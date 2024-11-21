Con la maggior parte dei processi aeronautici ora digitalizzati, le compagnie aeree e l'industria aeronautica nel suo complesso devono dare priorità alla cybersecurity. Se un criminale informatico lancia un attacco che colpisce un sistema coinvolto nell'aviazione, sia quello di una compagnia aerea che un fornitore terzo, l'intero processo potrebbe essere compromesso, dalla sicurezza al comfort dei passeggeri.
Per migliorare la sicurezza nei settori aeronautici, la FAA ha recentemente proposto nuove regole per rafforzare la cybersecurity sugli aerei. Tali norme "proteggono le apparecchiature, i sistemi e le reti degli aerei, dei motori e delle eliche della categoria di trasporto da interazioni elettroniche intenzionali non autorizzate (IUEI) che potrebbero creare rischi per la sicurezza". Se finalizzate, le modifiche interesseranno l'intero settore, comprese le compagnie aeree, i fornitori di terze parti e i passeggeri.
Attacchi alla cybersecurity e violazioni dei dati hanno colpito tutte le parti dei settori dell'aviazione negli ultimi decenni. Gli incidenti più importanti includono la violazione di Cathay Pacific che ha interessato più di 9 milioni di informazioni personali dei passeggeri e la violazione SITA del 2021 dei soci frequent flyer, principalmente membri di Star Alliance e OneWorld. Il sito web dell'aeroporto di Los Angeles è stato vittima di un attacco DDoS che ha messo offline il suo sito per diverse ore.
"La dura realtà è che il settore dell’aviazione è costantemente minacciato dagli attacchi informatici, con un aumento del 74% dal 2020. Poiché il settore dell'aviazione contribuisce a oltre il 5% del nostro PIL, 1,9 trilioni di dollari di attività economica totale e a 11 milioni di posti di lavoro, dobbiamo svegliarci e prendere sul serio queste minacce informatiche all'aviazione", ha dichiarato la senatrice americana Maria Cantwell durante un'udienza al Congresso il 18 settembre 2024.
Nel complesso, secondo il report The Cyber Risk Landscape of the Global Aviation Industry, 2024 , il settore dell'aviazione riceve attualmente un voto B. I ricercatori hanno scoperto che le organizzazioni classificate a B avevano 2,9 volte più probabilità di essere vittime di violazioni dei dati rispetto a quelle con un punteggio A, illustrando il grande impatto di differenze apparentemente piccole. Gli attacchi ransomware rimangono una delle minacce principali, con una recente ricerca di Bridewell che ha rilevato che il 55% dei decisori informatici dell'aviazione civile ha ammesso di essere stato vittima di un attacco ransomware negli ultimi 12 mesi. Alla domanda sull'impatto, il 38% ha riferito interruzioni operative e il 41% ha dichiarato che la propria organizzazione ha perso dati.
Ted Theisen, Managing Director nella pratica di cybersecurity di FTI Consulting, ha affermato che l'uso prolifico di attrezzature e sistemi legacy nel settore aeronautico manca delle caratteristiche di protezione necessarie, come l'installazione di aggiornamenti critici e la compatibilità con nuovi protocolli. Poiché il settore aeronautico spesso esternalizza i servizi a terze parti, i fornitori possono accedere a sistemi e reti, introducendo così vulnerabilità.
"La forza lavoro distribuita e i sistemi distribuiti creano una superficie di attacco ampliata che aumenta i punti di accesso che possono essere sfruttati dagli attori delle minacce", afferma Theisen. "Questa configurazione dispersa rende difficile mettere in sicurezza i sistemi, monitorare le minacce alla cybersecurity e mitigare gli accessi non autorizzati."
Mentre la cybersecurity si concentra sulle vulnerabilità e sugli attacchi a tutti i sistemi coinvolti nell'aviazione, il focus delle nuove regole è sulla cybersecurity degli aerei veri e propri. Ogni volta che un dato, dalla posizione di volo a un avviso di un problema di manutenzione vengono inviati da un aereo a una rete, rischia di essere violato da una terza parte.
Poiché i dati vengono inviati continuamente da ogni aereo in volo, ogni giorno un'elevata quantità di dati critici viene messa a rischio. La National Business Aviation Association ha riferito che il router sugli aeromobili che fornisce la connettività all'equipaggio e ai passeggeri presenta una vulnerabilità principale, soprattutto se la password del router non viene regolarmente cambiata.
La FAA ha dichiarato che il cambiamento nel modo in cui gli aerei, insieme ai loro motori e ai sistemi a elica, sono sempre più connessi a reti e servizi dati interni o esterni è stato un fattore chiave nelle nuove regole. I design interconnessi rendono possibile che una vulnerabilità provenga da una serie di nuove fonti, tra cui laptop di manutenzione, reti pubbliche e telefoni cellulari. Di conseguenza, i regolatori e i professionisti del settore devono monitorare più da vicino i sistemi per le minacce alla cybersecurity.
Dal 2009, la FAA ha imposto sempre più "condizioni speciali" relative alla cybersecurity. Si tratta di norme temporanee per un caso specifico, volte a far fronte a queste nuove vulnerabilità. Il Direttore Esecutivo del Servizio di Certificazione degli Aeromobili della FAA, Wesley Mooty, ha dichiarato che ciascuna di queste disconnessioni aumenta complessità, costi e tempi di certificazione sia per il richiedente che per i regolatori. Di conseguenza, la FAA ha proposto un pacchetto regolamentare che copre le condizioni speciali più comuni della cybersecurity per standardizzare i criteri per indirizzare le minacce informatiche, riducendo così i costi e i tempi di certificazione.
Le nuove regole proposte stabiliscono che i richiedenti di certificazioni di prodotto devono assicurarsi che l'attrezzatura, i sistemi e le reti di ogni aereo siano protetti da IUEI che potrebbero causare effetti negativi sulla sicurezza dell'aereo.
Ecco i requisiti per proteggere gli asset, come descritti nella documentazione ufficiale FFA:
Sebbene l'obiettivo delle nuove regole sia standardizzare i criteri di cybersecurity, si prevede che avranno anche effetti aggiuntivi. A meno che un prodotto non venga aggiornato e debba essere ricertificato, le nuove regole riguardano solo i nuovi prodotti, non quelli attualmente sul mercato. Poiché ogni prodotto non dovrà più attendere una valutazione specifica per quanto riguarda le problematiche di cybersecurity, le approvazioni saranno probabilmente più rapide, il che significa che i nuovi prodotti arriveranno sul mercato più velocemente.
Inoltre, le regole proposte possono influenzare indirettamente l'esperienza del passeggero. Quando si verifica un incidente di cybersecurity, la compagnia aerea, l'aeroporto o fornitori terzi di solito si disattivano, causando ritardi. Con processi di cybersecurity standardizzati e vulnerabilità ridotte, i passeggeri saranno meno soggetti a essere colpiti da incidenti informatici.
"L'implementazione di regole più severe di cybersecurity potrebbe anche comportare un aumento dei costi operativi per le compagnie aeree, il che potrebbe influenzare i prezzi dei biglietti aerei", afferma Itay Glick, vicepresidente di OPSWAT, un'azienda di soluzioni di cybersecurity. "Sebbene i passeggeri potrebbero sostenere costi leggermente più elevati, poiché le compagnie aeree scaricano le spese di conformità, il beneficio principale di queste nuove normative sarà una maggiore sicurezza e protezione".
Mentre le regole proposte sono in fase di commento e approvazione, le organizzazioni aeronautiche, inclusi aeroporti, fornitori terzi e compagnie aeree, devono iniziare a pianificare le nuove linee guida. Poiché le nuove regole imporranno standard più severi, Glick afferma che le organizzazioni devono concentrarsi sui loro protocolli di cybersecurity, sulle valutazioni della sicurezza e sulle strategie di risposta agli incidenti .
"Per prepararsi a questi cambiamenti, le compagnie aeree devono condurre valutazioni complete dei rischi per identificare le vulnerabilità e investire nella formazione sulla cybersecurity per i dipendenti, al fine di migliorarne la consapevolezza e le capacità di risposta", afferma Glick. "Inoltre, i requisiti per tecnologie avanzate come il rilevamento delle minacce e la protezione degli endpoint sono cruciali. Per evitare qualsiasi requisito di risposta agli incidenti, le compagnie aeree devono migliorare in modo proattivo il loro livello di sicurezza per evitare attacchi."
