I recenti attacchi informatici nel settore dei trasporti e della logistica hanno posto sotto i riflettori il settore dell'aviazione, mettendo in luce le vulnerabilità critiche delle operazioni aeroportuali. Con i ritardi dei voli, le cancellazioni e altri servizi offline, gli attacchi che colpiscono questo mondo evidenziano l'urgente necessità per gli aeroporti di rafforzare le proprie difese di sicurezza informatica.
L'aumento della gravità e del numero di incidenti sottolinea la fragilità del settore e la sua suscettibilità alle minacce informatiche. Gli aeroporti e le compagnie aeree, in quanto infrastrutture critiche, sono obiettivi primari per i cyberattacchi a causa della loro dipendenza da reti complesse di sistemi interconnessi, tra cui dispositivi di information technology, operational technology (Ot) e Internet of Things (IoT).
I sistemi It comprendono l'informatica tradizionale e l'elaborazione dei dati, quelli Ot controllano le operazioni cyber-fisiche come lo spostamento dei bagagli e il controllo del traffico aereo, mentre i dispositivi IoT includono sensori, telecamere e sistemi intelligenti che sono sempre più integrati nelle infrastrutture degli aeroporti e delle compagnie aeree. La convergenza di queste tecnologie crea un ambiente altamente interconnesso, in cui una violazione di un sistema può avere effetti a cascata sull'intero aeroporto.
Carlos Buenano, Cto for Ot di Armis
Dato il ruolo essenziale che aeroporti e compagnie aeree svolgono nel trasporto e nel commercio globale, le conseguenze di un attacco informatico possono essere di vasta portata, con un impatto non solo sui viaggiatori, ma anche sulle compagnie aeree, sulla logistica e sulle supply chain. Tali attacchi evidenziano la necessità per aeroporti e compagnie aeree di ripensare il proprio approccio alla sicurezza informatica, concentrandosi sull'acquisizione di visibilità, sicurezza e controllo di tutti i dispositivi e le risorse.
Tra le misure che si possono adottare, rientra il Comprehensive Asset Inventory. Gli operatori dei trasporti e della logistica possono iniziare creando un inventario dettagliato di tutti i dispositivi It, Ot e IoT collegati alle loro reti. Questo include qualsiasi asset, dai server e dalle postazioni di lavoro ai sistemi di movimentazione dei bagagli, alle telecamere di sorveglianza e ai sistemi Hvac. Comprendere la portata della propria infrastruttura digitale e le interconnessioni tra di esse è il primo passo per metterla in sicurezza. Gli strumenti che offrono il rilevamento automatico e il monitoraggio continuo delle risorse possono contribuire a garantire che nessun dispositivo passi inosservato.
L'adozione di un approccio zero trust alla sicurezza informatica, poi, è essenziale nell'attuale panorama delle minacce. Ciò significa partire dal presupposto che ogni dispositivo, utente e applicazione è una potenziale minaccia fino a prova contraria. Gli aeroporti e i vettori dovrebbero implementare l'autenticazione a più fattori (Mfa), le soluzioni di gestione dell'identità e dell'accesso (Iam) e il monitoraggio continuo per garantire che solo il personale e i dispositivi autorizzati abbiano accesso ai sistemi sensibili e solo al livello richiesto dal loro lavoro.
Gli aeroporti e le compagnie aeree devono implementare sistemi avanzati di rilevamento delle minacce in grado di monitorare il comportamento delle risorse e il traffico di rete in tempo reale e di identificare le attività sospette. Questi sistemi devono essere in grado di rilevare minacce sia note che sconosciute, utilizzando tecniche come l'analisi comportamentale, il rilevamento di anomalie e l'intelligenza artificiale/apprendimento automatico. Il rilevamento precoce è fondamentale per mitigare l'impatto di un attacco informatico e prevenire un'interruzione diffusa.
La segmentazione della rete, in questo contesto, appare fondamentale per contenere le potenziali violazioni. Isolando i sistemi critici, come il controllo del traffico aereo e la gestione dei bagagli, da quelli meno critici, gli aeroporti possono evitare che un cyberattacco si diffonda nell'intera rete. L'implementazione di rigorosi controlli di accesso e la limitazione della comunicazione tra i segmenti possono ridurre ulteriormente il rischio di movimento laterale da parte degli aggressori.
Patch Management, Vulnerability Assessment e Incident Response Planning
Mantenere i sistemi aggiornati con le ultime patch di sicurezza è un aspetto fondamentale della sicurezza informatica. Gli aeroporti e le compagnie aeree dovrebbero implementare un solido processo di gestione delle patch, che garantisca il rilevamento delle vulnerabilità, la deduplicazione, la definizione delle priorità, l'assegnazione e l'aggiornamento tempestivo di tutti i software e firmware. Regolari valutazioni delle vulnerabilità e della sicurezza possono aiutare a identificare e risolvere i potenziali punti deboli in una priorità di “rischio per l'azienda” prima che possano essere sfruttati dagli aggressori.
Inoltre, un piano di risposta agli incidenti ben definito è fondamentale per ridurre al minimo l'impatto di un attacco informatico. Gli aeroporti e i vettori dovrebbero disporre di un team dedicato alla risposta agli incidenti, con protocolli chiari per identificare, contenere e risolvere le minacce. Esercitazioni e simulazioni regolari possono contribuire a garantire che il personale sia preparato a rispondere efficacemente in caso di incidente informatico.
L’importanza della collaborazione e della formazione del personale
Gli aeroporti e i vettori dovrebbero collaborare con le agenzie governative, i partner industriali e le organizzazioni per la sicurezza informatica per condividere le informazioni sulle minacce emergenti e le migliori pratiche. Una delle fonti principali è la Cybersecurity & Infrastructure Security Agency (Cisa), che lavora a lungo con i trasporti e altre aree di infrastrutture critiche1. La partecipazione alle reti di condivisione delle informazioni sulle minacce può aiutare gli aeroporti a stare al passo con le ultime minacce informatiche e a rafforzare le proprie difese.
Resta il fatto che l'errore umano rimane una delle cause principali delle violazioni della sicurezza informatica. Il settore dei trasporti e della logistica deve investire in programmi di formazione regolari per educare i dipendenti sulle più recenti minacce informatiche e sull'importanza di seguire i protocolli di sicurezza. I dipendenti devono essere addestrati a riconoscere i tentativi di phishing, i link sospetti e altri vettori di attacco comuni.
La cybersecurity e la sicurezza fisica dovrebbero essere integrate per fornire un approccio olistico alla protezione delle infrastrutture aeroportuali e delle compagnie aeree. Ciò include la protezione dell'accesso alle aree critiche, come le sale server e i centri di controllo, nonché il monitoraggio dell'accesso fisico ai dispositivi IoT. La combinazione di informazioni sulle minacce fisiche e informatiche può fornire una visione più completa dei rischi potenziali.
Oltre a prevenire gli attacchi informatici, gli aeroporti devono concentrarsi anche sulla resilienza e sul recupero. Ciò include lo sviluppo di sistemi di backup, canali di comunicazione ridondanti e piani di disaster recovery che possano aiutare a ripristinare rapidamente le operazioni in caso di incidente informatico. La verifica regolare di questi piani è essenziale per garantirne l'efficacia.