Strutturalmente, il settore dell’aviazione è composto da complessi sistemi di parti interconnesse tra cui compagnie aeree, aeroporti, gestione del traffico aereo etc. Questo scenario sta attraversando un’importante trasformazione digitale con una maggiore interconnettività e dipendenza, pertanto, stanno emergendo nuove minacce informatiche e violazioni della sicurezza, che richiedono un approccio più olistico che copra la sicurezza informatica proattiva e reattiva. Mentre in altri settori l’impatto degli incidenti di sicurezza informatica è essenzialmente finanziario, nel settore dell’aviazione ha il potenziale per avere un impatto su aspetti chiave come le operazioni, la conformità, la reputazione o persino la sicurezza.
Il settore dell’aviazione non è risparmiato e sta diventando una preoccupazione crescente per gli aggressori informatici: malgrado non tutti gli attacchi abbiano, di fatto, successo, ognuno di questi comporta in ogni caso notevoli conseguenze, con relativi costi: indagare sulla scappatoia e affrontare le vulnerabilità sfruttate dall’aggressore. Un attacco informatico riuscito ha anche implicazioni finanziarie significative che derivano da una grave interruzione del servizio, dalla necessità di ricostruire sistemi più protetti e, potenzialmente, dal pagamento di una multa per mancanza di protezione adeguata in primo luogo.
L’ICAO (International Civil Aviation Organization) ha adottato la Risoluzione dell’Assemblea A40-10-Adressing Cybersecurity Civil Aviation durante la sua quarantesima Assemblea, annunciando misure volte a migliorare tutte le aree interessate dell’aviazione. Più precisamente: “La risoluzione affronta la sicurezza informatica attraverso un approccio orizzontale, trasversale e funzionale, riaffermando l’importanza e l’urgenza di proteggere i sistemi e i dati delle infrastrutture critiche dell’aviazione civile dalle minacce informatiche e invita gli Stati ad attuare la strategia di sicurezza informatica dell’ICAO“. Seguendo questa strategia, in Europa l’EASA ha presentato un nuovo regolamento informatico adottato dal Parlamento europeo nel 2022, noto come Parte IS, che sarà aggiunto a quasi tutti i regolamenti esistenti sulla sicurezza aerea entro il 2025, affinché prendano in considerazione i rischi informatici e gestirli attraverso un sistema di gestione della sicurezza delle informazioni certificato.
Oltre a quanto sopra, le organizzazioni e i sistemi aeronautici di molti paesi devono anche rispettare gli standard nazionali di sicurezza informatica, in particolare quelli destinati ai sistemi critici. La sicurezza informatica è una preoccupazione centrale per l’aviazione, indipendentemente dai progressi della loro transizione digitale. La protezione di tali sistemi richiede la creazione di protezioni adattate ai vincoli dell’aviazione (lungo ciclo di certificazione, risparmi sui costi, DNA di sicurezza) e il mantenimento della loro resilienza nel tempo nonostante l’evoluzione delle minacce. Affrontare questi problemi non deve essere scoraggiante. È possibile adottare misure di base per proteggere le tecnologie informatiche (IT) e l’infrastruttura, affrontando solo i punti deboli più comuni generalmente correlati ai componenti standard del settore, come reti di dati e dispositivi o sistemi operativi.
In sintesi, le nuove regole, che entreranno in vigore nel 2025, si applicheranno a una serie di compagnie di trasporto aereo, inclusi produttori, compagnie aeree, aeroporti, scuole di addestramento al volo, fornitori di servizi di ristorazione e fornitori di dati meteorologici. Alle aziende sarà inoltre richiesto di creare un sistema di governance che assegni a un individuo la responsabilità di assicurarsi che i problemi siano documentati e affrontati. L’Agenzia dell’Unione europea per la sicurezza aerea, di fatto, ha affermato che il regolamento mira ad affrontare attacchi informatici potenzialmente pericolosi, come i file di ingegneria di una società di progettazione aeronautica che cadono nelle mani di hacker o i progetti modificati o corrotti .
Anche le autorità di regolamentazione negli Stati Uniti stanno intensificando le regole informatiche per il settore dell’aviazione. La Transport Security Administration ha dichiarato in ottobre che introdurrà nuovi requisiti di sicurezza informatica per alcune parti dell’industria aeronautica. L’agenzia richiede già alle compagnie aeree e agli operatori aeroportuali di effettuare valutazioni della sicurezza informatica e di nominare un coordinatore informatico.
Scrivi un commento
Devi accedere, per commentare.