A forma como a EASA garante uma aviação resiliente contra as ciberameaças

THIS PAGE IS ALSO AVAILABLE IN:

Com o mundo cada vez mais digitalizado e interligado, tornou-se mais iminente a exposição às ciberameaças. Os especialistas em segurança da informação costumam dizer que não se trata de uma questão de «se», mas sim de «quando» uma determinada entidade será alvo de cibercriminosos. O domínio da aviação não está imune a essas ameaças. Existem ameaças à segurança da informação que podem causar perturbações nas operações ou afetar a segurança da aviação.a sombra de uma aeronave sobre uma esfera azulada formada por 1 e 0 para representar «cibernética»

A missão da EASA de garantia da segurança das viagens aéreas na Europa (e em todo o mundo) inclui a redução dos riscos de segurança da informação. O pacote regulamentar da União Europeia (UE) exige que os riscos para a segurança da informação sejam identificados, avaliados e tratados de forma proporcionada pelas organizações que operam em todo o ecossistema da aviação civil e, em seguida, controlados para evitar efeitos adversos na segurança dos cidadãos. Este ecossistema inclui as organizações envolvidas na conceção, produção, manutenção, operações, formação e todas as atividades necessárias para garantir a segurança das operações de voo das aeronaves.

Quais são as ameaças à aviação e de onde provêm?

A aviação é um «sistema de sistemas» que inclui, a par dos produtos aeronáuticos e das tecnologias que lhes estão associadas, pessoas, processos e outros ativos intangíveis que, por sua vez, são vulneráveis a ameaças à segurança da informação. 

Os vários sistemas são complexos e altamente interligados. Existem inúmeras vias de ataque que podem conduzir a um problema de segurança, sendo a aeronave a última linha de defesa. Todas as ligações entre a aeronave e o solo (sem ou com fios), todos os componentes de manutenção, todos os sistema institucionais e, claro, a cadeia de abastecimento estão sujeitos a potenciais ameaças. uma imagem em tons de preto e azul com linhas brancas interligadas e cadeados. No fundo, encontra-se o tronco de um homem com a mão a segurar um cadeado.Estas ameaças são potenciais violações decorrentes do acesso, utilização, divulgação, perturbação, modificação e/ou destruição não autorizadas das informações e dos sistemas de informação envolvidos no sistema de aviação. Muitos ataques devem-se sobretudo a negligência ou falta de sensibilização dos trabalhadores.  

As ameaças podem provir de diversas partes, incluindo agentes da cibercriminalidade, ativistas háquer (hacktivists) e até agentes patrocinados pelo Estado. A motivação subjacente a esses ataques pode ser financeira, política ou pessoal, como o reconhecimento ou a sensação de realização. 

 

Que setores da aviação parecem ser os mais atrativos para os agentes maliciosos?

Com base nos dados recolhidos pela equipa de informação sobre ciberameaças da EASA, os aeroportos pareciam ser o alvo mais popular dos ciberataques no final de 2024, com mais de 50 % dos ataques registados dirigidos contra a aviação. A maior parte destes ataques são ataques de negação de serviços, ou seja, quando os cibercriminosos sobrecarregam um sistema com uma grande quantidade de tráfego com o intuito de provocar uma falha total. Podem estar relacionados com a atividade de ativistas háquer, que costuma ser alimentada por tensões geopolíticas. Os aeroportos proporcionam grande visibilidade quando são visados, devido ao impacto visível significativo que se segue a um incidente. Com efeito, os ecrãs de cancelamento de voos e os passageiros descontentes e atrasados são material visual fácil para os telejornais. 

Os operadores aéreos serão o segundo alvo mais atrativo para os agentes maliciosos, com cerca de 25 % dos ataques dirigidos às companhias aéreas. Além dos ataques de negação de serviço, os operadores aéreos são também vítimas de ataques de software de sequestro (quando os cibercriminosos encriptam os dados de uma entidade e exigem um resgate para os desencriptar), bem como de violações de dados. Por conseguinte, os ataques têm não só um impacto na segurança, mas também na continuidade das atividades e nas operações.
Outros setores afetados com base nos dados registados são os fabricantes de aeronaves e as organizações de manutenção, reparação e revisão, bem como as instituições governamentais, que também sofrem diferentes tipos de ciberataques diariamente.


O que está a EASA a fazer para tornar a aviação mais resistente aos ciberataques?

A abordagem da EASA em matéria de cibersegurança na aviação assenta em quatro pilares: certificação dos produtos da aviação, riscos organizacionais para a segurança da informação, partilha de informações e reforço das capacidades.

ícone que representa uma aeronave com uma marca de verificação

Certificação de produtos de aviação

Inicialmente, a cibersegurança neste contexto era analisada caso a caso. Os requerentes (organizações que pretendiam obter a certificação de uma aeronave) tinham de avaliar os efeitos potenciais que as ameaças à segurança da informação poderiam ter na segurança dos sistemas e redes de aeronaves.

Com a crescente interligação dos sistemas e das peças das aeronaves, aumentaram as vias de ataque potenciais. Assim, deixou de ser possível abordar as ameaças caso a caso, sendo necessária uma abordagem holística.

Para o efeito, a EASA incorporou requisitos específicos para a certificação de aeronaves que especificam que «os equipamentos, sistemas e redes do avião, considerados separadamente e em relação a outros sistemas, devem ser protegidos contra interações eletrónicas intencionais não autorizadas que possam resultar em efeitos adversos para a segurança do avião». 

ícone que representa um escudo e uma lâmpada elétrica

Riscos de segurança da informação organizacional

Uma vez que as ameaças à segurança da informação não se limitam apenas à conceção das aeronaves, mas também incluem pessoas e processos, foi publicado em 2022 e 2023 um novo conjunto de regras, o chamado «Part-IS», sendo que IS significa «Segurança da Informação» (constituído pelo Regulamento Delegado (UE) 2022/1645 e pelo Regulamento de Execução (UE) 2023/203, para quem quiser aprofundar). O Part-IS estabelece requisitos com o objetivo de proteger o sistema de aviação dos riscos de segurança da informação com potencial impacto na segurança. Abrange os sistemas de tecnologias da informação e da comunicação e os dados utilizados pelas organizações e autoridades aprovadas para fins de aviação civil. Para atingir o seu objetivo, o Part-IS exige a criação, implementação e manutenção de um sistema de gestão da segurança da informação.

ícone que representa uma interação de diálogo

Partilha de informações 

O terceiro pilar é a partilha de informações, que é levada a cabo no âmbito de dois fluxos distintos, a saber, do Centro Europeu para a Cibersegurança no Domínio da Aviação, composto por partes interessadas tanto do setor como das autoridades, e da Rede de Ciberanalistas, que inclui representantes dos Estados-Membros. São comunidades em que foi criada uma relação de confiança entre as organizações participantes que lhes permite partilhar conhecimentos, tais como informações sobre ameaças sob a forma de relatórios, alertas sobre possíveis ameaças e conhecimentos resultantes da análise de incidentes, e promover a colaboração entre os membros.

ícone que representa uma cabeça humana com engrenagens a sair da mesma

Reforço de capacidades

Por último, mas não menos importante, as atividades de reforço das capacidades são uma parte importante da abordagem da EASA em matéria de cibersegurança. Dado o ritmo rápido dos avanços tecnológicos, é importante que a equipa de cibersegurança da EASA se mantenha atualizada. Por conseguinte, a formação é um elemento importante das atividades da equipa, a par da investigação, que desempenha um papel fundamental para compreender o futuro panorama de ameaças e adotar uma atitude proativa contra as ameaças à cibersegurança.

Projeto de investigação Horizonte Europa: CYBER — Resiliência da aviação e panorama das ameaças à cibersegurança  

Em 2024, a EASA lançou um projeto de investigação sobre a ciber-resiliência da aviação e o panorama das ameaças à cibersegurança. Este projeto visa identificar as ameaças à cibersegurança com potencial impacto negativo na segurança das operações de voos. Com este conhecimento, a EASA visa ajudar a construir um sistema de aviação mais forte e resiliente para o futuro.

Comunidade de cibersegurança da EASA  

Se estiver interessado em acompanhar todas as atividades acima referidas, a EASA criou uma comunidade de cibersegurança onde partilhamos informações sobre uma vasta gama de tópicos relacionados com a cibersegurança na aviação. Quer se trate de um entusiasta ou de um perito na matéria, teremos todo o prazer em recebê-lo a bordo para trocar impressões sobre vários temas interessantes no domínio da cibersegurança na aviação. 

Algumas notas sobre a interferência no GNSS: empastelamento e emissão de ordens falsas

Desde fevereiro de 2022, verifica-se um aumento notável do empastelamento e da emissão de ordens falsas no sistema mundial de navegação por satélite (GNSS), em especial nas regiões que rodeiam zonas de conflito e outras áreas sensíveis, como o Mediterrâneo, o Mar Negro, o Médio Oriente, o Mar Báltico e o Ártico. Talvez até já tenha visto alguma notícia sobre o assunto. Estes incidentes também se enquadram na cibersegurança da aviação.

O empastelamento refere-se à interferência intencional nas radiofrequências que impede os recetores GNSS de captarem sinais de satélite, tornando o sistema ineficaz ou degradado. A emissão de ordens falsas envolve a emissão de sinais de satélite falsos para enganar os recetores GNSS, causando dados incorretos de posição, navegação e calendário. Por exemplo, o sistema poderá dizer aos pilotos que estão a sobrevoar Paris às 7 horas da manhã, quando na realidade estão a sobrevoar Roma à noite. Estas interferências podem resultar em vários desafios operacionais para as aeronaves e os sistemas terrestres, mas não houve impacto na segurança dos voos. A EASA está a acompanhar continuamente o fenómeno, a fim de estar pronta a prestar aconselhamento a todos os intervenientes da aviação caso existam indícios de que a segurança possa ser afetada.