CÓMO ABORDAR LA CIBERSEGURIDAD Y CIBERDEFENSA EN LA AVIACIÓN CIVIL Y MILITAR

El tercer trimestre del año 2016 la aerolínea polaca LOT, tuvo que cancelar y aplazar una veintena de vuelos tras sufrir un ataque que afectó al sistema informático utilizado para emitir planes de vuelo. Pocos meses antes, al parecer un grupo de hackers consiguió acceder a la página de internet de usuarios de Lufthansa y entrar en las cuentas de acumulación de millas de viajes. En 2013 se reportaron ataques cibernéticos en los sistemas de control de pasaportes en la terminal de salida del Aeropuerto Internacional de Estambul. En 2014 Japan Airlines sufrió el ataque de un virus en la terminal de computadoras dentro de su red que propició la filtración de información relacionada con unos 750.000 pasajeros frecuentes. Ese mismo año, la página web de la Autoridad de Aviación Civil de Jamaica resultó víctima de una denegación de servicio (DDoS) durante un ataque que afectó a más de diez sitios web del gobierno. Aunque no se suele hablar mucho de ello, las amenazas cibernéticas también se ciernen sobre la seguridad de la aviación civil y la protección de datos de los usuarios del transporte aéreo.

En la actualidad con el advenimiento de nuevas tecnologías de información y comunicaciones, los aviones de nueva generación tanto civiles como militares están muy expuestos al cibercrimen debido al uso generalizado de redes de datos, sistemas informáticos incorporados y sistemas de navegación. Las violaciones de datos y los ciberataques son percibidos como riesgos crecientes.

En tal virtud, la Asamblea de la OACI, durante su 39º período de sesiones celebrado entre los días 27  de septiembre y 6 de octubre de 2016, aprobó la Resolución A39-19 sobre formas de abordar la ciberseguridad en la aviación civil, ante la creciente preocupación de todas las partes involucradas en el sector, un sector cada vez más dependiente de componentes, equipos, sistemas y redes interconectados, haciéndolo vulnerable ante  amenazas e incidentes que pueden comprometer la seguridad operacional (safety) y la seguridad de la aviación (security), ya que la amenaza puede llegar a afectar a los sistemas críticos de la aviación civil de todo el mundo.

Tomando en consideración las iniciativas y propuestas formuladas tanto por los Estados miembros como por Consejo Internacional de Aeropuertos (ACI), la Organización de Servicios de Navegación Aérea Civil (CANSO), la Asociación del Transporte Aéreo Internacional (IATA), el Consejo Coordinador Internacional de Asociaciones de Industrias Aeroespaciales (ICCAIA) y el Consejo de la OACI, la Asamblea exhorta, mediante la indicada Resolución, a que todas las partes interesadas  adopten entre otras las siguientes medidas:

  • Identificar las amenazas y los riesgos de posibles incidentes de ciberseguridad en las operaciones y los sistemas críticos de la aviación civil y las graves consecuencias que pueden resultar de tales incidentes.
  • Definir las responsabilidades de los organismos nacionales y las partes interesadas de la industria con respecto a la ciberseguridad en la aviación civil.
  • Fomentar una interpretación común entre los Estados miembros de las ciberamenazas y riesgos y la formulación de criterios comunes para determinar cuáles bienes y sistemas son de carácter crítico y es preciso protegerlos.
  • Fomentar la coordinación entre gobierno e industria con respecto a las estrategias, políticas y planes de ciberseguridad de la aviación, así como el intercambio de información para ayudar a identificar las vulnerabilidades críticas que sea necesario resolver.
  • Formar y participar en asociaciones y mecanismos público-privados entre gobierno e industria, a nivel nacional e internacional, para compartir sistemáticamente la información sobre ciberamenazas, incidentes, tendencias y acciones de mitigación.
  • Sobre la base de una interpretación común de las ciberamenazas y riesgos, adoptar un enfoque flexible y basado en el riesgo para proteger los sistemas de aviación críticos mediante la implantación de sistemas de gestión de la ciberseguridad.
  • Fomentar una sólida cultura de la ciberseguridad en todos los aspectos al interior de los organismos nacionales y en todo el sector de la aviación.
  • Determinar las consecuencias jurídicas de los actos que comprometen la seguridad operacional de la aviación explotando vulnerabilidades cibernéticas.
  • Promover la elaboración y aplicación de normas internacionales, estrategias y mejores prácticas para proteger los sistemas críticos de tecnología de la información y las comunicaciones que se usan en la aviación civil de interferencias que puedan atentar contra la seguridad operacional de la aviación civil.
  • Establecer políticas y destinar recursos cuando sea necesario para garantizar que los sistemas de aviación críticos tengan una arquitectura diseñada para ser segura; que sean resilientes; que tengan métodos seguros de transferencia de datos que garanticen su integridad y confidencialidad; que tengan métodos de vigilancia, detección y notificación de incidentes y que se lleven a cabo análisis forenses de los incidentes.
  • Colaborar en el desarrollo del marco de ciberseguridad de la OACI adoptando un enfoque abarcador, transversal y funcional que integre la navegación aérea, las comunicaciones, la vigilancia, las operaciones de aeronaves, la aeronavegabilidad y demás disciplinas pertinentes.

Al interior de la Dirección General de Aviación Civil del Ecuador (DGAC), concuerdan con el criterio de expertos en ciberseguridad que han expresado su preocupación acerca de las crecientes que presentan estos ciberataques dirigidos o que utilizan conexiones de los aviones a los sistemas basados en tierra, a las redes y los servicios que empelados comúnmente para el mantenimiento, la navegación e incluso de entretenimiento en cabina. Algunos hablan de los riesgos de que los sistemas de aviación lleguen a estar comprometidos y de que afecten a los sistemas de control de vuelo, lo que podría resultar en un accidente.

En el contexto de la ciberdefensa en el Ministerio de Defensa Nacional se tienen dos cometidos claramente diferenciados: uno funcional, en desarrollo de la Estrategia Nacional de Ciberseguridad y como componente del Sistema Nacional de Ciberseguridad, con las capacidades asociadas al EcuCERT Nacional y otro operativo, integrado en la estructura operativa de las Fuerzas Armadas, bien como Unidad de planeamiento y ejecución de las acciones independientes de ciberdefensa militar que se le encomienden para garantizar el libre acceso al ciberespacio de interés militar, bien como Comando Operacional de una fuerza combatiente con capacidades específicas en el dominio ciberespacial.

El Concepto de Operación pretende homogeneizar y cohesionar las diferentes interpretaciones que existen en lo referente a los conceptos de Defensa, Explotación y Respuesta en ciberdefensa, estructurando la integración de estas capacidades por parte de todos los organismos del Ministerio de Defensa Nacional con competencias en ciberdefensa. El Concepto de Operación proporciona una definición clara y concreta de términos y capacidades, determina cuáles son las competencias y responsabilidades de los diferentes organismos y establece cómo se interrelacionan entre ellos, tanto a nivel funcional como operativo.

En la Fuerza Aérea Ecuatoriana, como entidad encargada de la aviación militar, los desafíos son muy grandes en lo que respecta al impacto de la ciberdefensa en las operaciones aéreas militares y se debe propender a garantizar los principios de seguridad de la información en toda la institución, como son: Confiabilidad, Integridad y Disponibilidad; con el fin de garantizar la seguridad integral en las operaciones de vuelo y de soporte logístico operacional.

 

Ing. Darwin R. Becerra MSc.

ANALISTA DE CIBERDEFEN

4 comentarios sobre “CÓMO ABORDAR LA CIBERSEGURIDAD Y CIBERDEFENSA EN LA AVIACIÓN CIVIL Y MILITAR

  • el 8 septiembre, 2017 a las 8:48
    Permalink

    Felicitaciones por el post y me permito hacer las siguientes observaciones

    El principio basico de la seguridad de la informacion es confidencialidad, integridad y disponibilidad

    No disponemos un un CSIRT Nacional, Ecucert esta orientado a incidentes de caracter de las telecomunicaciones

    La estrategia Nacional de ciberdegurida debe estar estructurado en los siguientes frentes:
    Economia, Sociedad, Gobierno y Seguridad Nacional (ciberdefensa)

    Las operaciones en el cibersespacio son de dos tipos , las ofensivas y defensivas, las mismas que esta intrisicamente en las capacidades del Comando de ciberdefensa de las FFAA (defensa, explotacion y respuesta)

    Respuesta
    • el 19 octubre, 2017 a las 22:09
      Permalink

      Gracias por su aporte Eddy.

      Respuesta
  • el 22 septiembre, 2017 a las 9:53
    Permalink

    Buen artículo, Felicitaciones a la revista que trata estos temas de interes naciona y mundial como son la Ciberseguridad y Ciberdefensa

    Respuesta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *