Ciberamenazas en la Aviación Civil. Incertidumbres ante un riesgo ...
Ciberamenazas en la Aviación Civil. Incertidumbres ante un riesgo ...
Ciberamenazas en la Aviación Civil. Incertidumbres ante un riesgo ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ENcu<strong>en</strong>troI nternacionaldeSEguridad<br />
número 05■2012<br />
70<br />
■ Miguel A. Vil<strong>la</strong>rino<br />
Jefe de Área de Seguridad y<br />
Protección de Infraestructuras del<br />
Transporte<br />
ISDEFE<br />
LA innovación tecnológica<br />
basada <strong>en</strong><br />
<strong>la</strong>s TIC ha sido asumida<br />
por el transporte<br />
aéreo al objeto<br />
de optimizar sus prestaciones con <strong>un</strong><br />
ba<strong>la</strong>nce adecuado de coste-eficacia <strong>en</strong><br />
<strong>un</strong> <strong>en</strong>torno extremadam<strong>en</strong>te competitivo.<br />
El atractivo perfil del transporte aéreo<br />
para pot<strong>en</strong>ciales atac<strong>ante</strong>s, añade a <strong>la</strong>s<br />
vulnerabilidades tradicionales, singu<strong>la</strong>ridades<br />
fr<strong>en</strong>te a los incipi<strong>en</strong>tes ciberataques.<br />
Las pot<strong>en</strong>ciales brechas derivan de<br />
aspectos estructurales del sector.<br />
Las ciberam<strong>en</strong>azas resultan imprecisas<br />
según el <strong>en</strong>foque dado por cada sector<br />
de <strong>la</strong> aviación. Dada <strong>la</strong> escasa incid<strong>en</strong>cia<br />
de estos <strong>riesgo</strong>s se ha sobrestimado<br />
<strong>la</strong> robustez de los sistemas TIC, subestimando<br />
<strong>la</strong> capacidad de los “hackers”. No<br />
existe <strong>un</strong>a evaluación de los esc<strong>en</strong>arios<br />
de <strong>riesgo</strong>, para el desarrollo sufici<strong>en</strong>te de<br />
medidas de mitigación y respuesta.<br />
El elevado nivel tecnológico le hace<br />
susceptible de interés malicioso por industrias<br />
o estados. Por otra parte <strong>la</strong> evolución<br />
<strong>en</strong> <strong>la</strong> gestión del tránsito aéreo<br />
crea <strong>un</strong>a creci<strong>en</strong>te dep<strong>en</strong>d<strong>en</strong>cia e interconexión,<br />
posibilitando ciberam<strong>en</strong>azas a<br />
través de brechas que <strong>la</strong>s tecnologías de<br />
<strong>la</strong> información incorporan.<br />
No obst<strong>ante</strong> <strong>la</strong>s consecu<strong>en</strong>cias pued<strong>en</strong><br />
ir desde <strong>la</strong> d<strong>en</strong>egación de servicio,<br />
hasta consecu<strong>en</strong>cias catastróficas.<br />
<strong>Ciberam<strong>en</strong>azas</strong><br />
<strong>en</strong> <strong>la</strong> <strong>Aviación</strong> <strong>Civil</strong>.<br />
Sistemas de Información y<br />
Com<strong>un</strong>icación Críticos<br />
de <strong>la</strong> <strong>Aviación</strong>, –CAIS-<br />
No es objeto de estas notas inv<strong>en</strong>tariar<br />
los compon<strong>en</strong>tes críticos de <strong>la</strong> aviación<br />
basados <strong>en</strong> <strong>la</strong>s TIC. La complejidad<br />
de interre<strong>la</strong>ciones dificulta los límites y<br />
modelos de protección aplicables. La<br />
prestación de servicios al tránsito aéreo<br />
distingue los sigui<strong>en</strong>tes segm<strong>en</strong>tos:<br />
– Aeronaves. Conceptos como: fly by<br />
wire, e-Enabled Systems, aviónica<br />
satelital, com<strong>un</strong>icaciones operativas,<br />
<strong>en</strong><strong>la</strong>ces con c<strong>en</strong>tros de compañías,<br />
electronic flight bags, etc., son<br />
usuales <strong>en</strong> el equipami<strong>en</strong>to de <strong>la</strong>s<br />
flotas actuales.<br />
– La Gestión de Tránsito Aéreo –ATMestá<br />
soportada por sistemas, insta<strong>la</strong>ciones<br />
y procedimi<strong>en</strong>tos. Estos<br />
compon<strong>en</strong>tes son el cimi<strong>en</strong>to terrestre<br />
para <strong>la</strong> prestación de servicios a<br />
<strong>la</strong> aviación civil. El subsistema aeroportuario<br />
forma parte de esta trama,<br />
integrando operaciones, recursos y<br />
su seguridad física.<br />
– Las redes dedicadas de <strong>la</strong> aviación<br />
son <strong>la</strong> infraestructura soporte de los<br />
<strong>ante</strong>riores compon<strong>en</strong>tes. Estas redes<br />
multiservicio sust<strong>en</strong>tan tráfico<br />
de com<strong>un</strong>icaciones, vigi<strong>la</strong>ncia, supervisión<br />
y datos para <strong>la</strong> navegación<br />
y gestión del tránsito aéreo <strong>en</strong><br />
tiempo real. Igualm<strong>en</strong>te son pasare<strong>la</strong>s<br />
de conectividad con otras redes
<strong>Incertidumbres</strong> <strong>ante</strong> <strong>un</strong> <strong>riesgo</strong> emerg<strong>en</strong>te<br />
co<strong>la</strong>terales y com<strong>un</strong>es de <strong>la</strong> aviación<br />
m<strong>un</strong>dial.<br />
Esta ciberestructura puede pres<strong>en</strong>tar<br />
vulnerabilidades propias de su configuración:<br />
sistemas propietarios, suministro de<br />
Hw/Sw “COTS”, “back door”, migración<br />
hacia IP, proveedores comerciales de com<strong>un</strong>icaciones,<br />
externalizaciones, insiders,<br />
y exposición a debilidades aj<strong>en</strong>as,<br />
<strong>en</strong>tre otras. Afort<strong>un</strong>adam<strong>en</strong>te el principio<br />
de seguridad (safety) inher<strong>en</strong>te a <strong>la</strong> aviación,<br />
ha desarrol<strong>la</strong>do <strong>un</strong> sistema resili<strong>en</strong>te<br />
para <strong>la</strong> fiabilidad de sus servicios<br />
fr<strong>en</strong>te a fallos no int<strong>en</strong>cionados (duplicación<br />
de sistemas, multicoberturas radioeléctricas,<br />
redes mal<strong>la</strong>das…). Esta confi-<br />
guración libera determinados procesos,<br />
que pasan a ser no críticos para <strong>la</strong> ciberprotección<br />
del sistema de <strong>la</strong> aviación.<br />
Respaldo normativo<br />
Los primeros hitos reg<strong>la</strong>m<strong>en</strong>tarios de<br />
■ No existe<br />
co<strong>la</strong>boración de<br />
datos <strong>en</strong>tre los<br />
estados <strong>en</strong> re<strong>la</strong>ción<br />
con <strong>la</strong>s<br />
ciberam<strong>en</strong>azas ■<br />
interoperabilidad <strong>en</strong>tre sistemas, han v<strong>en</strong>ido<br />
de <strong>la</strong> mano de <strong>la</strong> Comisión Europea<br />
a través de su iniciativa del Cielo Único<br />
Europeo –SES-. El reg<strong>la</strong>m<strong>en</strong>to UE<br />
73/2010, re<strong>la</strong>tivo a <strong>la</strong> calidad de los datos<br />
aeronáuticos y <strong>la</strong> información aeronáutica<br />
para el SES, indica que <strong>la</strong>s medi-<br />
das de protección de <strong>la</strong>s organizaciones<br />
deb<strong>en</strong> cumplir con requisitos aplicables a<br />
infraestructuras críticas.<br />
La Organización Internacional de<br />
<strong>Aviación</strong> <strong>Civil</strong> –OACI- ha incorporado al<br />
Anexo 17 del Conv<strong>en</strong>io de <strong>Aviación</strong> <strong>Civil</strong><br />
Internacional, <strong>la</strong> recom<strong>en</strong>dación de que<br />
cada estado debe desarrol<strong>la</strong>r medidas<br />
con objeto de proteger <strong>la</strong> información y<br />
com<strong>un</strong>icaciones que pongan <strong>en</strong> peligro <strong>la</strong><br />
seguridad del transporte aéreo.<br />
Por su parte <strong>la</strong> Confer<strong>en</strong>cia Europea<br />
de <strong>Aviación</strong> <strong>Civil</strong> –CEAC-, ha introducido<br />
<strong>en</strong> <strong>la</strong> Parte II del Doc. 30, Seguridad, <strong>un</strong><br />
capítulo de ciberam<strong>en</strong>azas de <strong>la</strong> aviación<br />
civil y desarrol<strong>la</strong> material de guía.<br />
Retos actuales<br />
Pese a estas iniciativas, no existe<br />
<strong>un</strong>a regu<strong>la</strong>ción específica. Los estándares<br />
de seguridad (Ej. series ISO/IEC<br />
17000 y 28000) no están ori<strong>en</strong>tados a<br />
estos servicios, dando lugar a niveles<br />
distintos de seguridad. Es necesario <strong>un</strong><br />
modelo regu<strong>la</strong>dor único. Su supervisión<br />
permitirá verificar <strong>la</strong> efici<strong>en</strong>cia normativa<br />
y nivel de cumplimi<strong>en</strong>to.<br />
Es preciso <strong>un</strong> liderazgo global a través<br />
de organismos de autoridad reconocida<br />
(OACI), con reparto de roles <strong>en</strong>tre<br />
otros internacionales (U.E., CEAC, EASA,<br />
Eurocontrol), y nacionales: Autoridades<br />
de aviación civil y ag<strong>en</strong>cias de seguridad.<br />
No existe co<strong>la</strong>boración de datos <strong>en</strong>tre<br />
los estados <strong>en</strong> re<strong>la</strong>ción con <strong>la</strong>s ciberam<strong>en</strong>azas.<br />
El reporte de incid<strong>en</strong>tes debe permitir<br />
<strong>la</strong> investigación y persecución del<br />
delito. Su conocimi<strong>en</strong>to será <strong>la</strong> única manera<br />
construir mecanismos de detección,<br />
prev<strong>en</strong>ción y respuesta efectivos.<br />
número 05■2012<br />
71
Change language