Seguridad en el cielo: cómo las aerolíneas abordan la seguridad en tiempos turbulentos

Aviones en tierra, rutas canceladas y ganancias estancadas. Esa es la realidad a la que se enfrentan muchas, si no todas, las operaciones de las aerolíneas a nivel mundial hoy en día. Pero, en una época en la que las cotizaciones son ajustadas, las aerolíneas todavía se ven obligadas a proteger sus sistemas y datos, incluidos aquellos que no están directamente relacionados con sus sistemas de aviónica.

Las aerolíneas son vistas como objetivos simbólicos para los actores del estado-nación debido a la amplia gama de países anfitriones de los que provienen y la identidad nacional que representan. Pero el panorama de amenazas se amplió recientemente para incluir tanto a los ciberdelincuentes motivados financieramente que buscan los datos de los clientes como a los sindicatos que intentan el ciberespionaje para atacar los secretos comerciales de las aerolíneas. El hecho es que, si bien es posible que los aviones no estén en el aire en este momento, las aerolíneas continúan recopilando y reteniendo datos confidenciales, incluida la información de tarjetas de crédito, detalles del pasaporte, datos del programa de viajero frecuente e incluso información sobre reservaciones de alojamiento.

Las aerolíneas son conscientes de la información personal que poseen, al igual que los piratas informáticos, con la esperanza de sacar provecho de los datos confidenciales. Solo en Europa, las recientes infracciones de alto perfil (algunas de las cuales fueron reportadas en ZDNet y Forbes) afectaron a más de 400,000 personas y las multas impuestas alcanzaron los cientos de millones de dólares. En Australia y otros países, se están reportando ataques diarios a aeropuertos y las evaluaciones de la seguridad de las aplicaciones de los 100 aeropuertos más importantes del mundo identificaron áreas de mejora. En la primera mitad de 2019, por ejemplo, hubo 30 ataques reportados públicamente en aeropuertos, y vemos que esa tendencia continúa hoy.

Los viajeros, y aquellos que continúan comprando a través de tarjetas de crédito vinculadas al programa de lealtad de aerolíneas, están confiando su información a las aerolíneas. Si se filtra información confidencial, es casi imposible recuperar la confianza de los clientes.

El desafío en cuestión se ve agravado por lo que la Organización de Aviación Civil Internacional (OACI) llamó el "sistema de sistemas", citando cómo los sistemas altamente interconectados aumentan significativamente el riesgo de amenazas a la seguridad. La industria de la aviación depende de arquitecturas distribuidas para la capacidad de servicios eficientes, incluidas las redes distribuidas y las funciones físicas y ciberespaciales interdependientes. Un conjunto de sistemas que no solo está altamente interconectado, sino que tiene múltiples OEM y aerolíneas asociadas que acceden a la red en un momento dado, lo que mejora aún más el perfil de riesgo.

Entonces, en un momento en que los incondicionales de la industria como Qantas dejaron en tierra el 90% de los aviones y Virgin Australia pasó a la administración, ¿cómo invierten aquellos que buscan superar los tiempos difíciles en la protección de sistemas y datos críticos para evitar acciones punitivas por parte de los reguladores de GDPR y PCI /PII y minimizar el riesgo de ransomware y otros ataques de malware?

En la inmediatez, sería lógico considerar tres pasos básicos para maximizar la economía y el impacto.

1. Priorizar los problemas y defenderlos en profundidad aislando los activos críticos

El ransomware y el malware están en aumento y tienen mucho éxito debido a su capacidad para replicar en entornos más rápido de lo que pueden reaccionar las herramientas y protocolos de detección / respuesta. La contención y la microsegmentación de privilegios mínimos son particularmente relevantes para la industria con sistemas interconectados en constante expansión como la aviación y sus programas de lealtad y compras derivados. Para algunos, esta será la principal prioridad, mientras que otros pueden buscar mejorar los métodos de aplicación de parches, proteger los dispositivos de los trabajadores remotos u obtener visibilidad de las aplicaciones y dónde se usan y almacenan los datos. Parte de esta priorización no es solo el qué, sino el dónde. El hecho de que una aplicación crítica necesite atención no significa que el control de seguridad requerido deba diseñar adecuadamente o tener la capacidad de atender a la totalidad del patrimonio de TI. Más bien, el mejor enfoque es comenzar poco a poco y con un objetivo, donde tendrá el mayor impacto, ya sean cargas de trabajo PCI seleccionadas bajo regulación, aplicaciones ERP críticas o cargas de trabajo que ejecutan programas de fidelización con PII.

2. Maximiza el multiplicador

Los profesionales de la seguridad deben observar los ecosistemas de proveedores para cerrar las brechas, pero también emparejarlos con lo que ya está implementado en sus propios estados de TI para obtener el mayor valor. Estas alianzas pueden ampliar significativamente el alcance y la capacidad y garantizar que los futuros cambios en la infraestructura no estén limitados por la capacidad de la seguridad. Esto ampliará efectivamente tanto las capacidades actuales como el valor de por vida de una solución en general. Buscar cosas como aplicaciones en mercados de soluciones asociadas y una API REST en uso de proveedores potenciales es un buen indicador de la capacidad de crear y continuar expandiendo alianzas para ayudar a TI a maximizar el multiplicador.

3. Considere la operacionalización

Los equipos de seguridad generalmente se estiran en los buenos tiempos, ahora es más importante que nunca considerar la sobrecarga operativa de cualquier nueva tecnología que se implemente. La interrupción de las operaciones puede ser menos impactante si las personas y los aviones no vuelan todas las rutas habituales con la frecuencia habitual. Sin embargo, la absorción de tecnología puede ser un elemento pasado por alto o subestimado en cualquier solución nueva. Con equipos distribuidos y trabajando de forma remota, y algunas compañías con personal reducido, el viaje de implementación desde el contrato hasta BAU es fundamental para el éxito y el tiempo de amortización de cualquier inversión realizada.

En última instancia, al ser estratégicos en la asignación de prioridades de seguridad tanto al qué como al dónde, teniendo en cuenta los costos ocultos involucrados (es decir, los gastos de servicios profesionales relacionados con la implementación, que pueden agregar sumas significativas, y los costos operativos diarios continuos), las aerolíneas pueden gastar menos dólares sin dejar de abordar los aspectos más críticos de la seguridad de su negocio.

¿Veremos futuras infracciones?, sí, pero con este enfoque se puede contener el daño para que las aerolíneas vivan para volar otro día.

Para obtener más información sobre cómo Illumio está ayudando a una aerolínea, Cathay Pacific, a proteger sus joyas de la corona durante este tiempo, consulte este estudio de caso.