Ciberseguridad en la aviación: Un nuevo informe subraya su mal estado

0
52

El gigante naviero Maersk sufrió cerca de 500 millones de dólares en pérdidas en 2017 cuando fue infectado por el sabotaje de NotPetya. Maersk ni siquiera era el objetivo de ese ataque. ¿Podría ocurrir lo mismo en la aviación?

El sector de la aviación está empezando a darse cuenta de que, sí, podría. En el ataque a Maersk, el negocio fue atacado, no los barcos. Pero como informó el mes pasado el investigador de seguridad Chris Kubeka, los riesgos de la ciberseguridad en la aviación se extienden a los aviones en el aire.

Los aviones modernos son «centros de datos volantes» que «viajan alrededor del mundo», pero la industria de la aviación no sabe cómo proteger a los pasajeros de los riesgos de la ciberseguridad, según un nuevo informe del Atlantic Council sobre ciberseguridad en la aviación.

Ahora, sin entender completamente el riesgo, sin la experiencia técnica para mitigarlo, y sin suficientes incentivos financieros o regulatorios para hacerlo, la industria está tropezando hacia el futuro, y esperando que no ocurra nada malo mientras resuelven las cosas.

Si la industria de la aviación parece no estar preparada para hacer frente a este desafío, el nuevo informe ofrece una visión de lo que la está frenando.

Riesgos y recompensas de la digitalización
La industria de la aviación se ha adelantado a la seguridad para obtener las ganancias en eficiencia que se obtienen de una digitalización rápida, y ahora está mirando por encima del hombro al darse cuenta de que los problemas de seguridad pueden volver a atacarla en cualquier momento, con consecuencias que van desde la interrupción de los sistemas basados en tierra hasta las infecciones de malware de las aeronaves, o incluso -en el extremo extremadamente improbable del espectro- una ruptura de clase que afecta a cientos o miles de aeronaves al mismo tiempo.

Un ludita podría decir que dejar atrás lo análogo fue un error. Pero no se debe subestimar el aumento de la eficiencia del paso a la tecnología digital, señaló Pete Cooper, experto en ciberseguridad de la aviación del Atlantic Council, y anotó que la seguridad de los aviones ha mejorado con una recopilación de datos más detallada. «Por ejemplo, si los datos de un sistema significan que se le da servicio basándose en su vida útil real y no en fechas y tiempos arbitrarios, puede reducir drásticamente el tiempo de inactividad de ingeniería», comentó. «Además, si los datos del sistema muestran repentinamente una alta tasa de desgaste (por ejemplo), entonces significa que puede ser traída temprano para una revisión basada en la condición».

El aumento de la recopilación de datos también conduce a rutas de vuelo más eficientes, tiempos de vuelo reducidos, menor uso de combustible y emisiones de CO2, etc., señaló.

Sin embargo, la otra cara de la moneda es el riesgo de un incidente catastrófico de ciberseguridad. A diferencia de los problemas de seguridad analógicos, como el desgaste de una pieza o un procedimiento defectuoso que conduce a un error del piloto, los problemas de seguridad, como el software que corrompen, escalan. Solo se necesita una única vulnerabilidad para que ocurra otra Petya o NotPetya.

Protección vs. seguridad
Volar sigue siendo una de las formas más seguras de viajar, y eso se debe en gran parte a los continuos esfuerzos para mejorar la seguridad aérea. Las normas culturales de la aviación han recompensado e incentivado una cultura de denuncia de irregularidades, en la que el mecánico más bajo puede lanzar una bandera roja e impedir que un avión despegue si se da cuenta de un posible problema de seguridad.

Contrasta eso con el problema, a menudo delicado, de informar sobre las vulnerabilidades de seguridad, donde la vergüenza, la acusación y los pases de pelota son la norma. El informe destacó el problema, escribiendo: «En gran parte del panorama de la ciberseguridad, podría decirse que sigue siendo un estigma discutir las vulnerabilidades y los desafíos de la ciberseguridad que van más allá de la gestión de las vulnerabilidades sensibles».

Una vulnerabilidad con gusanos o una actualización de software con retroceso -como la actualización de software MeDoc con retroceso que inició el gusano Petya- podría causar problemas de seguridad a gran escala. No está claro que el pensamiento tradicional de seguridad de la industria de la aviación sea suficiente para hacer frente a este desafío.

Por ejemplo, el informe destacó la necesidad de compartir más información sobre las amenazas a la ciberseguridad de la aviación, reconociendo el riesgo de un escenario similar al de Maersk y observando de forma bastante dramática que «otros sectores han visto la escala y los costos de una única vulnerabilidad y de una explotación ‘wormable‘». Dada la criticidad del sector, combinada con interrupciones que podrían escalar rápidamente, queda mucho por hacer para entender el panorama de la seguridad de la aviación y la ciberseguridad».

El informe también llamó la atención sobre la creciente conciencia de que se necesitan investigadores de buena fe en materia de seguridad, pero averiguar cómo tratarlos está causando cierta consternación en la industria. «Hubo un fuerte acuerdo en que los investigadores de buena fe eran algo positivo para la industria de la aviación, pero las perspectivas sobre la orientación, la claridad jurídica y la facilidad de divulgación de la vulnerabilidad siguen siendo poco claras o difíciles de navegar», señaló el informe.

Mientras tanto, ajústese el cinturón de seguridad y guarde la bandeja de la mesa. Puede que tengamos turbulencias antes de llegar a donde todos queremos ir.

J.M. Porup, CSOonline.com