod uwagę w tego typu działalności, jest potrzeba zapewnienia bezpieczeństwa i opieki wszystkim osobom odpowiedzialnym w jakikolwiek sposób za świadczenie usług ICT DR [1].
Każdy dostawca usług ICT DR powinien dokładnie rozpoznać swoje potrzeby związane z zapewnieniem ciągłości działania oraz odtwarzaniem po awarii. Ostatecznym celem dla każdego dostawcy takich usług jest opracowanie planu zapewniającego ciągłość działania, przetestowanie go, a następnie dostosowywanie go do zmieniających się funkcji biznesowych. Dostawca nie powinien jednak przystępować bezpośrednio do tworzenia odpowiednich planów, lecz wykonać wcześniej kilka niezbędnych kroków. Prace należy rozpocząć od zidentyfikowania priorytetów, a następnie dobrać poprawna i najbardziej efektywna strategię zapewnienia ciągłości działania dla swojego środowiska biznesowego. Dopiero po dokonaniu takiej oceny można przystąpić do opracowywania odpowiednich planów. Ponadto należy wdrożyć procedury ograniczania ryzyka, które maja za zadanie ograniczyć prawdopodobieństwo wystąpienia sytuacji, w której należałoby uruchomić plany BC/DR oraz ograniczać skutki ewentualnych katastrof i awarii.
Ogólny schemat działania przedstawiono na rys. 3. Zalecane postępowanie obejmuje kilka kroków dobranych w taki sposób, aby w wyniku ich wykonania został opracowany wszechstronny i wykonalny plan zapewnienia ciągłości działania. Ma on spełniać wszystkie niezbędne wymagania stawiane przez dostawcę usług ICT DR w przypadku wystąpienia katastrofy lub awarii. Schemat ten zawiera [1]:
- ocenę priorytetów podczas odtwarzania (DR), ram czasowych oraz minimalnych wymogów (łącznie z analiza wpływu zdarzenia na prowadzona działalność),
- określenie strategii w dziedzinie zapewnienia ciągłości działania (BC), - opracowanie planu BC,
- testowanie planu BC,
- szkolenie załogi z zakresu BC,
- bieżące „utrzymanie" planu BC,
- ograniczanie ryzyka.
Pierwsze pięć kroków wykonywanych jest kolejno. Po opracowaniu planu BC krok szósty wykonywany jest cyklicznie lub po pojawieniu się zmian, które mogą mieć wpływ na realizację planu. W tym celu należy cofnąć się do wcześniejszych kroków tak, aby można było uwzględnić zmiany, które wpływają na plan BC. Krok siódmy wykonywany jest równolegle w trakcie wykonywania wszystkich pozostałych kroków [1].
Jeżeli usługi DR są świadczone przez zewnętrznego dostawcę, powinien on wykonać podobne planowanie, jak w przypadku opisanym wcześniej, tylko w dziedzinie DR. Proces ten został zilustrowany na rys. 4.
Oprócz wytycznych dotyczących planowania BC/DR określono dość dokładnie wymogi, jakie powinny zostać postawione zapasowym Ośrodkom przetwarzania informacji. Dotyczą one między innymi:
- lokalizacji zapasowych centrów przetwarzania,
- infrastruktury,
- poziomów i typów usług,
- planów aktywacji/dezaktywacji procedur DR,
- doboru załogi,
- szkolenia,
- testowania,
- pomiaru efektywności,
- skalowalności.
Szerszego omówienia wymaga pomiar efektywności. Pozwala on dostawcom usług ICT DR ocenić między innymi jakość świadczonych usług, wpływ katastrofy lub awarii na dostępność do informacji i infrastruktury, a co za tym idzie - wpływ na prowadzona działalność i ryzyko z tym związane. Daje tak- że możliwość zademonstrowania klientom potencjalnych zdolności do odtworzenia po wystąpieniu krytycznego zdarzenia. Dzięki pomiarowi efektywności możemy oceniać postęp w jakości świadczonych usług ICT DR oraz dokonywać porównań pomiędzy poszczególnymi dostawcami usług [1].
Wybór wskaźników efektywności oraz ich liczba będzie zależeć od wymagań stawianych przez dana organizację. Jako przykład można podać tutaj liczbę osób, które zostały przeszkolone w zakresie ICT DR, procent sprzętu lub zapasowych ośrodków przetwarzania informacji będących w ciągłym utrzymaniu lub stopień zgodności z niniejszym standardem [1].
W tym miejscu należy podkreślić, że chociaż nowy standard ISO/IEC jest w końcowej fazie opracowywania, to jego niektóre fragmenty mogą jeszcze ulec zmianie, dlatego też zaleca się traktowanie go jako wersji roboczej, a nie wersji finalnej, w której wszystkie elementy są precyzyjnie zdefiniowane.
Niniejsza krótka charakterystyka nowego standardu pokazuje, jak trudne i kosztowne w realizacji mogą być rozwiązania zapewniające ciągłość działania oraz umożliwiające odtworzenie po katastrofie lub awarii. Pomimo to coraz więcej organizacji planuje wdrożenie lub już wdraża plany BC/DR. Jedna z dziedzin, w której zagadnienia związane z BC/DR są stawiane od początku na ważnym, jeżeli nie na pierwszym, miejscu, jest kontrola ruchu lotniczego. Jej zadaniem jest, przypomnijmy, zapewnienie bezpiecznej separacji pomiędzy statkami powietrznymi zarówno w powietrzu, jak i na ladzie, przy jednoczesnym zapewnieniu jak najbardziej efektywnych warunków operacyjnych oraz ekonomicznych. W związku z tym już od dawna stosowane są w tej dziedzinie różnego rodzaju bardziej lub mniej zaawansowane plany BC/DR.
BC/DR w kontroli ruchu lotniczego - aktualne procedury i standardy
Jednym z najważniejszych narzędzi używanych w kontroli ruchu lotniczego jest radiowa komunikacja głosowa pomiędzy statkiem powietrznym a Ośrodkiem kontroli (G/A). Bez niej nie jest możliwe prowadzenie sprawnej kontroli i zapewnienie bezpiecznej separacji pomiędzy samolotami. Dlatego też w przypadku awarii urządzeń łączności G/A dany fragment przestrzeni jest zamykany dla ruchu, a wszystkie statki, które się w nim znajdowały w trakcie jej wystąpienia, są przekazywane najszybciej, jak to możliwe, do sąsiednich ośrodków kontroli. Drugim ważnym elementem, który należy brać pod uwagę, jest czynnik ludzki. Kontrolerzy, bo o nich tu mowa, powinni zostać wyszkoleni na najwyższym możliwym poziomie i być w dobrym stanie zdrowia fizycznego i psychicznego Posiadają oni status licencjonowanego personelu lotniczego, a zatem są bardzo trudni do zastąpienia na swoich stanowiskach. Sprawę komplikuje fakt, że do wyszkolenia samodzielnego kontrolera potrzeba minimum dwóch lat. Możliwość wymiany kontrolerów pomiędzy ośrodkami jest mocno utrudniona, ponieważ są oni przygotowywani do pracy na konkretnym stanowisku, a nierzadko do kontrolowania ściśle wyznaczonego obszaru. Innymi elementami, które należy brać pod uwagę podczas planowania BC/DR, są przerwy w łączności pomiędzy ośrodkami (G/G), przerwy w działaniu systemu radarowego, brak dostępu do systemu przetwarzania planów lotów, zaniki zasilania oraz uszkodzenia pomocy nawigacyjnych. Nie należy też ignorować takich zagrożeń, jak ataki terrorystyczne i katastrofy naturalne, które mogą prowadzić nawet do całkowitego zniszczenia ośrodków kontroli.
Aktualnie planowanie BC/DR (inaczej zwane „contingency") w kontroli ruchu lotniczego skupia się najczęściej na ograniczaniu skutków katastrofy lub awarii. Najczęściej składa się ono z następujących etapów:
- redukcji pojemności lub całkowitego zamknięcia FIR/ /sektora,
- uruchomienia zapasowych systemów komunikacyjnych oraz zapasowych systemów informatycznych,
- odtworzenia po awarii,
- przywrócenia pełnej pojemności FIR/sektora.
Z reguły tego typu plany BC/DR są przygotowywane lokalnie i obejmują w większości przypadków jeden ośrodek kontroli obszaru (ACC). Na dzień dzisiejszy tylko kilka krajów posiada wzajemna rezerwację dwóch lub więcej centrów operacyjnych. Jednym z nich jest Irlandia. Według dostępnych informacji dwa nowoczesne ośrodki w Dublinie oraz Shannon, należące do Irish Aviation Authority (IAA), posiadają wspólne plany „contingency" [18]. Powstały też projekty współpracy kilku krajów w dziedzinie BC/DR. Jednym z nich jest NUAC (Nordic Upper Area Control Center) [20]. Projekt ten obejmuje swoim zasięgiem Danię, Finlandię, Norwegię oraz Szwecję. Aktualnie istnieje kilka ściśle współpracujących ze sobą ośrodków, posiadających odpowiednie plany zapewnienia ciągłości działania oraz odtwarzania po katastrofie lub awarii. Istnieje też duże prawdopodobieństwo, że Szwajcaria, Niemcy oraz Austria maja podpisana umowę o współpracy w dziedzinie planów BC/DR. Brak jest natomiast jakichkolwiek informacji na temat współpracy ośrodków kontroli w takich krajach, jak Stany Zjednoczone (kilkadziesiąt ośrodków), Kanada (siedem ośrodków kontroli obszaru) oraz Australia (dwa nowoczesne środki kontroli w Brisbane i Melbourne). W Europie jeden z największych międzynarodowych projektów w dziedzinie kontroli ruchu lotniczego, jakim jest MUAC (Maastricht Upper Area Control Centre), jest realizowany tylko i wyłącznie w jednym ośrodku kontroli. Aktualnie nic nie wiadomo na temat szerszej współpracy w dziedzinie planów BC/DR pomiędzy tym centrum kontroli a innymi ośrodkami znajdującymi się w krajach ościennych. W Polsce na dzień dzisiejszy istnieje tylko jeden ośrodek kontroli obszaru, który powstał z połączenia na przełomie wieków dwóch ośrodków działających w Warszawie i w Poznaniu, a co za tym idzie - brakuje wzajemnej rezerwacji pomiędzy centrami kontroli. W tym miejscu należy zaznaczyć, że wszystkie wyżej opisane plany BC/DR obejmują swoim zasięgiem tylko i wyłącznie ośrodki kontroli obszaru. Nie są znane rozwiązania, które zapewniałyby wzajemna rezerwację dla ośrodków kontroli zbliżania oraz kontroli lotniska.
Aktualnie wszystkie aspekty związane z bezpieczeństwem w kontroli ruchu lotniczego są opisane w aneksach ICAO oraz odpowiednich dokumentach (DOC), wydanych przez tę organizację. Obowiązują one (z wyjątkami) kraje przynależące do ICAO, w tym Polskę. W Europie dodatkowe regulacje zostały wydane przez EUROCONTROL i znane są jako pan-European Safety Regulatory Requirements (ESARR) [19]. Polska, na mocy Rozporządzenia Ministra Infrastruktury z dnia 5 października 2004 r. (Dz.U. Nr 224/2004, poz. 2283) przyjęła za obowiązujące następujące dokumenty:
- ESARR 2 - Składanie meldunków oraz rozpatrywanie nieprawidłowości w ruchu lotniczym (Reporting and Assessment of Safety Occurrences in ATM),
- ESARR 3 - Wykorzystanie systemów zarządzania bezpieczeństwem przez organy zarządzania ruchem lotniczym (Use of Safety Management Systems by ATM Service Providers),
- ESARR 4 - Ocena i ograniczanie ryzyka w systemie zarządzania ruchem lotniczym (Risk Assessment and Mitigation in ATM),
- ESARR 5 - Personel służb zarządzania ruchem lotniczym (ATM Services' Personnel).
Wyżej wymienione dokumenty nie obejmują jednak procedur BC/DR w rozumieniu takim, jakie zostało przedstawione na początku niniejszego artykułu.
Problem BC/DR, ujmowany z perspektywy międzynarodowej, nie jest prosty. Pomimo istnienia wielu ścisłych przepisów, wytycznych oraz standardów, kontrola ruchu lotniczego przebiega w każdym kraju inaczej. Różnice nie dotyczą tylko sprzętu, oprogramowania, procedur, ale także tak istotnych elementów, jak podział przestrzeni powietrznej. O ile planowanie BC/DR w ramach jednego państwa jest możliwe do zrealizowania, o tyle w skali międzynarodowej jest to ogromne wyzwanie. Na tak wysokim poziomie oprócz problemów stricte technicznych i organizacyjnych do głosu dochodzą kwestie polityczne, wojskowe oraz ogólnie pojętego bezpieczeństwa państwa. W aktualnej sytuacji międzynarodowej nie można tych problemów ignorować lub uznawać ich za nierozwiązywalne. W dobie szybko postępującej globalizacji oraz coraz szybszego nasycania kontroli ruchu lotniczego zaawansowana technologia może okazać się, że niektóre państwa są skazane na współpracę międzynarodowa w zakresie planowania BC/DR. Dlatego też należy dążyć do ujednolicania niezbędnych przepisów, procedur i wielu innych elementów kontroli ruchu lotniczego tak, aby w przyszłości było możliwe nawiązywanie współpracy w tej dziedzinie na płaszczyźnie międzynarodowej.
Aktualnie organizacja Eurocontrol powołała specjalna grupę robocza, która ma się zająć planowaniem BC/DR. W ramach prac przewidziane jest opracowanie wytycznych dla planów odtwarzania po wystąpieniu katastrofy lub awarii. Nic nie wskazuje jednak na to, że w celu zapewnienia ciągłości działania będą tworzone oddzielne ośrodki kontroli, utrzymywane w pogotowiu, tak jak to jest proponowane w nowym standardzie ISO. Najprawdopodobniej zostanie wybrane rozwiązanie podobne do tych stosowanych już przez niektóre kraje, a opisywanych wcześniej w ramach niniejszego opracowania. Głównym powodem wyboru takiego rozwiązania może być potrzeba utrzymania możliwie najniższych kosztów funkcjonowania ośrodków kontroli ruchu lotniczego oraz wymóg bardzo dobrej znajomości przez kontrolerów stanowiska, na którym pracują. Wiąże się to z potrzeba ciągłej pracy na wybranym stanowisku i stałego podnoszenia swoich kwalifikacji. Dlatego właśnie ośrodki oczekujące w gotowości nie spełniłyby swojej roli, generując tylko wysokie koszty.
Podsumowanie
Duży nacisk, jaki jest położony w kontroli ruchu lotniczego na zapewnienie bezpieczeństwa, wymaga zaangażowania dużych środków technicznych oraz zasobów ludzkich. Wieloletnie doświadczenia pokazały jednak, że bez dobrych planów BC/DR nawet najlepszy ośrodek nie jest w stanie zapewnić ciągłości ruchu lotniczego w przypadku katastrofy lub awarii. Z tego powodu na dzień dzisiejszy większość istniejących centrów kontroli ma opracowane lokalne procedury awaryjne. Jednakże w obliczu postępującej globalizacji i szybkiego rozwoju technicznego i te zabezpieczania mogą okazać się zbyt słabe. Dlatego też coraz więcej ośrodków dostrzega potrzebę opracowania szerszych planów BC/DR, obejmujących swoim zasięgiem kraj lub nawet kilka krajów. Pomocne mogą okazać się prace nowego komitetu w ramach Eurocontrol, a także nowy standard ISO, który ma pojawić się już wkrótce.
Podziękowania
Pragnę podziękować Panu prof. Zbigniewowi Kotulskiemu, dr Ryszardowi Kossowskiemu, mgr inż. Maciejowi Rodakowi, mgr Jackowi Tomczakowi-Janowskiemu oraz mgr Marcinowi Wilkowskiemu za udzielenie pomocy przy opracowywaniu niniejszego artykułu. Bez ich wsparcia praca ta nie byłaby możliwa do zrealizowania.
Daniel Kiper
Instytut Telekomunikacji
Wydział Elektroniki i Technik Informacyjnych Politechniki Warszawskiej
Zabezpieczenia 6/2007
Literatura
[1]Information technology - Security techniques - Guidelines for information and communications
technology disaster recovery services, ISO/IEC FCD 24762, 2006-12-21.
[2]SS 507:2004 - Business continuity/disaster recovery (BC/DR) service providers,
Singapore Standard, 2004.
[3]SP 800-34 - Contingency Planning Guide for Information Technology Systems, NIST, June 2002.
[4]BS 25999-1:2006 Code of practice for business continuity management, BSI, November 2006.
[5]BS 25999-2:2007 Specification for business continuity management, BSI, Spring 2007.
[6]A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006.
[7]Annex 2 to the Convention on International Civil Aviation, Rules of the Air, ICAO, Tenth Edition, July 2005.
[8]Annex 10 to the Convention on International Civil Aviation, Aeronautical Telecommunications, Volume II Communication Procedures including those with PANS status, ICAO, Sixth Edition, October 2001.
[9]Annex 10 to the Convention on International Civil Aviation, Aeronautical Telecommunications, Volume III Communication Systems, ICAO, First Edition, July 1995.
[10]Annex 10 to the Convention on International Civil Aviation, Aeronautical Telecommunications, Volume IV Surveillance Radar and Collision Avoidance Systems, ICAO, Third Edition, July 2002.
[11]Annex 10 to the Convention on International Civil Aviation, Aeronautical Telecommunications, Volume V Aeronautical Radio Frequency Spectrum Utilization, ICAO, Second Edition, July 2001.
[12]Annex 11 to the Convention on International Civil Aviation, Aeronautical Telecommunications, Air Traffic Services, ICAO, Thirteenth Edition, July 2001.
[13]Doc 4444, Air Traffic Management, ICAO, Fourteenth Edition, 2001.
[14]General & CFMU Systems, EUROCONTROL, Edition 11.0, 02 May 2006.
[19]http://www.eurocontrol.int/src/public/standard_page/src_deliverables.html
[20]http://www.naviair.dk/page119.aspx?newsid119=104