Com a maioria dos processos de aviação agora digitalizados, as companhias aéreas e o setor de aviação como um todo devem priorizar a cibersegurança. Se um criminoso cibernético lançar um ataque que afete um sistema envolvido na aviação (seja o sistema de uma companhia aérea ou de um fornecedor terceirizado), todo o processo, da segurança ao conforto do passageiro, poderá ser afetado.
Para melhorar a segurança no setor de aviação, a FAA propôs recentemente novas regras para reforçar a cibersegurança em aviões. Essas regras “protegeriam os equipamentos, sistemas e redes de aviões da categoria transporte, motores e hélices contra interações eletrônicas intencionais não autorizadas (IUEI) que poderiam criar riscos à segurança”. Se finalizadas, as mudanças afetarão todo o setor, incluindo as companhias aéreas, fornecedores terceirizados e passageiros.
Os ataques decibersegurança e as violações de dados afetaram todas as áreas do setor de aviação nas últimas décadas. Incidentes notáveis incluem a violação da Cathay Pacific, que afetou mais de 9 milhões de informações pessoais de passageiros, e a violação da SITA em 2021, afetando membros de passageiros frequentes, principalmente membros da Star Alliance e OneWorld. O site do aeroporto de Los Angeles foi vítima de um ataque de DDoS que ficou fora do ar por várias horas.
"A realidade é dura: nosso setor de aviação está sob constante ameaça de ataques cibernéticos, um aumento de 74% desde 2020. "Com o setor da aviação contribuindo com mais de 5% do nosso PIB, US$ 1,9 trilhão em atividade econômica total e sustentando 11 milhões de empregos, precisamos acordar e levar a sério essas ameaças cibernéticas à aviação", disse a senadora americana Maria Cantwell em uma audiência no Congresso em 18 de setembro de 2024.
No geral, o setor de aviação recebe atualmente uma nota B, de acordo com o relatório The Cyber Risk Landscape of the Global Aviation Industry, 2024. Os pesquisadores descobriram que as organizações classificadas com B tinham 2,9 vezes mais probabilidade de serem vítimas de violações de dados do que aquelas com classificação A, ilustrando o grande impacto de diferenças aparentemente pequenas. Os ataques deransomware continuam sendo uma das principais ameaças, e uma pesquisa recente da Bridewell descobriu que 55% dos tomadores de decisão cibernéticos da aviação civil reconheceram ter recebido um ataque de ransomware nos últimos 12 meses. Quando perguntados sobre o impacto, 38% relataram interrupção operacional e 41% disseram que sua organização perdeu dados.
Ted Theisen, Diretor Administrativo de Prática de Cibersegurança da FTI Consulting, disse que o uso prolífico de equipamentos e sistemas legados no setor de aviação carece das funcionalidades necessárias para protegê-los, como a instalação de atualizações críticas e compatibilidade com novos protocolos. Como o setor de aviação frequentemente terceiriza serviços a terceiros, os fornecedores podem acessar sistemas e redes, introduzindo vulnerabilidades.
"A força de trabalho distribuída e os sistemas distribuídos criam uma superfície de ataque expandida que aumenta os pontos de acesso que podem ser explorados por agentes de ameaças", diz Theisen. “Essa configuração dispersa dificulta a proteção dos sistemas, o monitoramento de ameaças à cibersegurança e a mitigação do acesso não autorizado.”
Enquanto a cibersegurança da aviação se concentra em vulnerabilidades e ataques a todos os sistemas envolvidos na aviação, o foco das novas regras está na cibersegurança do avião real. Todos os dados, desde a localização do voo até um alerta sobre um problema de manutenção, que são enviados de um avião para uma rede, correm o risco de serem violados por terceiros.
Como os dados são enviados continuamente de todos os aviões em voo, uma grande quantidade de dados críticos está em risco todos os dias. A National Business Aviation Association relatou que o roteador a bordo da aeronave, que fornece conectividade à tripulação e aos passageiros, representa uma grande vulnerabilidade, especialmente se a senha do roteador não for alterada regularmente.
A FAA afirmou que a mudança na forma como os aviões, juntamente com seus motores e sistemas de hélices, estão cada vez mais conectados a redes e serviços de dados internos ou externos foi um fator fundamental nas novas regras. Os projetos interconectados permitem que uma vulnerabilidade venha de uma variedade de novas fontes, incluindo notebooks de manutenção, redes públicas e telefones celulares. Como resultado, reguladores e profissionais do setor devem monitorar mais de perto os sistemas em busca de ameaças à cibersegurança.
Desde 2009, a FAA tem emitido cada vez mais "condições especiais" relacionadas à cibersegurança. Essas são regulamentações temporárias para um caso específico lidar com essas novas vulnerabilidades. Wesley Mooty, Diretor Executivo do Serviço de Certificação de Aeronaves da FAA, afirmou que cada uma dessas desconexão aumenta a complexidade, o custo e o tempo da certificação, tanto para o requerente quanto para os reguladores. Como resultado, a FAA propôs um pacote de criação de regras que abrange as condições especiais de cibersegurança mais comuns para padronizar os critérios para lidar com as ameaças à cibersegurança, o que reduzirá os custos e o tempo da certificação.
As novas regras propostas afirmam que os requerentes de certificações de produtos devem garantir que o equipamento, os sistemas e as redes de cada avião estejam protegidos contra IUEIs que podem resultar em um efeito adverso na segurança do avião.
Estes são os requisitos para proteger os ativos, conforme descrito na documentação oficial da FFA:
Embora o objetivo das novas regras seja padronizar os critérios de cibersegurança, espera-se que elas também tenham efeitos adicionais. A menos que um produto seja atualizado e precise ser recertificado, as novas regras afetam somente produtos novos, não produtos atualmente no mercado. Como cada produto não precisa mais esperar por uma consideração especial para as questões de cibersegurança, as aprovações provavelmente serão mais rápidas, o que significa que os novos produtos chegarão ao mercado mais rápido.
Além disso, as regras propostas podem afetar indiretamente a experiência do passageiro. Quando ocorre um incidente de cibersegurança, a companhia aérea, o aeroporto ou os fornecedores terceirizados normalmente ficam offline, o que causa atrasos. Com processos padronizados de cibersegurança e vulnerabilidades reduzidas, os passageiros podem ter menos probabilidade de serem afetados por incidentes cibernéticos.
"A implementação de regras mais rígidas de cibersegurança também pode resultar em aumento de custos operacionais para as companhias aéreas, o que pode afetar os preços das passagens aéreas", diz Itay Glick, Vice-presidente da OPSWAT, uma empresa de soluções de cibersegurança. "Embora os passageiros possam ter uma experiência ligeiramente mais alta de custos de passagens à medida que as companhias aéreas repassam as despesas de conformidade, o principal benefício desses novos regulamentos será maior segurança e proteção."
Enquanto as regras propostas estão passando pelo processo de comentários e aprovação, as organizações de aviação, incluindo aeroportos, fornecedores terceirizados e companhias aéreas, devem começar a planejar as novas diretrizes. Como as novas regras vão impor padrões mais rigorosos, Glick diz que as organizações precisam focar em seus protocolos de cibersegurança, avaliações de segurança e estratégias de resposta a incidentes .
"Para se preparar para essas mudanças, as companhias aéreas devem realizar avaliações abrangentes para identificar vulnerabilidades e investir em cibersegurança para os funcionários, para aprimorar sua consciência e recursos de resposta", diz Glick. "Além disso, os requisitos para tecnologias avançadas, como detecção de ameaças e proteção de endpoints, são cruciais. Para evitar qualquer requisito de resposta a incidentes, as companhias aéreas precisariam aprimorar proativamente sua postura de segurança para evitar um ataque bem-sucedido”.
