Ciberataques contra las Aerolíneas y sus consecuencias

Un nuevo ciberataque contra una aerolínea estadounidense ha vuelto a poner en entredicho la vulnerabilidad del sector de la aviación para los hackers y sus proveedores. Lo que se ha notificado como un ataque de denegación del servicio en el sistema del plan de vuelo de la aerolínea en tierra a unos 1400 pasajeros durante cinco horas. Más de veinte vuelos fueron cancelados o con retraso.

Como el ataque no detectaba el avión en situación de vuelo, se pensaba que no había vidas en riesgo. Pero ello evidenciaba que sucesos como este cada vez son más frecuentes. De hecho, como los sistemas de software en los que se infiltraron fueron similares a los utilizados en muchas otras compañías aéreas, el CEO constató de acertada que su aerolínea no era especialmente vulnerable.

Aún se deben averiguar todos los detalles de la violación, por lo que en este momento todo son especulaciones. A partir de aquí surge uno de los más grandes desafíos para cualquier sector encargado de establecer sistemas de defensa contra la ciberdelincuencia.

La falta de un programa obligatorio enmascara la magnitud del problema

Los datos de los ataques están envueltos en intereses comerciales, por lo que quienes defienden este tipo de intereses, están luchando por identificar el tamaño del problema. Hasta el momento como no existe normativa para estas infracciones, existe poca o ninguna información visible de la magnitud del problema. Como consecuencia y a pesar de que en realidad son víctimas, cuando las compañías sufren un ataque, son desprestigiadas por una mala gestión del riesgo.

Aunque su consenso ha sido un proceso tortuoso de dos años de retraso respecto a lo esperado, se tiene la esperanza de que por fin la hoja de ruta se convierta en disposición de la Unión Europea a más tardar, en 2016.

En EE.UU existe un programa obligatorio, pero se refiere a datos que financieramente son regulados y que cumplen con la definición de Información Personal de Identificación (PII). También existen portales donde se intercambia información sobre posibles amenazas, pero su información está limitada a lo que cuelgan sus participantes.

Un nivel mínimo de obligatoriedad ayudaría a identificar la magnitud del problema.

El sector de la aviación, particularmente vulnerable

Es un sector especialmente vulnerable, ya que cuenta con un entorno operativo altamente integrado. Es el caso de EE.UU, donde según la FAA (Federal Aviation Administration), de 39 aplicaciones críticas de control de tráfico aéreo, sólo 9 cuentan con una protección completa durante las 24 horas del día.

¿Cómo debe actuar el Director de Riesgos en estos casos?

Ante un supuesto de tal envergadura como la Aviación, el máximo responsable debe entender el impacto de los ciberiesgos de la cartera con la que cuenta. ¿Qué datos informáticos son realmente relevantes para su compañía (Datos personales, las aplicaciones, la infraestructura que lo soporta etc…)? Así, para analizar el problema, debe supervisar sus recursos a través de tres objetivos:

• De qué forma estos activos pueden afectar a su estabilidad financiera.
• Cómo inciden en su capacidad de cumplir con sus expectativas de obligado cumplimiento.
• En qué medida influyen en la reputación, confianza y cuestiones existenciales de su empresa.

Reconocer el imparable nivel de riesgo de ciberataques es una cuestión de vital importancia. Una estrategia de ciberdefensa eficaz está intrínsecamente unida a la protección del beneficio y a la capacidad operativa, por lo que la responsabilidad tiene que canalizarse directamente desde el Departamento de TI (Tecnologías de la Información) a la cúspide directiva de la empresa.