Nas últimas duas décadas, a segurança cibernética protegendo aeronaves e seus sistemas tem capturado cada vez mais a atenção de líderes governamentais e partes interessadas em todo o mundo, à medida que as comunicações globais evoluem, juntamente com potenciais vulnerabilidades. Essas atividades se intensificaram mais recentemente, incluindo o tão esperado lançamento de um aviso de proposta de regulamentação [NPRM] que saiu no ano passado junto com padrões atualizados, diretivas do Congresso e até mesmo um memorando da Casa Branca.

“Foi um ano muito movimentado do ponto de vista técnico e de política regulatória no campo da segurança cibernética”, disse Jens Hennig, vice-presidente de operações da General Aviation Manufacturers Association.

Muitos desses esforços são o ápice do trabalho que começou na década de 2000. Antes de 2007, os regulamentos e orientações de segurança da FAA não abordavam especificamente as principais preocupações com a segurança de dados e redes aéreas, pois as comunicações globais ainda estavam amadurecendo. Em vez disso, a FAA começou a emitir várias condições especiais para aeronaves novas e atualizadas e seus sistemas para garantir que fornecessem projetos de segurança cibernética adequados.

Essas condições exigem que os requerentes demonstrem que seus projetos fornecem isolamento ou proteção contra acesso não autorizado; demonstrem que os projetos evitam alterações inadvertidas e maliciosas; e estabeleçam procedimentos para manter proteções de segurança cibernética.

Isso começou com o Boeing 787, a FAA observou, mas continuou para todos os outros novos projetos. Como tal, a Boeing pediu à FAA para explorar a possibilidade de mais orientação geral, e isso gerou o trabalho inicial na criação de padrões. A agência colaborou com empresas como Honeywell e Collins Aerospace, além da Boeing, sobre o assunto, e isso culminou inicialmente em orientação emitida há cerca de uma década pela organização de padrões RTCA, em conjunto com a organização europeia EUROCAE.

Mais de meia dúzia de documentos foram lançados e desde então foram atualizados várias vezes, mais recentemente no ano passado, conforme a comunidade aprende mais e as tecnologias evoluem. “Aprendemos muito nos últimos 10 anos”, observou Hennig.

Enquanto isso, enquanto continuava a emitir as condições especiais, a FAA contemplava a melhor forma de abordar o cenário da segurança cibernética. Poderia ser incorporado aos requisitos de segurança? A agência concluiu que a segurança cibernética era única o suficiente para que precisasse de um comitê de regulamentação para trabalhar nela. 

Por fim, um grupo de trabalho de Proteção/Segurança da Informação de Sistemas Aeronáuticos do governo/indústria foi criado em 2015 para explorar as mudanças regulatórias necessárias com base nos esforços de definição de padrões.

Esse grupo não incluía apenas a comunidade dos EUA, mas também reguladores internacionais, como a EASA, a ANAC do Brasil e a Transport Canada, e outras comunidades, como a Administração de Segurança de Transporte (TSA), a Guarda Costeira dos EUA e o Departamento de Defesa.

Segundo Hennig, copresidente desse grupo de trabalho, o órgão emitiu 30 recomendações em 2016 sobre regulamentações de aeronavegabilidade que abordariam especificamente a segurança cibernética.

A EASA avançou relativamente rápido em um aviso de proposta de emenda e emitiu sua regulamentação em 2019. Esse esforço entrou em vigor em 2021.

No entanto, Hennig observou desafios contínuos com a regulamentação da FAA. “Ela parou há vários anos”, disse ele. “Houve desafios para tirar qualquer coisa da agência.”

O presidente e CEO da GAMA, Pete Bunce, apelou aos legisladores, observando que questões-chave como a segurança cibernética estavam definhando. O Congresso tomou conhecimento e a FAA também.

“O escritório de regulamentação estava prestando atenção, e se você viu o volume de propostas regulatórias que surgiram neste [último] ano, é realmente impressionante”, disse Hennig, acrescentando que os líderes “desobstruíram o congestionamento que ocorria há muitos e muitos anos”.

Uma dessas regulamentações foi o NPRM de segurança cibernética lançado em agosto de 2024.

Essa regulamentação está alinhada às recomendações do grupo de trabalho, mas tem um escopo mais restrito do que a regulamentação da EASA, focada principalmente nas Partes 25 (aeronaves de categoria de transporte), 33 (motores) e 35 (hélices).

“Estamos tendo algumas discussões sobre a comunidade de helicópteros, onde eles veem uma lacuna regulatória”, disse Hennig. “Não é uma diferença de filosofia que não faríamos segurança cibernética nos Estados Unidos. Mas é sempre uma burocracia adicional quando há uma diferença nas regras.”

Mas fechar essas lacunas é importante. “Os requisitos não estão harmonizados, e isso não é bom”, ele continuou, acrescentando que o NPRM pode precisar de uma emenda, ou a FAA pode precisar de um segundo NPRM para se alinhar com a Europa.

Quanto ao NPRM, a FAA sustentou que a proposta reflete amplamente as práticas atualmente exigidas estabelecidas por meio de condições especiais. “Assim, o impacto sobre os requerentes e operadores [da proposta] não seria significativo”, disse a agência.

Essas regulamentações são cada vez mais necessárias, acrescentou a FAA, porque aeronaves mais novas têm designs com muito mais integração e conectividade de sistemas, incluindo fontes externas, como software carregável em campo, laptops de manutenção, redes de link de portão de aeroporto, dispositivos USB, malas eletrônicas portáteis de voo e comunicações por GPS, celular e satélite. “Reguladores e a indústria devem monitorar constantemente o ambiente de ameaças à segurança cibernética para identificar e mitigar novas fontes de ameaças.”

Hennig concordou: “A regra obviamente não é uma surpresa para ninguém porque a maioria dos fabricantes estava na mesa quando escrevemos o rascunho, e a maioria dos fabricantes também está na mesa no desenvolvimento de padrões técnicos. Há um alto grau de experiência entre os fabricantes para fazer o trabalho técnico, para atender à regra quando ela finalmente for finalizada”, disse Hennig.

A regulamentação essencialmente codifica o que já estava em andamento, ele acrescentou. “Isso simplificará a burocracia e harmonizará os padrões entre a Europa e os Estados Unidos”, ele disse. “É uma regra de eficiência e também finalmente esclarece que é isso que estamos fazendo.”

Os regulamentos propostos analisam de alto nível todos os sistemas e não apenas o convés de voo. O entretenimento a bordo é um exemplo. “Para estar em uma aeronave, um sistema de entretenimento a bordo precisa ter um certificado de tipo suplementar [STC]. Você não pode simplesmente colocá-lo ali. A FAA analisará isso através das lentes dos padrões que estão nos livros”, disse ele, acrescentando que, como o processo do STC está em andamento, “o tópico que sempre surge é abordar a segurança cibernética”.

Além disso, ele define o modelo de como considerar outros aspectos. “Um grande componente das proteções de segurança cibernética são os processos em torno de como você as gerencia.” Isso inclui instruções de manutenção, particularmente à medida que a aeronave conectada se torna mais prevalente.

Agora, laptops ou computadores se conectam a aeronaves para manutenção ou outros propósitos de dados. “Este laptop deve obviamente ter um conjunto de proteções também para que isso não se torne o caminho pelo qual coisas ruins podem acontecer”, ele disse. “É um ecossistema inteiro de proteções. É durante a vida útil da aeronave que temos que olhar para isso também, e treinar, é claro, os pilotos, mecânicos e outros para suas funções dentro desse sistema.”

Mas também é importante para a regulamentação, ele acrescentou, que várias agências federais tenham entrado no espaço da segurança cibernética. “Houve conversas sobre qual agência, qual departamento é dono da segurança cibernética para transporte, aviação e assim por diante”, ele disse. “O lançamento deste NPRM garante que a FAA ocupe claramente o espaço da segurança cibernética para aeronaves e sistemas de aeronaves. Essa tem sido a trajetória em que estamos.”

A FAA já vinha estabelecendo seu caminho por meio de condições especiais. “Mas quando vamos além da FAA, uma condição especial é difícil de explicar”, acrescentou Hennig. “É muito mais claro dizer, aqui está uma [regra]. Nós possuímos isso, estamos gerenciando essa parte da equação de risco.”

Hennig admitiu que algumas partes da segurança são melhor tratadas fora da agência, como os requisitos de aeroportos e transportadoras aéreas da TSA. “Isso faz sentido. Aeroportos e transportadoras aéreas são entidades regulamentadas pela TSA. Fabricantes não são”, disse ele.

Também no ano passado, a Casa Branca ajudou a delinear responsabilidades de segurança cibernética por meio de um “Memorando de Segurança Nacional sobre Segurança e Resiliência de Infraestrutura Crítica”. A Casa Branca deixou claro que é uma jurisdição dupla entre o DHS e o DOT, disse Hennig.

Enquanto a Casa Branca essencialmente considerou, “Cada um de vocês possui uma parte da equação”, ele disse que não era isso que estava acontecendo. Com o NPRM, a FAA saiu e disse: “Temos a aeronave. Temos os sistemas da aeronave”, acrescentou Hennig.

No topo de toda essa atividade está o Congresso, que incluiu inúmeras medidas sobre segurança cibernética no mais recente projeto de lei de reautorização da FAA que foi adotado no ano passado. Isso incluiu um subtítulo e cutuca a FAA na regulamentação, junto com proteções em áreas como controle de tráfego aéreo.

Enquanto isso, enquanto a FAA pondera os comentários para uma regra final, a segurança cibernética não está permanecendo estática. Isso se tornará especialmente atual com novos participantes. “Eles já estão analisando as inúmeras abordagens técnicas para lidar com a segurança cibernética”, disse ele, particularmente porque alguns dos sistemas que envolvem essas operações ficam fora da aeronave. Haverá várias camadas de proteção, ele supôs.

Para as regulamentações atuais, “estamos lidando com aeronaves que ainda têm um piloto a bordo”. No entanto, esta é uma questão que ainda precisa ser explorada.

Fonte: Kerry Lynch • Editor / AIN