Cibersegurança na Aviação Civil

A par dos benefícios das tecnologias de informação para as atividades humanas, colocam-se questões de segurança que afetam todos os sistemas e infraestruturas, pelo que as preocupações com a cibersegurança (cibersecurity) estão na ordem do dia.

Recentemente, a RTP2 passou a segunda temporada da excelente série policial belga “Unidade 42”. Trata de crimes cibernéticos, quase sempre envolvendo homicídios. Imagine-se que na Internet das Coisas, alguém dá instruções remotas para que o seu dispositivo não lhe obedeça e, mais, lhe provoque um acidente mortal. Os homicídios sempre existiram: luta corpo a corpo, venenos, armas e armadilhas. Hoje, podem ser bem mais sofisticados, praticados remotamente, através do ciberespaço. E as motivações são sempre as mesmas: ódio, vingança, ciúme, ganância, misturados com mentes doentes, os psicopatas sem compaixão humana.

A digitalização tornou-se essencial nas sociedades modernas, fazendo parte de inúmeras atividades, desde indústrias e comércio, à nossa vida pessoal e coletiva, as quais se tornaram dependentes das tecnologias de informação. Assim também está a acontecer cada vez mais na aviação, desde os sistemas de navegação e de controlos e comunicações a bordo das aeronaves, até aos sistemas nos aeroportos, informação de voo, security screening e muitos outros utilizados diariamente nos serviços de suporte às operações em terra. Contudo, todas as inovações encerram as suas vulnerabilidades e os seus perigos.

Hoje em dia, pode-se dizer que o avião é o meio de transporte mais seguro, mas não foi sempre assim. Houve anos de aperfeiçoamento das máquinas, das regras de voo, das ajudas à navegação, do treino dos pilotos, de compreensão sobre a importância dos fatores humanos, culturais e organizacionais para a segurança operacional (safety). O mesmo sucedeu em relação à segurança contra atos de interferência ilícita (security) – processos e procedimentos para dificultar, detetar e saber lidar com eles.

A par dos benefícios das tecnologias de informação para as atividades humanas, colocam-se questões de segurança que afetam todos os sistemas e infraestruturas, pelo que as preocupações com a cibersegurança (cibersecurity) estão na ordem do dia. Neste sentido e no que respeita à aviação, em outubro de 2019, na sua Assembleia Geral, a ICAO (International Civil Aviation Organization) endereçou este assunto aos Estados, através da Resolução A40-10 – Addressing Cybersecurity in Civil Aviation – alertando que a ameaça e o ataque cibernéticos têm uma componente e efeitos transnacionais, uma vez que os sistemas estão interligados a nível mundial, sendo neste ambiente de insegurança que a aviação civil conduz a sua atividade. Não obstante a cada vez maior resiliência das tecnologias de informação utilizadas pela aviação civil, de modo a aumentar a segurança e a eficiência do transporte aéreo, a interligação dos sistemas e a interdependência das tecnologias criam condições ótimas para surgirem novos riscos, cada vez mais difíceis de prever. Por isso, a ICAO reconhece a urgência e a importância de proteger as infraestruturas e os sistemas de informação e comunicação críticos para a aviação civil contra os ataques cibernéticos, comprometendo-se a desenvolver um sólido quadro normativo e apelando aos Estados para implementarem a Estratégia da ICAO para a Cibersegurança, a qual assenta em sete pilares:

  1. Cooperação internacional – tendo em consideração que tanto a cibersegurança como a aviação não têm fronteiras;
  2. Governança – encorajar os Estados a criar linhas claras de governança e responsabilidade e a coordenar as ações com as suas autoridades nacionais da cibersegurança, bem como manter uma base comum de trabalho assente nos Standards and Recommended Practices (SARPs) a aplicar;
  3. Legislação e regulamentação eficaz – os instrumentos legais devem ser analisados para identificar aspetos chave do direito aéreo que possam estar omissos, tendo em vista a prevenção, prossecução e resposta atempada aos incidentes cibernéticos, de forma a implementar um quadro normativo que seja consistente e coerente no sector global da aviação; no entretanto, os Estados são encorajadas a ratificar os instrumentos da ICAO em matéria de segurança contra atos de interferência ilícita;
  4. Política de cibersegurança – incluir a cibersegurança na gestão de risco de security e de safety; as políticas de cibersegurança devem considerar todo o ciclo de vida dos sistemas da aviação, incluindo elementos como: cultura de cibersegurança, promoção da segurança desde a conceção dos sistemas, cadeia de fornecimento de software e hardware, integração de dados, controlo de acessos, gestão proactiva de vulnerabilidades, agilidade nas atualizações dos sistemas sem comprometer a segurança operacional, bem como incorporar sistemas e processos para monitorizar a cibersegurança de dados relevantes;
  5. Partilha de informação – dada a natureza global do sector da aviação e a interdependência dos sistemas, a partilha de informação é essencial em aspetos como vulnerabilidades, ameaças, eventos e boas práticas, para todos aprenderam e melhorarem;
  6. Gestão de incidentes e planeamento de emergências – necessidade de ter planos apropriados e escaláveis de modo a permitir a continuidade do transporte aéreo durante os incidentes cibernéticos; simular ataques através de exercícios em tempo-real como forma de testar a resiliência cibernética e identificar aspetos a melhorar, variando a escala (organizacional, nacional ou internacional);
  7. Capacidade para construir e treinar a cultura de cibersegurança – o elemento humano é central na cibersegurança, por isso é crítico qualificar o pessoal, tanto em aviação como em cibersegurança. A estratégia para os profissionais da aviação da próxima geração deve incluir competências em cibersegurança.

Para concluir, quem trabalha na aviação sabe que os níveis de segurança operacional alcançados no sector se fundaram numa cultura de segurança proactiva, vista como uma responsabilidade de todos. Os princípios desta cultura de segurança também são aplicáveis à manutenção e desenvolvimento de uma cultura de cibersegurança em todo o sector da aviação.

Publicado por Ana Azevedo

Profissional da Aviação

%d bloggers like this: