Setor de aviação busca unificar práticas de segurança cibernética

A indústria da aviação precisa unificar sua abordagem de segurança cibernética para mitigar riscos crescentes, afirma um novo estudo divulgado pelo Fórum Econômico Mundial (WEF). O relatório “Pathways Towards a Cyber Resilient Aviation Industry” encoraja a definição de uma linguagem comum, e de práticas e iniciativas coletivas para aumentar a resiliência cibernética em todo o ecossistema aeronáutico.

Hoje, companhias aéreas, aeroportos e fabricantes de aeronaves adotam abordagens diferentes de combater aos riscos cibernéticos. Mesmo diante de iniciativa como a “Aviation Cybersecurity Strategy”, elaborada pela International Civil Aviation Organization (ICAO) em 2019 e que resultou no Cybersecurity Action Plan,  publicado em novembro do ano passado.

Desenvolvido em colaboração com a Deloitte, o estudo é fruto Cyber ​​Resilience in Aviation, iniciativa coordenada pelo WEF que conta com a colaboração de  organizações e mais de 50 empresas do setor. Os principais colaboradores incluem ICAO, NCSC, EASA, IATA, ACI, Eurocontrol e UK CAA.

“A indústria da aviação desenvolveu um forte histórico de segurança, resiliência e práticas de proteção para ameaças físicas e deve integrar os riscos cibernéticos a essa cultura de segurança e resiliência”, explica Georges De Moura, chefe de soluções para a indústria do Center for Cybersecurity, do WEF.

Desde o início o início da pandemia de Covid-19, houve um aumento global sem precedentes na atividade dos cibercriminosos. Os ataques de phishing mais do que dobraram em comparação com 2019 e, em alguns lugares, aumentaram seis vezes. Também houve uma série de tentativas de ataques cibernéticos a infraestruturas críticas, incluindo aeroportos, redes de energia, portos e instalações de água e esgoto. Até mesmo hospitais que tratam de pacientes com Covid-19 foram alvos, e a própria Organização Mundial da Saúde relatou um aumento sem precedente nos ataques a suas redes.

Preocupa, sobretudo, o fato de o setor de aviação desempenhar um papel vital no transporte não apenas de pessoas e cargas tradicionais, mas também de vacinas – o que representa o maior desafio de transporte de sua história. É altamente provável que as redes de aviação e outros setores associados à cadeia de abastecimento de distribuição de vacinas estejam sujeitos a um volume significativo de atividades cibernéticas adversas nos próximos meses.

No evento virtual que marcou o lançamento do relatório, em 14 de abril, o Secretário-Geral da ICAO, Fang Liu, explorou as principais prioridades de resiliência cibernética para a aviação, observando que à medida que o setor de transporte aéreo continua a se modernizar e digitalizar, os riscos cibernéticos aumentam pata todos: aeroportos, companhias aéreas e prestadores de serviços de navegação aérea, bem como outros fornecedores de serviços.

Na opinião de disse Chris Verdonck, da Deloitte, a sombra do hack do SolarWinds ilustra muito claramente que a proteção contra ameaças invisíveis é tão vital quanto a segurança física nos aeroportos. “Adotar uma postura colaborativa de resiliência cibernética e criar confiança entre organizações intersetoriais, autoridades nacionais e supranacionais é o próximo passo lógico, mas desafiador”, diz ele.

A meta é a resiliência cibernética do setor

Segundo o WEF, o relatório é uma chamada à ação para lideranças empresariais, reguladores e formuladores de políticas, profissionais de cibersegurança e fornecedores de tecnologia, com o objetivo de aumentar a resiliência cibernética de todo ecossistema.

Seus organizadores definem resiliência cibernética como “a capacidade de antecipar, resistir, recuperar e se adaptar a condições adversas, tensões, ataques ou comprometimentos em sistemas que usam ou são habilitados por recursos cibernéticos”.

E embora reconheçam que cada elo do ecossistema esteja determinado a alcançar níveis mais elevados de resiliência cibernética, alertam que seus esforços estão e continuarão sendo dificultados por várias barreiras técnicas e regulatórias. A superação dessas barreiras exigirá uma abordagem holística, sistemática e colaborativa por parte de múltiplos atores nos setores público e privado.

É sabido que o setor de aviação tem um perfil de risco cibernético distinto. Para manter as viagens aéreas seguras e eficientes é necessário coletar informações pessoais e de pagamento dos clientes, tornando a indústria um alvo preferencial para hackers. Computadores também controlam funções críticas em toda a cadeia operacional, como navegação de aeronaves, sistemas de controle de tráfego aéreo, reserva de passageiros, check-in, gestão de suprimentos.

É imperativo que as empresas de aviação entendam o potencial de danos físicos e financeiros decorrentes de ataques cibernéticos. Períodos curtos de inatividade podem levar a graves problemas, com repercussão global. Uma série de exploits e ataques realizadas na última década demonstraram que perdas significativas podem ser causadas aos ativos físicos quando os sistemas computacionais são comprometidos.

Dado o grande número de clientes que a indústria da aviação atende diariamente e a responsabilidade pela segurança dos passageiros, um incidente cibernético provavelmente atrairá a atenção significativa do governo e da mídia.

Independentemente dos danos causados ​​por um incidente cibernético, a reputação da empresa será afetada, deixando-a sujeita a custos substanciais de reparação, incluindo despesas com perícia e remediação de TI, bem como despesas de relações públicas.