IATA persigue ciberseguridad

AW | 2021 12 13 08:40 | AVIATION SAFETY / AVIATION ORGANISMS

Llevando la ciberseguridad al siguiente nivel

IATA_Logo.svg

El cibercrimen de la aviación está en aumento a medida que los nuevos sistemas de aerolíneas y el trabajo remoto aumentan el área de ataque de superficie digital. Combinado con las inminentes regulaciones cibernéticas en varias jurisdicciones, hace que las medidas apropiadas de ciberseguridad de la aviación sean más importantes que nunca. Actualmente, existen tres áreas que las aerolíneas deben considerar: servicios de pasajeros, operaciones y control de aeronaves. Los servicios de pasajeros cubren todo, desde la reserva inicial hasta la gestión de la identidad y una experiencia de viaje a medida. El fraude, en particular la venta de boletos, es la principal preocupación y, en un año normal, le cuesta a las aerolíneas alrededor de US$ 1 mil millones. Pero los reclamos de reembolso falsos y la explotación de los Programas de Viajero Frecuente (FFP) de las aerolíneas se han vuelto tan frecuentes como los delitos con tarjetas de crédito. Además de lidiar con el fraude, las aerolíneas deben trabajar arduamente para proteger los datos de los pasajeros. Todo lo que la industria está tratando de hacer para agilizar y simplificar la experiencia de viaje aéreo implica el uso de datos. Todo lo recopilado debe equilibrarse con la ética de los datos y las buenas prácticas requieren la minimización de los datos, solo utilizando los datos que se necesitan. Sin embargo, muchos de los avances en los procesos aeroportuarios, como la facilitación biométrica, requieren que los pasajeros proporcionen datos personales importantes. Las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, establecen altos estándares para proteger estos datos y la mayoría de los pasajeros parecen felices de compartir información cuando sea necesario.

La última Encuesta Global de Pasajeros de la IATA encontró que: El 73% de los pasajeros están dispuestos a compartir sus datos biométricos para mejorar los procesos aeroportuarios (frente al 46% en 2019). El 88% compartirá información de inmigración antes de la salida para un procesamiento acelerado. Poco más de un tercio de los pasajeros (36%) han experimentado el uso de datos biométricos al viajar. De estos, el 86% quedó satisfecho con la experiencia. Sin embargo, la protección de datos sigue siendo un tema clave con un 56% que indica preocupación por las violaciones de datos. Y los pasajeros quieren claridad sobre con quién se comparten sus datos (52%) y cómo se usan / procesan (51%).

«Las preocupaciones de privacidad no son exclusivas de la aviación, pero eso no hace ninguna diferencia. La aviación todavía tiene que abordarlos y poner en marcha medidas de ciberseguridad», dice Manon Gaudet, Subdirectora de Ciberseguridad de la Aviación. Sin embargo, insiste en que no se trata solo de lograr el cumplimiento de la normativa: «No queremos seguridad en la lista de verificación. Las aerolíneas deben implementar sistemas basados en el riesgo».

Problemas de confianza

La confianza en el intercambio de datos también está en el corazón de los problemas cibernéticos operativos. Los datos tienen que fluir a través de la cadena de valor de la aviación y eso significa que los sistemas se hablen entre sí y que todas las partes tengan confianza en que los datos están protegidos. Pero la confianza es un concepto que no puede ser ordenado por los gobiernos. Por lo tanto, alcanzarlo es un desafío para la industria, especialmente porque están involucradas empresas de todos los tamaños, sin mencionar los diferentes niveles de ciberseguridad. Manon Gaudet dice que es fundamental que las organizaciones compartan vulnerabilidades o temores para que el ecosistema cibernético en general pueda ser protegido. Compartir conocimientos ayuda a prevenir futuros ataques y crea resiliencia cibernética. Significa que el punto más débil en la experiencia de los pasajeros de extremo a extremo se puede llevar a un nivel requerido y mantiene a todas las empresas por delante de las tendencias y desarrollos de ataque. «Recuerde, los atacantes no tienen problemas de confianza. No solo están trabajando con inteligencia artificial y nuevas técnicas, sino que también se ofrecen servicios entre sí para aprovechar diferentes capacidades de ataque».

En cuanto a los sistemas de aeronaves, este es potencialmente el aspecto más serio de los esfuerzos de ciberseguridad. Las aeronaves están cada vez más conectadas al suelo y eso abre la posibilidad de que los atacantes busquen interferir con los sistemas a bordo de las aeronaves, incluidos los sistemas críticos de vuelo. Todas las estrategias de ciberseguridad deben comenzar con la seguridad de estos.

Estrategia de ciberseguridad

Para las aerolíneas que buscan mejorar su ciberseguridad, el consejo de Manon Gaudet es «entrar en un experto. No trates de resolverlo tú mismo. Hay muchos ataques diferentes y muchas formas diferentes en que un ataque podría afectar a una aerolínea. Tienes que trabajar a través de todos los diferentes escenarios, especialmente aquellos que podrían tener un impacto en la seguridad».

En el Simposio Digital, de Datos y Retailing de la IATA, Martin Ninnemann, Director de Desarrollo de Negocios de Unisys, identificó seis elementos clave en la implementación de una estrategia de ciberseguridad: Protocolos criptográficos para garantizar la protección de extremo a extremo de los flujos de datos. Comunidades Virtuales de Interés para limitar la accesibilidad a los datos. Encubrimiento, para que los usuarios solo puedan ver la infraestructura que necesitan ver. Aislamiento dinámico, lo que significa identificar y apagar un punto de entrada, como un PC o servidor en particular, idealmente en cuestión de segundos, no minutos u horas. Integración con sistemas de gestión de identidad para facilitar operaciones fluidas. Transparencia con las aplicaciones para que los sistemas propietarios existentes puedan continuar con normalidad. Todo lo anterior, sugirió, se puede hacer sin cambiar la arquitectura existente. No hay ningún requisito para arrancar y reemplazar.

Manon Gaudet agrega una cultura de ciberseguridad a la lista. Afortunadamente, las aerolíneas no tienen que crear esto desde cero. «Una cultura de seguridad ya está omnipresente en toda la aviación y la ciberseguridad es solo una extensión de esto. No se trata de crear una cultura aislada. Está conectado con la idea de la mejora continua de la seguridad y las aerolíneas lo entienden completamente. Esto dará a las aerolíneas un cortafuegos humano. Puedes tener toda la tecnología del mundo, pero debes empoderar al personal. Los humanos son una de las mayores defensas de las aerolíneas contra los ciberataques, pero también puede ser su debilidad, por lo que la concienciación y la formación son clave».

Iniciativas de la industria

Para ayudar a las aerolíneas, hay una serie de iniciativas de la industria en marcha. Un enfoque común de la ciberseguridad es esencial. La cooperación no solo fortalecerá la red de información general, sino que también permitirá a las organizaciones hablar el mismo lenguaje cibernético. Términos como autenticación deben significar lo mismo para todas las empresas.

IATA estableció el Grupo de Trabajo de Gestión Cibernética (CMWG) para evaluar las necesidades de la industria y proporcionar la orientación adecuada. También existe el Grupo Directivo de Seguridad Cibernética de Sistemas Interconectados de Aeronaves (AISCS-SG), un foro informal que se ocupa particularmente de los sistemas interconectados relacionados con la seguridad de vuelo. IATA también está trabajando con el Consejo Internacional de Coordinación de Asociaciones de Industrias Aeroespaciales (ICCAIA) en el Aircraft Cyber Security eXchange Restricted FORUM (rFORUM) para ayudar a las aerolíneas a comprender mejor los riesgos asociados con la introducción de nuevas tecnologías y compartir esas preocupaciones con los fabricantes de equipos originales (OEM y titulares de aprobación de diseño (DAH).

A nivel de la OACI, existe el Grupo de Estudio de la Secretaría sobre Ciberseguridad (SSGC) y sus diferentes subgrupos, que están ocupados revisando el Plan de Acción de Ciberseguridad de la OACI (CyAP) y el Marco de Confianza, incluidos los nuevos requisitos de superposición segura de la aviación civil. La Agencia Europea de Seguridad Aérea (EASA) y EUROCAE también están consultando con la IATA sobre nuevas regulaciones. «No hay escasez de esfuerzo. Pero necesitamos más aportes de las aerolíneas para desarrollar la orientación correcta para que podamos satisfacer las necesidades de la industria en esta área crítica. Todas las organizaciones de aviación deben llegar a un nivel mínimo viable de ciberseguridad porque un solo ataque a un elemento crítico podría afectar a toda la industria. Sin embargo, eso no significa que todos tengan que implementar los últimos sistemas. Siempre se trata de adaptarse porque ninguna aerolínea puede hacer un reemplazo mayorista de sistemas cada año. El hecho es que nunca podremos lograr el 100% de ciberseguridad. Pero podemos reducir el riesgo y es esencial que lo hagamos. Los sistemas digitales críticos que forman parte de la infraestructura de aviación civil deben protegerse lo mejor que podamos», concluye Manon Gaudet.

IATA pursues cybersecurity

Taking cybersecurity to the next level

Aviation cybercrime is on the rise as new airline systems and remote work increase the digital surface area of ​​attack. Combined with looming cyber regulations in various jurisdictions, it makes proper aviation cybersecurity measures more important than ever. Currently, there are three areas that airlines must consider: passenger services, aircraft operations and control. Passenger services cover everything from initial booking to identity management and a tailor-made travel experience. Fraud, particularly ticket sales, is the main concern and, in a normal year, costs airlines around US$ 1 billion. But false refund claims and exploitation of airlines’ Frequent Flyer Programs (FFPs) have become as prevalent as credit card crimes. In addition to dealing with fraud, airlines must work hard to protect passenger data. Everything the industry is trying to do to streamline and simplify the air travel experience involves the use of data. Everything collected must be balanced with data ethics and good practices require data minimization, only using the data that is needed. However, many of the advances in airport processes, such as biometric facilitation, require passengers to provide important personal data. Privacy laws, such as the General Data Protection Regulation (GDPR) of the European Union, set high standards to protect this data and most passengers seem happy to share information when necessary.

The latest IATA Global Passenger Survey found that: 73% of passengers are willing to share their biometric data to improve airport processes (up from 46% in 2019). 88% will share immigration information prior to departure for expedited processing. Just over a third of passengers (36%) have experienced the use of biometric data when traveling. Of these, 86% were satisfied with the experience. However, data protection remains a key issue with 56% indicating concern about data breaches. And passengers want clarity on who their data is shared with (52%) and how it is used / processed (51%).

«Privacy concerns are not unique to aviation, but that makes no difference. Aviation has yet to address them and put cybersecurity measures in place», says Manon Gaudet, Deputy Director of Aviation Cybersecurity. However, she insists that it is not just about achieving regulatory compliance: «We do not want safety on the checklist. Airlines must implement risk-based systems».

Trust issues

Confidence in data sharing is also at the heart of operational cyber problems. Data has to flow through the aviation value chain and that means systems are talking to each other and all parties have confidence that the data is protected. But trust is a concept that cannot be mandated by governments. Therefore, reaching it is a challenge for the industry, especially since companies of all sizes are involved, not to mention the different levels of cybersecurity. Manon Gaudet says that it is essential that organizations share vulnerabilities or fears so that the cyber ecosystem in general can be protected. Sharing knowledge helps prevent future attacks and builds cyber resilience. It means that the weakest point in the end-to-end passenger experience can be brought to a required level and keeps all businesses ahead of attack trends and developments. «Remember, attackers have no trust issues. Not only are they working with artificial intelligence and new techniques, they are also offering services to each other to take advantage of different attack capabilities».

When it comes to aircraft systems, this is potentially the most serious aspect of cybersecurity efforts. Aircraft are increasingly connected to the ground and that opens up the possibility for attackers to seek to interfere with systems on board aircraft, including critical flight systems. All cybersecurity strategies must start with their security.

Cybersecurity strategy

For airlines looking to improve their cybersecurity, Manon Gaudet’s advice is to «get into an expert. Don’t try to figure it out yourself. There are many different attacks and many different ways that an attack could affect an airline. You have to work at across all the different scenarios, especially those that could have an impact on security».

At the IATA Digital, Data and Retailing Symposium, Martin Ninnemann, Director of Business Development at Unisys, identified six key elements in implementing a cybersecurity strategy: Cryptographic protocols to ensure end-to-end protection of flows of data. Virtual Communities of Interest to limit accessibility to data. Cloaking, so that users can only see the infrastructure they need to see. Dynamic isolation, which means identifying and shutting down an entry point, such as a particular PC or server, ideally in a matter of seconds, not minutes or hours. Integration with identity management systems to facilitate smooth operations. Transparency with applications so that existing proprietary systems can continue as normal. All of the above, he suggested, can be done without changing the existing architecture. There is no requirement to start and replace.

Manon Gaudet adds a culture of cybersecurity to the list. Fortunately, airlines don’t have to create this from scratch. «A culture of safety is already ubiquitous throughout aviation and cybersecurity is just an extension of this. It is not about creating an isolated culture. It is connected to the idea of ​​continuous safety improvement and is fully understood by airlines. This will give the airlines a human firewall», he adds. «You can have all the technology in the world, but you have to empower your staff. Humans are one of the airlines’ greatest defenses against cyberattacks, but it can also be their weakness, so awareness and training are key».

Industry Initiatives

To help airlines, there are a number of industry initiatives underway. A common approach to cybersecurity is essential. The cooperation will not only strengthen the general information network, but also allow organizations to speak the same cyber language. Terms like authentication should mean the same for all companies.

IATA established the Cyber ​​Management Working Group (CMWG) to assess industry needs and provide appropriate guidance. There is also the Aircraft Interconnected Systems Cyber ​​Security Steering Group (AISCS-SG), an informal forum that deals particularly with interconnected systems related to flight safety. IATA is also working with the International Council for the Coordination of Aerospace Industries Associations (ICCAIA) on the Aircraft Cyber ​​Security eXchange Restricted FORUM (rFORUM) to help airlines better understand the risks associated with the introduction of new technologies and share those concerns. with Original Equipment Manufacturers (OEMs and Design Approval Holders (DAH).

At ICAO level, there is the Secretariat Study Group on Cybersecurity (SSGC) and its different subgroups, which are busy reviewing the ICAO Cybersecurity Action Plan (CyAP) and the Trust Framework, including the new requirements. safe overlay of civil aviation. The European Aviation Safety Agency (EASA) and EUROCAE are also consulting with IATA on new regulations. «There is no shortage of effort. But we need more input from airlines to develop the right guidance so that we can meet the needs of the industry in this critical area. All aviation organizations must reach a minimum viable level of cybersecurity because a single Attacking a critical element could affect the entire industry. However, that doesn’t mean everyone has to implement the latest systems. It’s always about adapting because no airline can do a wholesale replacement of systems every year. The fact is, never We can achieve 100% cybersecurity. But we can reduce risk and it is essential that we do so. Critical digital systems that are part of the civil aviation infrastructure must be protected to the best of our ability», concludes Manon Gaudet.

PUBLISHER: Airgways.com
DBk: Iata.org / Airgways.com
AW-POST: 202112130840AR

A\W   A I R G W A Y S ®

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s