Industria de la aviación vulnerable



La cadena de suministro de las aerolíneas es muy compleja, por su naturaleza existen varios fabricantes de equipos (OEM), socios y proveedores que ingresan a la red en cualquier momento. La gestión de identidad y de accesos (IAM) así como la gestión de riesgos de terceros son más importantes en este sector debido a la interdependencia que representan. 

La superficie de ataques se amplia cada día más y requieren de protección especial contra el robo de información de identificación personal (PII) y datos financieros de los clientes. Según un reciente estudio de IBM, podría llevar más de seis meses identificar una violación de datos, tiempo suficiente para que los intrusos hagan lo que quieran.

Para las aerolíneas, los activos críticos consisten principalmente en datos operativos y de clientes, sistemas a bordo y redes centrales. Todos ellos han sufrido un cambio tecnológico continuo que ha incrementado la superficie de ataque y como consecuencia, las vulnerabilidades a las que se encuentran expuestas aumenta exponencialmente. Algunos ejemplos de esto:

  • Redes abiertas e interconectividad, como la conectividad de la tripulación terrestre con operaciones de vuelo y sistemas de tráfico aéreo, o los dispositivos de campo a Internet y entre ellos (IoT).
  • Nuevos puntos de acceso como dispositivos móviles, sistemas de entretenimiento a bordo, Wi-Fi (IFEC), etc.
  • Puntos de recopilación de datos distribuidos geográficamente con diferentes proveedores y en algunos casos con mínima o nula seguridad.
  • Expansión de cadena de suministro y la red de socios estratégicos, por ejemplo, nuevos proveedores de tecnología para mejorar o automatizar cualquier proceso.
  • Dispositivos fuera del alcance del área de TI y que no cuentan con aprobación de la aerolínea(Shadow IT) que al mismo tiempo que incrementa la productividad, agrega vulnerabilidades en el ecosistema.

Cada uno de estos ejemplos representa un perfil de riesgo que debe analizarse dentro del contexto de la infraestructura general de la organización. Es muy importante para las aerolíneas mantener la triada de la seguridad (CIA), especialmente por su infraestructura compleja y descentralizada, corporativa y operativa, que sirve a usuarios y es parte de un sector muy regulado.

Incremento de amenazas cibernéticas emergentes.

El número de vectores de ataque de las aerolíneas ha aumentado con el tiempo, los atacantes se han infiltrado y abusado de los sistemas subyacentes. Algunos de ellos son:

  • Controles de tránsito aéreo de nueva generación (ATC).
  • Redes a bordo de aviones.
  • Dispositivos de los aviones.
  • Programas de fidelización y ofertas.
  • Operaciones de aeronaves
  • Plataformas de back-office.

El "Índice de Inteligencia de Amenazas X-Force de IBM" descubrió que la industria de transporte que incluye a las aerolíneas, es la segunda con más ciberataques, solo por detrás del sector financiero. Además, según un proveedor de sistemas de seguridad para la industria del transporte aéreo (SITA), las principales amenazas que afectan la industria son aquellas que pueden causar interrupciones masivas, robo de datos de empleados y clientes, así como escalar privilegios desde cualquier red. La lista incluye.

  • Ransomware.
  • Phishing.
  • Amenazas persistentes avanzadas (APTs).
  • Incumplimiento normativo.
  • Pérdida o robo de datos.
  • Amenazas internas.
  • Ataques distribuidos de denegación de servicio (DDoS).
  • Shadow IT.

El ciberespionaje también es otra amenaza emergente en esta industria, y dicho ataque puede amenazar los secretos de una aerolínea. Por ejemplo, en 2014. 75 aeropuertos de Estados Unidos se vieron afectados por un ataque de APT que ocurrió un año antes. Los atacantes enviaron correos electrónicos de phishing a los trabajadores para comprometer las redes aeroportuarias.

Como ven, el tema es bastante amplio y nos daría para hablar por horas, pero en conclusión, si una aerolínea cumple con los lineamientos establecidos y mantiene bajo control el crecimiento de tecnologías, proveedores, servicios, etc.(o por lo menos hace algo para lograrlo), reducirá el riesgo de un ataque. 

Por último, es importante mencionar que, si bien se cuentan con procedimientos de seguridad y programas de estandarización como ISO/IEC 27001:2013 y otras normas que provienen de la familia 27000, aún no se cuenta con un marco de seguridad cibernética enfocado a la industria. Hasta que se construya un marco especializado, la resiliencia dependerá de las pautas y estándares existentes, modificados de acuerdo a las necesidades, activos y riesgo de cada organización.