Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogarjulio/agosto 2023
En mayo, SAS Scandinavian Airlines sufrió una violación de ciberseguridad en la que, según se informa, los atacantes exigieron un rescate de 175.000 dólares para permitir a la aerolínea restablecer todas sus operaciones. Los ataques cibernéticos a los principales aeropuertos de EE. UU. se están volviendo cada vez más rutinarios; tanto el aeropuerto internacional de Los Ángeles como el internacional de Orlando se verán afectados en 2022.
El ecosistema de la aviación es vulnerable a los ataques cibernéticos y los reguladores están luchando por desarrollar estándares y reglas que exijan a las aerolíneas y aeropuertos reforzar las protecciones.
La Administración de Seguridad del Transporte (TSA) de Estados Unidos dijo en marzo que estaba tomando "medidas de emergencia debido a las persistentes amenazas a la ciberseguridad contra... el sector de la aviación". Promulgó una nueva enmienda de emergencia relacionada con la “resiliencia de la seguridad cibernética” para aerolíneas y aeropuertos.
"Creo que se está realizando un gran trabajo (yo mismo participo en parte de él) en la redacción de estándares", dijo a Avionics International Bill Bryant, miembro técnico de Modern Technology Solutions (MTSI) que se especializa en soluciones de ciberseguridad de la aviación. . “Todo eso es maravilloso. Pero no podemos esperar demasiado de ello. No podemos esperar que alguna vez seamos capaces de escribir un estándar completamente perfecto que haga que los aviones y las líneas aéreas sean inatacables. Porque, sea cual sea el enfoque que adoptemos, los atacantes vendrán y lo harán de otra manera. No significa dejar de [desarrollar estándares y regulaciones]. Simplemente significa que nunca has terminado. Porque cuando una solución cierra un agujero, los atacantes intentarán crear otro”.
La TSA ha ordenado a las aerolíneas y aeropuertos que "desarrollen políticas y controles de segmentación de la red para garantizar que los sistemas de tecnología operativa puedan continuar funcionando de forma segura en caso de que un sistema de tecnología de la información se haya visto comprometido". Según la TSA, las aerolíneas y los aeropuertos deben desarrollar un plan de ciberseguridad que cree "medidas de control de acceso para proteger y evitar el acceso no autorizado a sistemas cibernéticos críticos".
Además, la TSA ha ordenado a las aerolíneas y aeropuertos que implementen “políticas y procedimientos de monitoreo y detección continua para defenderse, detectar y responder a amenazas y anomalías de ciberseguridad que afectan las operaciones críticas del sistema cibernético”.
Las aerolíneas y los aeropuertos también están dirigidos a "reducir el riesgo de explotación de sistemas sin parches mediante la aplicación de parches de seguridad y actualizaciones para sistemas operativos, aplicaciones, controladores y firmware en sistemas cibernéticos críticos de manera oportuna utilizando una metodología basada en riesgos", según a la TSA.
Bryant dijo que los ataques de ciberseguridad a la aviación son cada vez más frecuentes, incluidos una serie de ataques específicos contra aerolíneas y aeropuertos que se encuentran en el ámbito más amplio de los ataques de ransomware.
"Hay una ola bastante grande de ataques de ransomware en los que actores maliciosos ingresan a un sistema y roban los datos para sí mismos, y luego cifran los datos en las unidades o en el sistema de almacenamiento", dijo. “Intentarán llegar a los suplentes lo mejor que puedan. Y luego pedir un rescate”.
“Parece que cada semana hay una historia de alguna aerolínea en particular que sufre uno de estos tipos de ataques”, añadió. “Las aerolíneas tienen muchos de esos sistemas de TI tradicionales: sistemas de emisión de boletos, sistemas de logística y sistemas de mantenimiento. A los atacantes les gusta perseguir a las organizaciones que tienen verdaderas dificultades para decir que no. Entonces, si usted es una aerolínea y pierde su sistema de emisión de boletos, ¿cuánto tiempo puede estar inactivo? Y la respuesta probablemente no sea larga. Por lo tanto, habrá una tremenda presión para que paguen, mientras que otros tipos de organizaciones pueden sobrevivir mejor sin sus sistemas durante un período de tiempo más largo”.
Bryant dijo que las aerolíneas están acostumbradas a seguir de cerca normas de seguridad redundantes que previenen un escenario catastrófico, y esa mentalidad se puede aplicar a la ciberseguridad, con una salvedad.
"Existe una diferencia fundamental entre seguridad y protección", dijo. “Tienen muchísimas similitudes y, de hecho, se utilizan muchas herramientas analíticas similares y luego enfoques similares. Pero con la seguridad, normalmente te preocupan los eventos aleatorios. El rayo no está dirigido. Sucede que choca contra este avión, pero no contra ese avión. Es esencialmente aleatorio. La ciberseguridad es diferente porque tienes un atacante pensante. Si coloco un mejor firewall en el punto A, los atacantes irán al punto B, C, D o E. Es un entorno mucho más dinámico y desafiante”.
Bryant dijo que existen cuatro pilares para desarrollar una estrategia para prevenir ataques cibernéticos a los sistemas de aviación. En primer lugar, las aerolíneas y los aeropuertos deben reforzar sus sistemas para “hacer que el ataque sea lo más difícil posible”. Esto implica principalmente estrategias de seguridad tradicionales como el uso de contraseñas seguras, la instalación de firewalls y dificultar que un atacante obtenga un sistema en particular, dijo.
En segundo lugar, las organizaciones deben esperar ser atacadas.
"Uno asume que van a salir adelante", dijo Bryant. “Uno asume que su pilar de endurecimiento va a fallar porque históricamente sabemos que probablemente fallará. Entonces, también se construye tolerancia al daño. En cuanto a la seguridad, se construye un avión de modo que las alas puedan soportar la tensión esperada más alrededor del 50%, de modo que si tienes que volar hacia una tormenta, la estructura del ala pueda soportarla”.
“Se hace lo mismo con la ciberseguridad”, agregó. “Si un atacante ingresa, debe asegurarse de que aún puede funcionar, de que aún puede cumplir al menos su misión mínima. Para un avión de línea, por ejemplo, eso significaría devolver a todos los pasajeros, la tripulación y el avión de manera segura a tierra. Entonces, si alguien atacó cibernéticamente su avión, puede cambiar a modos de respaldo para poder recuperarse de manera segura. Eso es tolerancia al daño. Hay que ser resistente a los ataques”.
La siguiente es la defensa, que según Bryant es un área “de la que no creo que hable suficiente gente”.
“Los atacantes son dinámicos y te atacarán en diferentes direcciones. La forma clave de abordar esto es con defensores dinámicos”, dijo. “Una gran organización que se toma en serio la ciberseguridad tiene ciberdefensores que monitorean las redes, vigilan los ataques y vigilan el tráfico anómalo. Pero no se puede simplemente subirse a un avión moderno y tomar un conjunto de herramientas de defensa cibernética y conectarlas. Por lo tanto, todas esas capacidades para vigilar a los adversarios, para detectar comportamientos anómalos, tendrán que incorporarse al sistema. línea base del sistema. Aún no hemos llegado a ese punto. Pero estamos empezando a llegar allí. La gente está empezando a incorporar esas capacidades en plataformas”.
El cuarto pilar es la recuperabilidad, según Bryant.
“Una vez que te atacan, ¿con qué rapidez puedes responder? ¿Qué tan rápido puedes hacer que el sistema vuelva a funcionar de una manera segura y con la confianza de que cualquier cosa mala que alguien pudo hacerte ya no existe? él dijo.