Formas de abordar la ciberseguridad en la aviación civil

El pasado verano la aerolínea polaca LOT, tuvo que cancelar y aplazar una veintena de vuelos tras sufrir un ataque que afectó al sistema informático utilizado para emitir planes de vuelo. Pocos meses antes, al parecer un grupo de hackers consiguió acceder a la página de internet de usuarios de Lufthansa y entrar en las cuentas de acumulación de millas de viajes. En 2013 se reportaron ataques cibernéticos en los sistemas de control de pasaportes en la terminal de salida del Aeropuerto Internacional de Estambul. En 2014 Japan Airlines sufrió el ataque de un virus en la terminal de computadoras dentro de su red que propició la filtración de información relacionada con unos 750.000 pasajeros frecuentes. Ese mismo año, la página web de la Autoridad de Aviación Civil de Jamaica resultó víctima de una denegación de servicio (DDoS) durante un ataque que afectó a más de diez sitios web del gobierno.[1] Aunque no se suele hablar mucho de ello, las amenazas cibernéticas también se ciernen sobre la seguridad de la aviación civil y la protección de datos de los usuarios del transporte aéreo. 

Según explicaba Ludovic Arnoux, Director General de Consultoría sobre riesgos en la aviación de Allianz Global Corporate & Specialty, "los aviones de nueva generación están muy expuestos al cibercrimen debido al uso generalizado de redes de datos, sistemas informáticos incorporados y sistemas de navegación. Las violaciones de datos y los ciberataques son percibidos como riesgos crecientes.” [2]

La Asamblea de la OACI, durante su 39º período de sesiones celebrado entre los días 27  de septiembre y 6 de octubre de 2016, aprobó la Resolución A39-19 sobre formas de abordar la ciberseguridad en la aviación civil, ante la creciente preocupación de todas las partes involucradas en el sector, un sector cada vez más dependiente de componentes, equipos, sistemas y redes interconectados, haciéndolo vulnerable ante  amenazas e incidentes que pueden comprometer la seguridad operacional (safety) y la seguridad de la aviación (security), ya que la amenaza puede llegar a afectar a los sistemas críticos de la aviación civil de todo el mundo. 
                                                                           
Tomando en consideración las iniciativas y propuestas formuladas tanto por los Estados miembros como por Consejo Internacional de Aeropuertos (ACI), la Organización de Servicios de Navegación Aérea Civil (CANSO), la Asociación del Transporte Aéreo Internacional (IATA), el Consejo Coordinador Internacional de Asociaciones de Industrias Aeroespaciales (ICCAIA) y el Consejo de la OACI,[3] la Asamblea exhorta, mediante la indicada Resolución, a que todas las partes interesadas  adopten las siguientes medidas:

a) identificar las amenazas y los riesgos de posibles incidentes de ciberseguridad en las operaciones y los sistemas críticos de la aviación civil y las graves consecuencias que pueden resultar de tales incidentes;

b) definir las responsabilidades de los organismos nacionales y las partes interesadas de la industria con respecto a la ciberseguridad en la aviación civil;

c) fomentar una interpretación común entre los Estados miembros de las ciberamenazas y riesgos y la formulación de criterios comunes para determinar cuáles bienes y sistemas son de carácter crítico y es preciso protegerlos;

d) fomentar la coordinación entre gobierno e industria con respecto a las estrategias, políticas y planes de ciberseguridad de la aviación, así como el intercambio de información para ayudar a identificar las vulnerabilidades críticas que sea necesario resolver;

e) formar y participar en asociaciones y mecanismos público-privados entre gobierno e industria, a nivel nacional e internacional, para compartir sistemáticamente la información sobre ciberamenazas, incidentes, tendencias y acciones de mitigación;

f) sobre la base de una interpretación común de las ciberamenazas y riesgos, adoptar un enfoque flexible y basado en el riesgo para proteger los sistemas de aviación críticos mediante la implantación de sistemas de gestión de la ciberseguridad;

g) fomentar una sólida cultura de la ciberseguridad en todos los aspectos al interior de los organismos nacionales y en todo el sector de la aviación;

h) determinar las consecuencias jurídicas de los actos que comprometen la seguridad operacional de la aviación explotando vulnerabilidades cibernéticas;

i) promover la elaboración y aplicación de normas internacionales, estrategias y mejores prácticas para proteger los sistemas críticos de tecnología de la información y las comunicaciones que se usan en la aviación civil de interferencias que puedan atentar contra la seguridad operacional de la aviación civil;

j) establecer políticas y destinar recursos cuando sea necesario para garantizar que los sistemas de aviación críticos tengan una arquitectura diseñada para ser segura; que sean resilientes; que tengan métodos seguros de transferencia de datos que garanticen su integridad y confidencialidad; que tengan métodos de vigilancia, detección y notificación de incidentes y que se lleven a cabo análisis forenses de los incidentes; y

k) colaborar en el desarrollo del marco de ciberseguridad de la OACI adoptando un enfoque abarcador, transversal y funcional que integre la navegación aérea, las comunicaciones, la vigilancia, las operaciones de aeronaves, la aeronavegabilidad y demás disciplinas pertinentes.

El texto de la Resolución está disponible en la edición provisional de las Resoluciones adoptadas por la Asamblea en el último periodo de sesiones, y puede consultarse aquí.



[1] Nota de Estudio AVSEC/FAL/RG/5-NE/23. Quinta Reunión del Grupo sobre Seguridad de la Aviación y Facilitación. Lima (Perú), junio 2015.
[3] Vid. Notas de Estudio A39-WP/175, A39-WP/17, A39-WP/187, A39-WP/236, A39-WP/99.

Lo más visto esta semana

Los contratos de utilización de aeronaves. Consideraciones generales

La Convención de París de 1919 para la reglamentación de la navegación aérea

Concepto y naturaleza jurídica del fletamento de aeronaves

Las servidumbres aeronáuticas: concepto y clases

Convenios bilaterales en materia de transporte aéreo: las libertades del aire

El contrato de arrendamiento de aeronaves (y III): Marco normativo

Regulación actual de los vuelos privados de costes compartidos

Antecedentes del Derecho Privado Aéreo

Tratamiento jurídico del abandono de aeronaves