En agosto de, el Instituto Americano de Aeronáutica y Astronáutica (AIAA), la sociedad profesional del campo de la ingeniería aeroespacial, convocó una conferencia de aviación civil en la que se debatió la ciberseguridad a nivel industrial. Al finalizar la conferencia a la que asistieron transportistas extranjeros, se publicó un Marco para la ciberseguridad de la aviación que proporcionó un camino estratégico a seguir al identificar áreas focales clave, como estándares comunes de ciberseguridad de la aviación, desarrollar e implementar una cultura de ciberseguridad, comprender los riesgos cibernéticos y ser capaz de comunicarlos para reforzar la conciencia situacional y fortalecer el sistema defensivo. Desde entonces, se han celebrado varias conferencias internacionales sobre ciberseguridad de la aviación.
Dada la naturaleza global de la aviación civil, el marco es un documento importante que aborda muchas de las preocupaciones que afectan a la comunidad de la aviación civil internacional.
Pero, ¿qué se ha hecho desde entonces para mejorar la ciberseguridad de la aviación civil? Desde que se produjo el marco, han ocurrido algunos incidentes notables:
- En una conferencia de, el Departamento de Seguridad Nacional ( DHS ) afirmó haber realizado con éxito una “penetración remota y no cooperativa” de un Boeing 757 en septiembre de, afirmación que Boeing ha refutado desde entonces.
- En, el director de la Agencia Europea de Seguridad Aérea ( EASA ) reveló que los sistemas de aviación estaban sujetos a una media de 1.000 ataques cada mes.
- También en, el aeropuerto de Ucrania fue víctima de malware sospechoso de provenir de atacantes rusos. De manera similar, en junio de , otro malware provocó retrasos en los vuelos y afectó los horarios de los mismos.
- En, un investigador fue expulsado de un vuelo de United Airlines el mes pasado después de tuitear sobre vulnerabilidades de seguridad en su sistema que previamente había tomado el control de un avión y lo había provocado que volara brevemente de lado. También afirmó haber accedido a las redes a bordo unas 15 veces durante varios vuelos, pero solo exploró las redes y observó el tráfico de datos que las cruzaba.
A medida que las aeronaves se vuelven cada vez más conectadas, hay más puntos de entrada potenciales disponibles para actores de amenazas emprendedores e innovadores que buscan explotar las debilidades inherentes en un entorno que abarca desde el diseño de aeronaves, los problemas de la cadena de suministro, la producción de aeronaves y la seguridad aeroportuaria. Desde que se anunció que la mayoría de los aviones civiles adoptarían el sistema de transmisión automática de vigilancia dependiente (ADS-B) como parte del proyecto SESAR de próxima generación de Estados Unidos y de Europa, ha aumentado la preocupación por la seguridad de estos sistemas, ya que no estaban cifrados y eran susceptibles a ataque. En lugar de exigir reforzar la seguridad de una tecnología aeronáutica tan crítica, la orientación de la Organización de Aviación Civil Internacional (OACI) de Europa ha citado «la considerable publicidad alarmista sobre la seguridad del ADS-B» que es desconcertante.
Por supuesto, los costos asociados con la solución de problemas en la ciberseguridad de la aviación pueden convertirse en una tarea costosa. Según una fuente , el coste de cambiar una línea de código en un equipo de aviónica es de 1 millón de dólares y su implementación lleva un año. La misma fuente indica que si se identificara una vulnerabilidad cibernética en un avión en particular del que dependía una aerolínea para su flota, podría potencialmente llevarla a la quiebra. Sin embargo, tal realidad requiere que las tecnologías se desarrollen teniendo en cuenta la seguridad antes de su producción, y no esperar que no sean explotadas, o tratar de arreglarlas después de que ya se haya producido su explotación.
Ha habido algunos avances prometedores en la solución del problema de ciberseguridad de la aviación. En Estados Unidos, dos senadores reintrodujeron una legislación que requeriría la divulgación de información relacionada con ataques cibernéticos a sistemas de aeronaves y sistemas de mantenimiento y apoyo en tierra para aeronaves. El proyecto de ley requeriría que el Departamento de Transporte colabore con el DHS y la Comisión Federal de Comunicaciones, y con el Director de Inteligencia Nacional para incorporar requisitos de ciberseguridad de la aviación en los requisitos para obtener un certificado de operación de transportista aéreo o un certificado de producción. De manera similar, la Directiva europea sobre seguridad de la información y las redes se implementará en marzo de. La Directivase centra en la organización, la protección, el monitoreo de la seguridad y la respuesta y recuperación, y se aplicará en todas las infraestructuras críticas, incluido el sector de la aviación.
Sin duda, estos son avances positivos. Sin embargo, lo que vale la pena señalar es que estos esfuerzos parecen ocurrir en paralelo en lugar de desarrollarse en colaboración. Vale la pena señalar esto porque la aviación civil no está regulada para vuelos nacionales, sino que también incluye vuelos internacionales. Como tal, no importa si una aeronave es segura en su propio entorno si debe viajar a otro destino que pueda tener estándares de seguridad menores. El ecosistema de la aviación civil es amplio y demasiado grande para asegurarlo de manera integral, por lo que requiere un enfoque de gestión de riesgos. Si bien este enfoque probablemente se implementaría de manera diferente según la organización individual (por ejemplo, aeropuertos), las políticas que impulsan las consideraciones de seguridad pueden estandarizarse entre las partes interesadas internacionales. Y eso requiere que los gobiernos y las organizaciones aéreas estén en sintonía a la hora de establecer e implementar estrategias de ciberseguridad en la aviación. Ése sigue siendo un desafío que queda por afrontar.
Esta es una publicación invitada escrita por Emilio Iasiello.