L’Agenzia dell’Unione Europea per la Sicurezza Aerea, nota come EASA, ha definito i nuovi requisiti in tema di cyber security che si applicheranno alla supply chain dell’aviazione: produttori di aerei, compagnie aeree e fornitori di dati meteorologici, nonché aeroporti. Tutto il settore dell’aviazione dovrà effettuare una valutazione dei rischi di hacking per la sicurezza dei voli in base alle norme da applicare nel territorio europeo.
Il regolamento, che entrerà in vigore nel 2025, rimanda molte competenze alla Commissione che è chiamata a legiferare attraverso atti delegati e/o implementativi su diversi aspetti tecnici come licenze, certificati, dichiarazioni e attività di controllo, aereoportuali e formazione.
L’EASA ha il ruolo di garantire la sicurezza e la protezione dell’ambiente nel settore dell’aviazione civile in Europa e in sostanza si occupa di:
- armonizzare regolamentazioni e certificazioni;
- elaborare norme tecniche nel settore dell’aviazione;
- certificare aeromobili e componenti;
- effettuare controlli di sicurezza;
- promuovere norme di sicurezza europee e mondiali;
- collaborare con i soggetti interessati a livello internazionale per migliorare la sicurezza in Europa.
Tale sicurezza viene garantita, ad esempio, anche attraverso “l’elenco per la sicurezza aerea dell’UE”, un elenco degli operatori soggetti a divieto operativo.
Cyber Resilience Act: requisiti fondamentali e prodotti coinvolti
Indice degli argomenti
Strategie per la cyber resilienza nel settore dei trasporti
Antecedentemente erano stati affidati all’EASA compiti di sorveglianza nel campo della protezione ambientale, sicurezza fisica e informatica, e anche riguardo l’interoperabilità, trattata dal precedente regolamento 552/2004 (sull’interoperabilità della rete europea di gestione del traffico aereo, anche detto “regolamento sull’interoperabilità”).
Tale regolamento prevedeva, inoltre, la riassegnazione di competenze in ambito IT su richiesta verso l’EASA e verso gli Stati membri: tutto ciò a conferma di un sistema collaborativo a livello europeo. Si evidenzia, inoltre, che al “Committee for the application of common safety rules in the field of civil aviation” era stata affidata anche la gestione del controllo del traffico aereo.
Nello specifico, un grande elemento di novità riguarda il fatto che le nuove regole di sicurezza informatica in Europa richiederanno per la prima volta, ad una serie di fornitori di servizi aerei, di identificare e difendersi dai rischi di pirateria informatica per la sicurezza del volo.
Tutto questo a seguito di un lavoro già portato avanti da diverso tempo. Il 16 dicembre 2020, la Commissione Europea ha pubblicato il “Cybersecurity Toolkit” per sensibilizzare il mondo dei trasporti sui crescenti rischi informatici e contemporaneamente per promuovere in seno le imprese una maggiore resilienza nel settore cyber.
Di fatto, il manuale fornisce un elenco di suggerimenti, strategie e pratiche consigliate per migliorare la sicurezza informatica e la cyber resilienza nel settore dei trasporti.
Obiettivi del nuovo regolamento cyber nel settore aviazione
L’EASA ha inoltre affermato che il nuovo regolamento ha come obiettivo quello di affrontare attacchi informatici potenzialmente pericolosi e soprattutto è stato dato particolare rilievo alla protezione della supply chain dell’aviazione in quanto tutti i suoi elementi sono strettamente interconnessa.
Di conseguenza, un attacco informatico potrebbe prendere di mira un’azienda ma potrebbe danneggiare non solo l’azienda attaccata ma anche i suoi clienti e fornitori.
Le minacce alla sicurezza informatica possono avere un impatto sulle operazioni e causare danni finanziari significativi per le compagnie aeree, gli aeroporti e i loro utenti, soprattutto se non sono gestite e monitorate in maniera efficace.
Jake Moore, consulente per la sicurezza informatica globale di Eset, sostiene che le minacce ransomware sono un serio problema per le compagnie aeree poiché i voli potrebbero essere bloccati, il che comporterebbe grossi danni economici per le compagnie che operano già con ridotti margini di ricarico.
Attacchi alla supply chain dell’aviazione: il caso British Airways
Ad esempio, nel 2018, una violazione di dati ha colpito un numero stimato tra i 380.000 e 500.000 clienti della compagnia britannica British Airways. La violazione dei dati ha riguardato le credenziali di accesso, i dettagli della carta di pagamento e i dettagli della prenotazione del viaggio degli utenti.
Questa violazione è stata rilevata solamente dopo due mesi comportando un grave danno all’immagine della compagnia e causato disagi ai suoi utenti.
Attacchi alla supply chain dell’aviazione: il caso Boeing
Un altro esempio di attacco hacker ai danni della supply chain del settore dell’aviazione è l’attacco subito da un’azienda controllata da Boeing: la Jeppesen, azienda che fornisce strumenti di navigazione e pianificazione dei voli.
La Jeppesen ha confermato nei primi giorni di novembre 2022 di aver avuto un incidente di sicurezza informatica che ha comportato diverse interruzioni di voli. Un portavoce di Boeing ha confermato l’incidente segnalando che questo ha impattato su alcuni dei prodotti e servizi di pianificazione del volo, ragione per la quale ci sono state alcune interruzioni nella pianificazione degli stessi.
Tuttavia, il portavoce ha sottolineato che l’incidente non rappresenta una minaccia per la sicurezza degli aeromobili, soprattutto in fase di volo.
Settore aviazione: controlli più stringenti anche in USA
Anche le autorità di regolamentazione USA hanno intenzione di adottare controlli più stringenti ed un regolamento più completo, andando così a definire in maniera dettagliata le regole informatiche per il settore dell’aviazione. La Transport Security Administration (TSA) ha reso noto che avrebbe introdotto nuovi requisiti di sicurezza informatica per alcune parti dell’industria aeronautica.
L’agenzia già imponeva agli operatori delle compagnie aeree e aeroportuali di effettuare valutazioni della sicurezza informatica e nominare un coordinatore IT. Inoltre, in tali disposizioni si faceva riferimento alle modalità con le quali segnalare gli incidenti di sicurezza informatica, a come condurre una valutazione della sicurezza cyber e a come sviluppare misure di rimedio e piani di risposta agli incidenti.
La TSA ha inoltre in programma di emanare nuovi requisiti di sicurezza informatica per alcuni sistemi chiave dell’aviazione, dato che nel periodo di settembre/ottobre 2022 diversi siti web di aeroporti statunitensi sono stati colpiti da attacchi DDoS (Distributed Denial of Service) apparentemente coordinati.
La TSA ha dichiarato che gli attacchi informatici sono stati probabilmente organizzati da hacker filorussi, specificando inoltre che non hanno interrotto le operazioni aeroportuali o l’accesso alle informazioni.
Nello specifico, tali attacchi sarebbero riconducibili al gruppo hacker KillNet, il quale ha rivendicato di aver fatto ricorso a DDoS di basso livello contro i siti web di diversi aeroporti statunitensi, tra cui il Los Angeles International e il LaGuardia di New York, i cui siti web sono stati resi inagibili.
Il Government Accountability Office (GAO), in un rapporto del 2020, ha affermato che la Federal Aviation Administration (FAA) dovrebbe implementare le pratiche di sicurezza informatica per affrontare i rischi cyber.
In tale dichiarazione è stato specificato che i moderni aeroplani sono dotati di reti e sistemi che condividono dati con piloti, passeggeri, addetti alla manutenzione, aeroplani e controllori del traffico aereo. Di conseguenza, se non adeguatamente protetti, potrebbero essere a rischio di una serie di potenziali attacchi informatici a cascata.
Come affermato da Jean-Paul Moreaux, coordinatore principale dell’agenzia per la sicurezza informatica dell’aviazione (EASA), “anche se hai una piccola azienda che ha un’attività rischiosa per gli altri, non puoi ignorare (i rischi) perché piccola. Devi assumerti la responsabilità del rischio a cui stai esponendo gli altri”.
