Con la crescente digitalizzazione e interconnessione globale, l’esposizione alle minacce informatiche è divenuta sempre più incombente. Gli esperti di sicurezza delle informazioni affermano spesso che la questione non è «se», bensì «quando» una determinata entità sarà presa di mira dai criminali informatici. Il settore dell’aviazione non è immune da tali minacce: alcune minacce alla sicurezza delle informazioni possono di fatto provocare perturbazioni delle operazioni o ripercuotersi sulla sicurezza dell’aviazione.
La missione dell’EASA di garantire la sicurezza dei viaggi aerei in Europa (e nel mondo) comprende l’attenuazione dei rischi per la sicurezza delle informazioni. Il pacchetto normativo dell’Unione europea (UE) prevede che i rischi per la sicurezza delle informazioni siano individuati, valutati e trattati in modo proporzionato dalle organizzazioni attive nell’intero ecosistema dell’aviazione civile e quindi controllati per evitare effetti negativi sulla sicurezza dei cittadini. Tale ecosistema include le organizzazioni coinvolte nella progettazione, nella produzione e nella manutenzione degli aeromobili nonché nelle operazioni, nell’addestramento e in tutte le attività necessarie a garantire la sicurezza delle operazioni di volo.
Quali sono le minacce per l’aviazione e da dove provengono?
L’aviazione è un «sistema di sistemi» che comprende, oltre ai prodotti aeronautici e alle tecnologie associate, persone, processi e altre risorse immateriali, a loro volta vulnerabili alle minacce per la sicurezza delle informazioni.
Tutti i diversi sistemi sono complessi e altamente interconnessi. Esistono innumerevoli percorsi di attacco che possono portare a un problema per la sicurezza e l’aeromobile è l’ultima linea di difesa. I collegamenti tra l’aeromobile e la terra (senza fili o meno), i componenti della manutenzione, i sistemi industriali e, naturalmente, la catena di fornitura sono tutti soggetti a potenziali minacce. Queste minacce sono potenziali violazioni derivanti dall’accesso, dall’uso, dalla divulgazione, dalla perturbazione, dalla modifica e/o dalla distruzione non autorizzati delle informazioni e dei sistemi informativi che fanno parte del sistema dell’aviazione. Molti attacchi possono essere causati principalmente dalla negligenza o dalla mancanza di consapevolezza dei dipendenti.
Le minacce possono provenire da soggetti diversi, tra cui criminali informatici, hacktivisti e anche attori sponsorizzati dagli Stati. Le motivazioni alla base degli attacchi possono essere finanziarie, politiche o personali, come il riconoscimento o il senso di realizzazione.
Quali sono i settori dell’aviazione che sembrano attirare di più i malintenzionati?
In base ai dati raccolti dalla squadra di intelligence relativa alle minacce informatiche dell’EASA, a fine 2024 gli aeroporti sembrano essere l’obiettivo più frequente degli attacchi informatici, registrando oltre il 50 % degli attacchi che prendono di mira l’aviazione. La maggior parte di tali attacchi sono di negazione del servizio (denial of service), in cui i criminali informatici sovraccaricano un sistema con un’elevata quantità di traffico per mandarlo in tilt. Possono essere collegati all’attività di hacktivisti, spesso alimentata dalle tensioni geopolitiche. Sembra che gli attacchi agli aeroporti permettano di ottenere una grande visibilità, per effetto dell’evidente impatto degli incidenti. I tabelloni che mostrano voli cancellati e le immagini di passeggeri frustrati a causa dei ritardi rappresentano eccellenti contenuti visivi per i notiziari.
Gli operatori aerei sembrano essere il secondo obiettivo più interessante per i malintenzionati, come dimostrato dal fatto che circa il 25 % degli attacchi è diretto contro le compagnie aeree. Oltre agli attacchi di negazione del servizio, gli operatori aerei sono anche soggetti ad attacchi ransomware (in cui i criminali informatici criptano i dati di un’entità ed esigono un riscatto per decriptarli) e violazioni dei dati. Pertanto, gli attacchi hanno un impatto non solo sulla sicurezza, ma anche sulla continuità delle attività e sulle operazioni.
Altri settori colpiti, in base ai dati registrati, sono i produttori di aeromobili e le organizzazioni competenti per la manutenzione, la riparazione e la revisione nonché le istituzioni governative, che subiscono quotidianamente diversi tipi di attacchi informatici.
Cosa sta facendo l’EASA per rendere l’aviazione più resiliente agli attacchi informatici?
L’approccio dell’EASA alla cibersicurezza nel settore dell’aviazione si fonda su quattro pilastri: la certificazione dei prodotti aeronautici, i rischi per la sicurezza delle informazioni dell’organizzazione, la condivisione delle informazioni e lo sviluppo delle capacità.
Certificazione dei prodotti aeronautici
Inizialmente la cibersicurezza in questo contesto veniva considerata caso per caso. I richiedenti (le organizzazioni che richiedono la certificazione di un aeromobile) dovevano valutare i potenziali effetti delle minacce per la sicurezza delle informazioni sulla sicurezza dei sistemi degli aeromobili e delle reti.
Con la crescente interconnessione dei sistemi e delle parti degli aeromobili, i potenziali percorsi di attacco si sono moltiplicati. Pertanto le minacce non potevano più essere affrontate caso per caso: occorreva un approccio olistico.
A tal fine, l’EASA ha integrato requisiti specifici per la certificazione degli aeromobili, in base ai quali «gli equipaggiamenti, i sistemi e le reti dell’aeroplano, considerati separatamente e in relazione ad altri sistemi, devono essere protetti dalle interazioni elettroniche non autorizzate intenzionali che possono avere effetti avversi sulla sicurezza dell’aeroplano».
Rischi per la sicurezza delle informazioni dell’organizzazione
Poiché le minacce per la sicurezza delle informazioni non riguardano solo la progettazione degli aeromobili, ma comprendono anche le persone e i processi, nel 2022 e nel 2023 è stata pubblicata una nuova serie di norme, la cosiddetta «parte IS», in cui IS sta per «sicurezza delle informazioni» (costituita dal regolamento delegato (UE) 2022/1645 e dal regolamento di esecuzione (UE) 2023/203, per chi desidera approfondire). La parte IS stabilisce requisiti con l’obiettivo di proteggere il sistema dell’aviazione dai rischi per la sicurezza delle informazioni che hanno un potenziale impatto sulla sicurezza. La parte IS riguarda i sistemi di tecnologia dell’informazione e della comunicazione e i dati utilizzati dalle organizzazioni e dalle autorità approvate per finalità relative all’aviazione civile. Per raggiungere il suo obiettivo, la parte IS richiede la creazione, la realizzazione e il mantenimento di un sistema di gestione della sicurezza delle informazioni.
Condivisione delle informazioni
Il terzo pilastro è la condivisione delle informazioni, attualmente condotta nell’ambito di due flussi diversi: il Centro europeo per la cibersicurezza nell’aviazione, composto da portatori di interessi sia del settore che delle autorità, e la rete di analisti informatici, che comprende rappresentanti degli Stati membri. Si tratta di comunità in cui si è creata una fiducia tra le organizzazioni partecipanti che consente loro di condividere conoscenze, come le informazioni sulle minacce sotto forma di relazioni, avvisi su possibili minacce e approfondimenti sull’analisi degli incidenti, e di promuovere la collaborazione tra i membri.
Sviluppo delle capacità
Da ultimo, ma non meno importante, le attività di sviluppo delle capacità costituiscono una componente rilevante dell’approccio dell’EASA alla cibersicurezza. Dato il rapido ritmo dei progressi tecnologici, è importante che la squadra dell’EASA per la cibersicurezza rimanga aggiornata. Pertanto, la formazione è un elemento rilevante delle attività della squadra, insieme alla ricerca, che svolge un ruolo chiave per comprendere il futuro panorama delle minacce e per adottare un atteggiamento proattivo di fronte alle minacce per la sicurezza delle informazioni.
Progetto di ricerca Orizzonte Europa: CYBER - resilienza dell’aviazione e panorama delle minacce per la cibersicurezza
Nel 2024 l’EASA ha avviato un progetto di ricerca sulla ciberresilienza dell’aviazione e sul panorama delle minacce per la sicurezza delle informazioni. Tale progetto mira a individuare le minacce per la sicurezza delle informazioni con un potenziale impatto negativo sulla sicurezza delle operazioni di volo. Grazie a queste conoscenze, l’EASA mira a contribuire alla costruzione di un sistema dell’aviazione più forte e più resiliente per il futuro.
Comunità della cibersicurezza dell’EASA
Per gli interessati a tutte le attività di cui sopra, l’EASA ha creato una comunità della cibersicurezza, in cui condivide informazioni sull’ampia gamma di temi relativi alla cibersicurezza nell’aviazione. Che tu sia un semplice appassionato o un esperto del settore, ti invitiamo a partecipare a uno scambio di pareri su una serie di argomenti interessanti relativi alla cibersicurezza nell’aviazione.
Alcune note sulle interferenze nell’ambito del sistema globale di navigazione satellitare: attività di disturbo (jamming) e di falsificazione del segnale (spoofing)
Dal febbraio 2022 si è registrato un notevole aumento delle attività di disturbo e di falsificazione del segnale nell’ambito del sistema globale di navigazione satellitare (GNSS), in particolare nelle regioni che circondano le zone di conflitto e altre aree sensibili quali il Mediterraneo, il Mar Nero, il Medio Oriente, il Mar Baltico e l’Artico. Potresti aver visto alcune notizie al riguardo. Anche questi incidenti rientrano nella cibersicurezza dell’aviazione.
Per disturbo si intende un’interferenza intenzionale a radiofrequenza che impedisce ai ricevitori GNSS di agganciare i segnali satellitari, rendendo il sistema inefficace o degradato. La falsificazione del segnale consiste nella trasmissione di segnali satellitari falsificati per ingannare i ricevitori GNSS, generando dati non corretti relativi alla posizione, alla navigazione e all’orario; pertanto, il sistema potrebbe informare i piloti che stanno sorvolando Parigi alle 7 del mattino, mentre in realtà stanno sorvolando Roma di notte. Queste interferenze possono comportare varie difficoltà operative per gli aeromobili e i sistemi di terra, ma non hanno avuto effetti sulla sicurezza dei voli. L’EASA monitora costantemente il fenomeno, per essere pronta a fornire consulenza a tutti i soggetti del settore dell’aviazione qualora emergano indicazioni di potenziali ripercussioni sulla sicurezza.