Perché le compagnie aeree sono un bersaglio privilegiato dagli attacchi informatici?

I recenti attacchi informatici di rilievo che hanno colpito l'American Airlines e la Japan Airlines hanno messo in evidenza le vulnerabilità del settore aeronautico, sottolineando, al contempo, la necessità di adottare solide misure di cybersecurity. 

Nella mattina del 26 dicembre 2024, la Japan Airlines (JAL) ha iniziato a registrare alcuni problemi di funzionamento dei suoi sistemi fino a scoprire che questi eventi erano il risultato di un attacco informatico sferrato ai suoi danni. Anche se non si è verificata alcuna fuga di dati, l'attacco ha condotto ad enormi ritardi e all'interruzione della vendita dei biglietti aerei, che hanno causato perdite economiche alla compagnia aerea, minando, al contempo, la fiducia dei suoi clienti.

L'attacco informatico sferrato contro la JAL durante il periodo natalizio era stato lanciato alcuni mesi dopo che gli hacker avevano ottenuto l'accesso ai dati dei clienti dell'American Airlines. La compagnia aerea statunitense ha riferito che l'attacco, scoperto a luglio 2024, potrebbe aver violato un esiguo numero di dati dei clienti, tra cui date di nascita, numeri di patenti di guida e di passaporti, oltre ad informazioni sanitarie.

Queste minacce informatiche ci ricordano chiaramente dei rischi posti dai sofisticati criminali che continuamente evolvono le loro tattiche per sfruttare le vulnerabilità presenti nei sistemi delle compagnie aeree. Poiché il settore aeronautico continua ad adottare tecnologie come l'intelligenza artificiale (AI), il cloud computing e l'IoT (Internet of Things), la superficie di attacco dei criminali informatici si espande, rendendo fondamentale per le compagnie aeree adottare avanzate strategie di cybersecurity.

Ecco alcuni motivi principali per cui le compagnie aeree sono frequentemente prese di mira dai criminali informatici, tra cui:

• Complessità operativa
• Elevato valore dei dati
• Interruzioni operative
• Motivazioni geopolitiche
• Sfruttamento della fiducia dei clienti

Le operazioni delle compagnie aeree sono intrinsecamente complesse a causa delle rigide normative vigenti nel settore aeronautico e della dipendenza delle compagnie aeree da vasti sistemi interdipendenti. Per soddisfare le specifiche esigenze del settore, la supply chain di una compagnia aerea, di solito, include una rete globale di diversi provider e fornitori, che richiede ai suoi sistemi operativi di essere interconnessi e accessibili dall'esterno. Una perdita di connettività influisce notevolmente sulle operazioni di una compagnia aerea, tra cui ritardi e cancellazioni di voli.

I dati dei passeggeri, tra cui modelli e preferenze di viaggio, sono molto redditizi per i criminali informatici. Se questi dati personali vengono violati, possono essere monetizzati direttamente o usati per campagne di phishing mirate.

Le compagnie aeree si basano sulla continuità operativa. I criminali informatici e gli hacker sfruttano questa dipendenza per sferrare attacchi informatici e attacchi ransomware, sapendo che le compagnie aeree pagheranno un cospicuo riscatto per ripristinare rapidamente il corretto andamento delle loro operazioni o per garantire la sicurezza dei loro dati.

Le compagnie aeree sono, spesso, prese di mira per ragioni geopolitiche da criminali sostenuti dai governi che cercano di raccogliere informazioni sensibili o di bloccare le infrastrutture nazionali.

Le compagnie aeree sono considerate estremamente affidabili, pertanto eventuali interruzioni operative o violazioni di dati possono offuscare la loro reputazione e minare la fiducia dei passeggeri, fornendo ai criminali la possibilità di abusare dell'organizzazione presa di mira.

Per contrastare la crescente minaccia rappresentata dagli attacchi informatici, le compagnie aeree devono cercare di adottare una strategia di cybersecurity multilivello. Tra le azioni che le compagnie aeree possono intraprendere per migliorare il proprio livello di sicurezza, figurano le seguenti:

• Passare ad un'architettura di sicurezza Zero Trust
• Utilizzare la segmentazione della rete per limitare l'impatto degli attacchi informatici
• Migliorare la formazione e la consapevolezza dei dipendenti
• Aggiornare i sistemi obsoleti
• Creare un piano di risposta agli incidenti
• Collaborare con altri enti normativi, compagnie aeree e organizzazioni che si occupano di cybersecurity

In una rete Zero Trust, nessun utente o dispositivo viene considerato automaticamente attendibile, anche se fa già parte della stessa rete o se è stato autenticato in precedenza. L'implementazione di un approccio Zero Trust garantisce che ogni dispositivo e ogni utente (dai dipendenti ai partner fino ai collaboratori) venga autenticato e autorizzato prima di poter accedere al sistema. In tal modo, si minimizza il rischio di un accesso non autorizzato ai dati sensibili da parte dei criminali informatici, che si fingono utenti legittimi. 

Negli Stati Uniti, la TSA (Transportation Security Administration) ha pubblicato specifiche linee guida sui requisiti di cybersecurity per gli operatori aeroportuali e le compagnie aeree, ai quali viene richiesto di creare misure di controllo degli accessi tali da proteggere e prevenire eventuali accessi non autorizzati ai sistemi critici. Un valido approccio consiste nell'eliminare l'uso delle VPN per accedere ad applicazioni e sistemi, sostituendoli con una soluzione ZTNA (Zero Trust Network Access).

Molti incidenti di cybersecurity e attacchi ransomware cominciano quando un criminale sfrutta una vulnerabilità nota di un sistema o utilizza il phishing per accedere inizialmente alla rete di una compagnia aerea. Una volta ottenuto l'accesso iniziale, i criminali tendono a spostarsi lateralmente, cercando di accedere ad altre risorse e ad individuare altri sistemi da sfruttare o da bloccare con il ransomware.

Fortunatamente, c'è un modo per impedire ai criminali di spostarsi ulteriormente e di causare altri danni una volta ottenuto l'accesso iniziale ad una rete: la segmentazione. La TSA afferma che le compagnie aeree devono sviluppare policy e controlli per la segmentazione della rete allo scopo di garantire che i sistemi tecnologici operativi possano continuare a funzionare in modo sicuro nel caso in cui i sistemi IT siano stati violati e viceversa.

Le compagnie aeree devono cercare di implementare soluzioni di microsegmentazione in grado di prevenire il movimento laterale e di limitare la portata dell'impatto di un attacco informatico o di un incidente causato da un ransomware.

Anche se un solo dipendente cade vittima di un attacco di phishing, le conseguenze possono essere devastanti. Per aiutare i dipendenti a riconoscere i tentativi di phishing e altre tattiche di social engineering, le compagnie aeree devono fornire sessioni di formazione con cadenza regolare. Inoltre, devono formare regolarmente i dipendenti su come gestire i dati sensibili e condividere le best practice utili per proteggere i loro dispositivi. 

Sostituire i sistemi obsoleti con un'infrastruttura moderna e sicura è una fase critica nel processo volto a rafforzare la resilienza di un'organizzazione, in particolare in settori come quello aeronautico in cui la sicurezza e l'efficienza sono requisiti imprescindibili. I sistemi tradizionali, spesso, contengono vulnerabilità intrinseche a causa della presenza di tecnologie obsolete, della mancanza di supporto e della limitata compatibilità con le moderne misure di sicurezza.

L'aggiornamento a sistemi avanzati migliora l'affidabilità operativa, la scalabilità e la cybersecurity incorporando funzioni come il monitoraggio in tempo reale, il rilevamento automatizzato delle minacce e solidi protocolli di crittografia.

Nel caso di un attacco informatico, un solido piano di risposta agli incidenti consente di contenere le minacce e di recuperare la situazione originaria rapidamente, minimizzando, al contempo, i danni. Un piano di questo tipo deve descrivere le procedure, le strategie di comunicazione e i ruoli inclusi e deve essere sottoposto a verifiche regolari.

La condivisione dell'intelligence sulle minacce nel settore aeronautico può svolgere un ruolo cruciale nel migliorare la resilienza collettiva del settore dalle minacce informatiche emergenti e ridurre l'impatto degli attacchi informatici. Rafforzando le partnership di compagnie aeree, aeroporti, enti normativi e organizzazioni che si occupano di cybersecurity, il settore aeronautico può costruire una strategia di difesa unificata. 

L'impegno collaborativo consente di scambiare tempestivamente le informazioni critiche su vulnerabilità, metodi di attacco e strategie di mitigazione, che possono aiutare le parti coinvolte a tenersi al passo con i criminali.

Man mano che il settore aeronautico continua ad adottare la trasformazione digitale, il panorama delle minacce si evolve aumentando la superficie di attacco ed esponendo nuove vulnerabilità. Le compagnie aeree devono dare priorità alla cybersecurity come componente principale delle loro operazioni per proteggere i passeggeri, mantenere la fiducia dei clienti e garantire un servizio ininterrotto. 

I recenti attacchi sferrati contro l'American Airlines e la Japan Airlines fanno scattare un campanello di allarme perché enfatizzano l'urgente necessità di adottare misure di cybersecurity proattive per salvaguardare lo spazio aereo.