El objetivo de este esfuerzo es estandarizar lo que la FAA llama "condiciones especiales", que son efectivamente regulaciones temporales emitidas caso por caso. La FAA ha tenido que emitir cada vez más condiciones especiales para cubrir la ciberseguridad en los últimos años, lo que les ha llevado a formalizar las reglas en un esfuerzo por reducir el costo de certificación.
"Estos desconectes aumentan la complejidad, el costo y el tiempo de certificación tanto para el solicitante como para el regulador", dijo Wesley Mooty, director ejecutivo interino del Servicio de Certificación de Aeronaves de la FAA, quien añadió la propuesta al registro federal. "Este paquete de propuestas de regulación codifica los requisitos sustantivos de las condiciones especiales de ciberseguridad emitidas con frecuencia para abordar estos problemas".
La FAA cree que las reglas "protegerán el equipo, los sistemas y las redes de aviones de categorÃa de transporte, motores y hélices contra interacciones electrónicas no autorizadas intencionales (IUEI) que podrÃan crear riesgos para la seguridad".
Los solicitantes tendrÃan que identificar deficiencias en ciberseguridad y desarrollar instrucciones sobre cómo los pilotos continuarÃan operando en caso de un incidente cibernético.
"La sustancia de las reglas propuestas reflejarÃa generalmente la práctica actual (por ejemplo, condiciones especiales) que la FAA ha utilizado para abordar la ciberseguridad de productos desde 2009", dijo Mooty, argumentando que el impacto "no serÃa significativo".
La FAA también espera que las reglas reduzcan la cantidad de tiempo necesario para certificar productos nuevos y modificados, al tiempo que armonizan sus requisitos regulatorios con otros utilizados por las autoridades de aviación civil en otros paÃses.
La propuesta se realiza en respuesta a cambios generalizados en cómo se están diseñando actualmente los aviones. La FAA y varios expertos han afirmado que los aviones, motores y hélices están cada vez más conectados a redes y servicios de datos internas o externas, lo que obliga a los reguladores a considerar el entorno de amenazas cibernéticas.
Las amenazas incluyen las computadoras portátiles de mantenimiento utilizadas para revisar los aviones, las redes desplegadas por los aeropuertos o las puertas de embarque de las aerolÃneas, sensores inalámbricos de aeronaves y redes de sensores, redes celulares, dispositivos conectados, comunicaciones satelitales, GPS y más.
Los ataques a estos sistemas "tienen el potencial de afectar la aeronavegabilidad del avión". La TSA emitió regulaciones de emergencia en 2023 para aeropuertos y operadores de aeronaves que requieren que tengan planes de implementación preaprobados para aumentar las medidas de seguridad.
Mooty explicó que revisiones recientes de los reguladores de la FAA encontraron que las reglas actuales son "inadecuadas e inapropiadas para abordar las vulnerabilidades de ciberseguridad causadas por la mayor interconectividad".
Sus esfuerzos para completar aún más las reglas de ciberseguridad comenzaron con el controvertido programa 787 de Boeing, para el cual tuvieron que emitir condiciones especiales para abordar "interacciones electrónicas no autorizadas intencionales".
Las reglas propuestas requieren que los solicitantes protejan aviones, motores y hélices de IUEI, "identifiquen y evalúen" los riesgos de seguridad que representan las IUEI, y "mitiguen" esos riesgos según sea necesario.
Se deben realizar evaluaciones para analizar la probabilidad de explotación de ciertas vulnerabilidades y los solicitantes necesitarÃan instalar una o múltiples capas de protección para mantener seguros los controles del avión. Advirtieron sobre ataques que podrÃan corromper datos en las pantallas de la tripulación e incidentes que afectarÃan el tipo de decisiones que los pilotos y la tripulación deben tomar durante emergencias.
La FAA buscó limitar el alcance de las reglas a vulnerabilidades que resultarÃan en efectos tangibles sobre la seguridad y operación del avión. Como ejemplo, las nuevas reglas no cubrirÃan vulnerabilidades potenciales que afectarÃan dispositivos de avión que procesan tarjetas de crédito de pasajeros.
El experto en ciberseguridad Joseph Saunders dijo a Recorded Future News que el esfuerzo por ir más allá de las condiciones especiales es "muy necesario" dado el aumento en las comunicaciones y componentes conectados en las aeronaves.
Notó que, a diferencia de pernos sueltos o sensores defectuosos, los ciberataques "conllevan el potencial de un ataque de sabotaje a gran escala y remoto que puede inmovilizar instantáneamente toda una flota".
Pero Saunders, quien es CEO de RunSafe Security, argumentó que la regulación no va lo suficientemente lejos en abordar y mantener defensas para proteger contra vulnerabilidades desconocidas.
"Necesitamos tanto la capacidad de prevenir futuros ataques contra vulnerabilidades desconocidas descubiertas después de que un fabricante entregue instrucciones para la continuidad de la aeronavegabilidad, como un proceso para que el fabricante y el operador acuerden cuándo actualizar las aeronaves de los operadores para abordar futuras vulnerabilidades de software que afectan la aeronavegabilidad", añadió.
El Equipo de Respuesta a Emergencias de Computadoras de Gestión de Tráfico Aéreo Europeo (EATM-CERT) encontró que el número de ciberataques reportados entre las organizaciones de la industria aérea creció un 530% de 2019 a 2020.
Fuente: Recorded Future News