El informe Avanzando en la resiliencia cibernética en la aviación: un análisis de la industria, publicado por el Foro Económico Mundial, habla sobre la conciencia y los elementos clave para la ciberresiliencia en la industria de la aviación. En dicho informe sobre la ciberseguridad en el sector aéreo se mencionan los principales factores de riesgo cibernético que enfrenta el sector:
- Debilidad en el control de la tecnología de la información.
- Factor humano.
- Debilidad en el control de la tecnología operacional.
- Gobernanza ineficaz y priorización de riesgos y controles.
- Falla en los procesos y operativa.
- Adopción de tecnologías emergentes como el Internet de las Cosas (IoT, por sus siglas en inglés).
- Limitación en las comunicaciones con directivos, partes interesadas y dentro de la industria.
En el top de frecuencia de incidentes cibernéticos se mencionan los causados por:
- Social: phishing.
- Medio ambiente: condiciones atmosféricas, inundaciones, apagones, etc.
- Social: otros métodos de ingeniería social.
- Malware: ransomware.
- Error: intercambio de información.
- Uso incorrecto: acceso legítimo, acceso privilegiado.
- Hacking: denegación de servicio, denegación de servicio distribuido, ataques a la infraestructura de red.
El Foro Económico Mundial también señala que los desafíos de seguridad cibernética, incluidos los problemas de privacidad, permanecieron en gran medida minimizados y pasados por alto en el sector de la aviación. Además, hace hincapié en la importancia no sólo de la protección de los activos físicos y en el desarrollo de un programa completo de ciberseguridad basado en la cultura organizacional.
Ataques cibernéticos
En los últimos años hemos sido testigos del aumento significativo en la cantidad, alcance e impacto de los ataques cibernéticos. Las amenazas han evolucionado de manera importante, las habilidades desarrolladas por los atacantes y la disponibilidad de herramientas han facilitado el incremento en el número de compromisos de los sistemas de las organizaciones a nivel global y el sector de la aviación no está exento en este tema.
El aumento de los incidentes de ciberseguridad en el sector aéreo tanto en aeropuertos como en aerolíneas de todo el mundo, con la consiguiente pérdida económica y reputacional que conllevan, nos demuestra que las amenazas cambian constantemente y que tenemos que protegernos de ellas en el menor tiempo posible para reducir al máximo el tiempo de exposición.
Debemos tener presente que los ataques cibernéticos no se realizan de forma lineal, no se llevan a cabo necesariamente por un atacante solitario. Y se estima que, en una brecha de seguridad, pueden permanecer dentro de la red de una organización y realizar distintas actividades al menos durante nueve meses de promedio antes de ser descubiertos. No se trata de saber quién será afectado por el siguiente ataque cibernético, sino de desarrollar estrategias que habiliten la ciberresiliencia de nuestra organización.
Es remarcable la famosa frase que resuena en cada congreso de ciberseguridad a nivel mundial: la seguridad o ciberseguridad total no existe. Por muchas medidas que integre una organización, no estará protegida al cien por cien. La incertidumbre aquí es y será indefinida. Sin embargo, una manera eficiente de entender el estado actual de ciberseguridad en el sector aéreo y conocer la forma en que los sistemas pueden estar expuestos ante ataques cibernéticos es probar sus sistemas, controles y procedimientos de recuperación de forma regular, pero desde la perspectiva de los atacantes.
Estrategia cíber
La visión que les comparto es la de desarrollar una estrategia de ciberseguridad ofensiva integral, alineada con la cultura de la organización, donde se consideren realizar diferentes tipos de pruebas que cubran distintos aspectos desde una óptica completamente ofensiva.
Para lograrlo, es necesario conocer y entender el tipo de adversarios que representan un riesgo para la organización en particular y no de forma general. Esto permitirá tener un mejor conocimiento de las capacidades de los atacantes, sus técnicas y procedimientos, así como el nivel de exposición y la posibilidad de que se presente un compromiso de ciberseguridad. Una vez que se tiene este conocimiento, es importante identificar y priorizar los activos más importantes para la organización, de manera que se puedan evaluar los riesgos y el impacto asociados a un potencial ataque cibernético.
La mejor forma de saber si la organización está preparada ante algún tipo de incidente es emular ese tipo de patrones, seguir las mismas tácticas y procedimiento y conocer las herramientas que usaría un atacante real. De esta forma se podrá medir realmente la capacidad de detección y respuesta de manera proactiva.
La estrategia de ciberseguridad en el sector aéreo debe considerar las inversiones necesarias para atender, dar continuidad y priorizar las áreas de oportunidad identificadas en el análisis de riesgos.
Por último, y no por ello menos importante, también se debe considerar la concienciación en ciberseguridad para los empleados. Como siempre se acostumbra a decir, y los datos así lo demuestran, el ser humano es el eslabón más débil de la cadena, aunque también puede ser la pieza más fuerte dentro del proceso. Para poder mitigar ese riesgo inherente, no hay mejor solución que diseñar un plan de concienciación continua en materia de ciberseguridad. Hay diferentes líneas de acción que se pueden realizar, aunque la mejor opción sería optar por varias iniciativas complementarias entre sí.
Desde el primer momento, los nuevos empleados deberían recibir una bienvenida en materia de ciberseguridad donde se les explicase las amenazas más comunes y cómo protegerse ante ellas. Posteriormente, y de forma periódica, se tendrían que realizar envíos de pequeñas cápsulas, haciendo foco en temas concretos y jornadas de concienciación tanto presenciales como en línea.
Visión holística
En conclusión, el paradigma de las redes, sistemas y tecnologías aisladas y protegidas detrás del firewall de la organización quedó atrás. La actualidad exige una amplia variedad de sistemas, aplicaciones, servicios, tecnologías y plataformas interconectados entre sí. Estos requieren una correcta protección, ya que a través de ellos los ataques cibernéticos podrían afectar la continuidad de los servicios, las operaciones y el negocio en sí mismo dentro de la industria de la aviación.
En una era de rápida transformación digital, automatización y proliferación de nuevas aplicaciones para el desarrollo de las organizaciones, las amenazas y el riesgo cibernético son cada vez mayores. Necesitamos desarrollar estrategias holísticas que nos den visibilidad y habiliten una respuesta proactiva hacia los incidentes de ciberseguridad, que sean transversales a toda la organización, que estén acompañadas de inversión y que consideren la concientización de los empleados como uno de los elementos clave para la ciberresiliencia.
Debemos contar con iniciativas que inviten a los integrantes de esta industria a intercambiar conocimiento y experiencias, proponer soluciones a las amenazas emergentes y estar actualizados en un tema tan importante como el de la ciberseguridad en el sector aéreo.
