Segurança no céu: como as companhias aéreas abordam a segurança em tempos turbulentos

Aviões aterrados, rotas canceladas e lucros paralisados. Essa é a realidade enfrentada por muitas, senão todas as operações aéreas em todo o mundo atualmente. Mas, em uma época em que os orçamentos estão apertados, as companhias aéreas ainda são obrigadas a proteger seus sistemas e dados, incluindo aqueles que não estão diretamente relacionados aos seus sistemas aviônicos.

As companhias aéreas são vistas como alvos simbólicos para os atores dos estados-nação devido à grande variedade de países anfitriões de onde são originárias e à identidade nacional que representam. Mas o cenário de ameaças se ampliou recentemente para incluir tanto criminosos cibernéticos com motivação financeira que buscam dados de clientes quanto sindicatos que tentam espionagem cibernética para atingir os segredos comerciais das companhias aéreas. O fato é que, embora os aviões possam não estar no ar no momento, as companhias aéreas continuam coletando e retendo dados confidenciais, incluindo informações de cartão de crédito, detalhes do passaporte, dados do programa de passageiro frequente e até informações sobre reservas de acomodação.

As companhias aéreas estão cientes das informações pessoais que possuem, assim como os hackers, que esperam lucrar com dados confidenciais. Somente na Europa, violações recentes de alto perfil (algumas das quais foram relatadas em ZDNet e Forbes) impactaram mais de 400.000 pessoas e as multas impostas atingiram centenas de milhões de dólares. Na Austrália e em outros países, ataques diários a aeroportos estão sendo relatados e avaliações da segurança de aplicativos dos 100 maiores aeroportos do mundo identificaram áreas para melhoria. No primeiro semestre de 2019, por exemplo, houve 30 ataques divulgados publicamente em aeroportos, e vemos que essa tendência continua até hoje.

Os viajantes e aqueles que continuam comprando por meio de cartões de crédito vinculados ao programa de fidelidade de companhias aéreas estão confiando suas informações às companhias aéreas. Se informações confidenciais vazarem, é quase impossível reconquistar a confiança dos clientes.

O desafio em questão é agravado pelo que a Organização da Aviação Civil Internacional (ICAO) chamou de “sistema de sistemas”, citando como os sistemas altamente interconectados aumentam significativamente o risco de ameaças à segurança. A indústria da aviação depende de arquiteturas distribuídas para a prestação de serviços eficientes, incluindo redes distribuídas e funções físicas e do ciberespaço interdependentes. Um conjunto de sistemas que não só é altamente interconectado, mas tem vários OEMs e companhias aéreas parceiras acessando a rede a qualquer momento, aprimorando ainda mais o perfil de risco.

Então, em uma época em que os defensores do setor, como A Qantas paralisou 90% dos aviões e A Virgin Australia passou para a administração, como aqueles que buscam superar os tempos difíceis investem na proteção de sistemas e dados essenciais para evitar ações punitivas do GDPR e do PCI/PII reguladores e minimizam o risco de ransomware e outros ataques de malware?

No imediatismo, seria lógico considerar três etapas principais para maximizar a economia e o impacto.

1. Priorize os problemas e defenda em profundidade isolando ativos críticos

Ransomware e os malwares estão aumentando e são muito bem-sucedidos devido à sua capacidade de se replicar em ambientes mais rapidamente do que as ferramentas e protocolos de detecção/resposta conseguem reagir. A microssegmentação de contenção e privilégios mínimos é particularmente relevante para o setor, com sistemas interconectados em constante expansão, como a aviação e seus programas derivados de fidelidade e compras. Para alguns, essa será a principal prioridade, enquanto outros podem procurar melhorar os métodos de aplicação de patches, proteger os dispositivos de funcionários remotos ou obter visibilidade dos aplicativos e de onde os dados são usados e armazenados. Parte dessa priorização não é apenas a O quê, mas o onde. Só porque um aplicativo crítico precisa de atenção não significa que o controle de segurança necessário deva ser projetado adequadamente ou ter a capacidade de atender a todo o patrimônio de TI. Em vez disso, a melhor abordagem é começar de forma pequena e direcionada, onde você terá o maior impacto, seja ele selecionado PCI cargas de trabalho regulamentadas, aplicativos essenciais de ERP ou cargas de trabalho executando programas de fidelidade com PII.

2. Maximize o multiplicador

Os profissionais de segurança precisam analisar os ecossistemas dos fornecedores para fechar lacunas, mas também combiná-los com o que já está implantado em suas próprias propriedades de TI para obter o máximo valor. Essas alianças podem ampliar drasticamente o alcance e a capacidade e garantir que futuras mudanças na infraestrutura não sejam limitadas pela capacidade de acompanhamento da segurança. Isso ampliará efetivamente os recursos atuais e o valor da vida útil de uma solução em geral. Procurar aplicativos em mercados de soluções parceiros e uma API REST em uso por fornecedores em potencial é um bom indicador da capacidade de criar e continuar expandindo alianças para ajudar a TI a maximizar o multiplicador.

3. Considere a operacionalização

As equipes de segurança geralmente estão sobrecarregadas nos bons momentos. Agora, é mais importante do que nunca considerar a sobrecarga operacional de qualquer nova tecnologia que esteja sendo implementada. A interrupção das operações pode ser menos impactante se as pessoas e os aviões não estiverem voando em todas as rotas usuais com a frequência usual. No entanto, a absorção de tecnologia pode ser um elemento negligenciado ou subestimado em qualquer nova solução. Com equipes distribuídas e trabalhando remotamente, e algumas empresas administrando funcionários reduzidos, a jornada de implantação do contrato até a BAU é fundamental para o sucesso e o tempo de valorização de qualquer investimento feito.

Em última análise, ao serem estratégicas ao atribuir prioridades de segurança ao “quê” e ao “onde”, considerando quaisquer custos ocultos envolvidos (ou seja, despesas de serviços profissionais relacionadas à implantação, que podem adicionar somas significativas, e custos operacionais contínuos do dia a dia), as companhias aéreas podem gastar menos dólares e, ao mesmo tempo, abordar os aspectos mais críticos da segurança de seus negócios.

Sim, veremos violações futuras, mas com essa abordagem, os danos podem ser contidos para que as companhias aéreas vivam para voar outro dia.

Para obter mais informações sobre como a Illumio está ajudando uma companhia aérea, a Cathay Pacific, a proteger suas joias da coroa durante esse período, confira este estudo de caso.