Passo muito tempo viajando internacionalmente. Então, naturalmente, passo muito tempo em aviões e obtenho todos os benefícios dos novos desenvolvimentos tecnológicos da indústria da aviação, como Wi-Fi a bordo, identificação biométrica rápida e fácil, rastreamento inteligente de bagagem e muito mais.
Não ter que parar de trabalhar quando estou voando é incrível. Dito isso, acredito que esses novos desenvolvimentos tecnológicos, ao mesmo tempo em que melhoram a experiência de passageiros frequentes como eu, também podem aumentar o perigo de ameaças à segurança cibernética na indústria da aviação.
Essas ameaças já existem há algum tempo, mas estão crescendo e aumentando constantemente. Por exemplo, os ataques de ransomware na cadeia de suprimentos da aviação aumentaram 600% em um único ano. Seja qual for o motivo, as autoridades globais de aviação e as companhias aéreas precisam se esforçar para preencher a lacuna de segurança.
O risco é real
A razão mais óbvia para o aumento dos ataques é que tudo está se tornando digital. Começamos a confiar cada vez mais em tecnologias que se conectam à internet, e a indústria da aviação está fazendo a mesma coisa. Como resultado, há mais vulnerabilidades a serem exploradas por agentes mal-intencionados.
Outro motivo é o uso de software comercial pronto para uso (COTS) a bordo de aviões e em toda a cadeia de suprimentos da aviação. O COTS é um software que não foi desenvolvido específica e exclusivamente para o setor de aviação, mas pode funcionar em qualquer setor. Um bom exemplo é o pacote Microsoft 365 Office ou um software de banco de dados comum como o MongoDB, ambos de uso comum nas operações diárias das companhias aéreas.
Esses tipos de software podem ser um problema de segurança porque as autoridades da aviação não têm controle total sobre o software. A detecção e aplicação de patches de vulnerabilidades são amplamente deixadas para o fornecedor do software, com sucesso questionável. Por exemplo, lembro-me de ter lido sobre uma grande violação da American Airlines no ano passado que afetou mais de 1.700 pessoas. Os invasores exploraram a conta do Microsoft 365 da empresa por meio de um ataque de phishing que obteve com sucesso credenciais confidenciais de um funcionário.
Na verdade, o risco é maior com sistemas terrestres e aéreos do que com software de bordo. Isso ocorre porque os sistemas de voo precisam passar por testes rigorosos e seguir as diretrizes estritas estabelecidas pela DO-326A , a “Especificação do Processo de Segurança da Aeronavegabilidade”, nos EUA e ED-201A, a “GUidance da Estrutura de Segurança do Sistema de Informação Aeronáutica” nos Estados Unidos. a UE. As diretrizes foram extremamente bem-sucedidas na prevenção de cibercriminosos de acessar sistemas aviônicos durante o voo. Por outro lado, aeroportos, sistemas de companhias aéreas, sistemas de gerenciamento de tráfego e muito mais têm sido alvos frequentes e permanecem vulneráveis a ataques.
As companhias aéreas precisam intensificar
Acho que as companhias aéreas têm um grande papel a desempenhar na implementação de novas estratégias para promover uma melhor segurança cibernética porque são o alvo número um . Então eu vou oferecer o meu conselho para essas empresas. Existem algumas práticas recomendadas que você pode seguir para reduzir vulnerabilidades e violações.
Eu recomendo implementar algum tipo de programa de divulgação de vulnerabilidade. Esses tipos de programas fornecem algum tipo de recompensa, seja uma recompensa monetária ou milhas aéreas, etc., para pesquisadores de segurança independentes que descobrem e divulgam vulnerabilidades em determinados sistemas de companhias aéreas. Se você optar por implementar tal programa, precisará estabelecer diretrizes ou um formulário automatizado para permitir que os pesquisadores enviem relatórios de vulnerabilidade precisos e claros.
Você também precisará garantir que certos tipos de vulnerabilidades sejam explicitamente excluídos da recompensa. Afinal, você definitivamente não quer que os pesquisadores façam testes surpresa de vulnerabilidade em sistemas em trânsito e causem um problema de segurança, ou lancem um ataque de negação de serviço de “teste” em seu site que possa resultar em clientes reais não sendo capazes de agendar voos. Você pode ver um exemplo de uma boa implementação de programa de divulgação de vulnerabilidades no site da United Airlines .
A outra coisa que você pode fazer é redobrar seus esforços para proteger o software COTS e ensinar os funcionários a usá-lo da maneira mais segura possível. Por exemplo, o ataque de phishing que resultou na violação da American Airlines pode não ter ocorrido se o funcionário tivesse sido adequadamente treinado para reconhecer tais ameaças. Os ataques de phishing continuam entre as principais ameaças enfrentadas pelo setor, portanto, um melhor treinamento ajudará você a evitar uma porcentagem decente de ataques.
Nenhuma dessas recomendações é uma bala de prata para a segurança cibernética da aviação, mas representam um bom começo.
Cibersegurança é um esforço de equipe
Em última análise, mesmo depois que as companhias aéreas e os aeroportos individuais tiverem feito tudo o que podem, sempre haverá ameaças e vulnerabilidades. À medida que os ataques aumentam, precisamos ficar mais inteligentes em como lidar com eles. Companhias aéreas, fabricantes, desenvolvedores e todas as outras partes da cadeia de suprimentos da aviação podem e devem participar dos esforços para proteger aeronaves, funcionários e passageiros contra ameaças cibernéticas.
Este artigo foi fornecido por Vance Hilderman, o principal fundador/CTO de três empresas de desenvolvimento/certificação de aviação, incluindo TekSci, HighRely e AFuzion . Hilderman treinou mais de 31.000 engenheiros em mais de 700 empresas de aviação e mais de 30 países. Sua propriedade intelectual está em uso por 70% dos 300 maiores desenvolvedores de sistemas e aviação do mundo, e ele empregou e presidiu pessoalmente mais de 500 dos principais engenheiros de aviação do mundo em mais de 300 projetos nos últimos 35 anos. As soluções da AFuzion estão em 90% das aeronaves desenvolvidas nas últimas três décadas.
Fonte: Vance Hilderman, CEO da AFuzion
