Segurança Cibernética na Aviação Civil

										

					
						Tempo de leitura: 10 min					

										
	
				

					
					
						 
					
					
					

						
						
							Escrito por Jefferson Barbosa

						
						
											

						

				

			


		

			

		

	



		
	

		
		

			

									
Faça parte da nossa Lista VIP

				
									
Entre para nossa lista e receba conteúdos exclusivos e com prioridade

				
			

			

										










Confirmo que aceito as políticas de privacidade e termos e condições.



				

				

				
											Fique tranquilo, somos 100% livre de spam.									
					

		

	

	
	
	

	

			


	


	


		
		
			
		


		
		

				
    
    


        
Compartilhe este artigo:

    

    


       

        

                     

       

        

                     

       

        

                     

       

        

                     

       

        

                     

       

        

                     

    
    

    
    



				

		
		
			
			
			


			
						
										
							
			
						


			







Cibersegurança x AVSEC





A aviação civil mantém seus processos de segurança constantemente monitorados por meio de análise de risco e gestão da qualidade, através dos indicadores, como por exemplo: cenário geográfico, histórico de ocorrência, reportes e tendências de novas modalidades usadas por criminosos. A segurança da aviação civil contra atos de interferência ilícita (AVSEC) tem como definição e preocupação itens como, ato ou atentado que coloca em risco a segurança da aviação civil e o transporte aéreo, a saber: 





a) apoderamento ilícito de aeronave em voo;





b) apoderamento ilícito de aeronave no solo;





c) manutenção de refém a bordo de aeronaves ou nos aeródromos;





d) invasão de aeronave, de aeroporto ou das dependências de instalação aeronáutica; 





e) introdução de arma, artefato ou material perigoso, com intenções criminosas, a bordo de aeronave ou em um aeroporto; 





f) comunicação de informação falsa que coloque em risco a segurança de aeronave em voo ou no solo, dos passageiros, tripulação, pessoal de terra ou público em geral, no aeroporto ou nas dependências de instalação de navegação aérea; e 





g) ataque a aeronaves utilizando Sistema Antiaéreo Portátil.





Entretanto, diante do cenário de conectividade global, onde as pessoas de todo planeta têm acesso instantâneo com outras em qualquer continente, comunicando-se através do envio de mensagens de texto, arquivos, links e vídeos, gerou também espaço para que indivíduos com atitudes maliciosas possam usar desta facilidade para cometer ações criminosas.





Mediante esta tendência de risco Global, a ICAO publica novas medidas de segurança, onde os Estados devem elevar suas análises além dos riscos AVSEC listados, como também os riscos cibernéticos.





Cybersecurity ICAO





A tecnologia e os sistemas cibernéticos se tornaram essenciais para a sociedade pós-moderna, sendo um componente de muitas atividades que se tornaram dependentes da tecnologia da informação. Juntamente com o benefício das tecnologias cibernéticas, surgem as inseguranças, afetando todos os sistemas e infraestruturas. A ameaça cibernética e o ataque cibernético têm um componente e efeito transnacionais, pois os sistemas mundiais estão interconectados. Além disso, a complexidade da ação tem implicações para vários fatores a nível nacional, regional e internacional.





É neste ambiente de cibersegurança que a aviação civil conduz a sua atividade. A aviação civil depende principalmente da tecnologia cibernética, usada para aumentar a segurança e a eficiência do transporte aéreo. No entanto, a interconectividade dos sistemas e a dependência da tecnologia criaram as premissas ideais para o surgimento de novos riscos. A indústria da aviação está usando um amplo sistema interconectado baseado em computador, abrangendo desde sistemas de navegação aérea, controle de aeronaves a bordo e sistemas de comunicação, sistemas de solo de aeroportos, sistemas de informação de voo, triagem de segurança e muitos outros que são usados diariamente e para todas operações relacionadas com a aviação. A tendência da indústria da aviação é se tornar cada vez mais digitalizada. A digitalização traz novos perigos, pois as interações entre as pessoas e os sistemas tornam o risco mais difícil de prever.





Recomendo acessar o documento Publicado pela ICAO nesse link, contendo referência sobre Estratégia de Cibersegurança. 





ANAC





A ANAC seguindo as recomendações de segurança mundial, acrescentou recentemente na revisão do Regulamento Brasileiro da Aviação Civil nº 108, emenda 3 – RBAC 108 a responsabilidade dos operadores com ações de segurança cibernética, no qual operador aéreo deve identificar as informações, dados e sistemas de tecnologia da comunicação julgados como críticos para sua operação e implementar medidas para protegê-los, por meio de uma avaliação de risco. Reforçando que o operador deve elaborar e implementar um processo contínuo de avaliação de risco, com o objetivo de orientar o planejamento da segurança em suas operações e complementar as medidas de segurança previstas em norma.





Ainda em consonância com o Plano Global de Segurança da Aviação Civil (GASeP – Global Aviation Security Plan) foi constituído O Grupo Brasileiro de Segurança da Aviação Civil contra Atos de Interferência Ilícita (Brazilian Aviation Security Team – BASeT), que é um comitê sem personalidade jurídica.





Entre os atores envolvidos no BASeT, estão operadores aéreos, operadores aeroportuários, entidades públicas como Departamento de Controle do Espaço Aéreo (DECEA), Departamento de Polícia Federal e instituições da comunidade de aviação civil dedicadas à melhoria da segurança da aviação civil brasileira, como ABEAR, IATA, ALTA, ANEAA.





O BASeT tem como objetivo planejar e orientar o setor da aviação civil, por meio da definição de uma agenda de ações e projetos nacionais sobre a Segurança da Aviação Civil contra Atos de Interferência Ilícita – AVSEC, de forma a fomentar a evolução técnica de Aviation Security (AVSEC) – no Brasil; promover a interação colaborativa, a produção de material técnico e o desenvolvimento de projetos conjuntos sobre AVSEC entre a ANAC, seus regulados e os demais interessados; e possibilitar a coleta e a troca de informações, dados e indicadores pelos agentes do setor, com o intuito de ensejar melhores análises, diagnósticos e definição de metas para o sistema de AVSEC.





Na 1ª Reunião do BASeT, em 20 de maio de 2020, o grupo definiu a priorização de 4 (quatro) projetos específicos. Constituindo em subgrupos temáticos, cujo trabalho de um deles consiste no desenvolvimento da produção de um manual com orientações quanto à segurança cibernética (cybersecurity) na aviação civil.





Exercício Guardião Cibernético





O Comando da 2ª Divisão de Exército Brasileiro sediou, uma reunião de apresentação do Exercício Guardião Cibernético 3.0, adestramento a ser realizado no segundo semestre de 2021.





O exercício é conjunto (participação das Forças Armadas) e interagências, contando com profissionais de setores de infraestrutura crítica do país, como energia, água, transporte, telecomunicações e internet, universidades, agências do setor nuclear e do sistema financeiro. O adestramento é calcado na segurança cibernética e, de acordo com o coordenador do exercício, Coronel Luiz Cunha, “é de grande interesse para o setor privado”.





O adestramento utiliza um simulador virtual para elaborar cenários de defesa e ataque cibernéticos, nos quais os setores de Defesa e Segurança e agências civis têm que trabalhar em um ambiente colaborativo, com sinergia de esforços, para evitar a paralisação de serviços essenciais. A estimativa é que cerca de 350 participantes e observadores de mais de 50 organizações civis participem do exercício em Brasília (DF) e em São Paulo (SP), entre 5 e 7 de outubro.





Dicas de Cybersecurity





Em uma pesquisa, encontrei dicas que achei interessante compartilhar com o viés de implementação das instituições privadas e públicas. Porém gostaria que o leitor percebesse que nada disso vai surtir efeito se não houver o respeito das pessoas para com os processos.





A proteção cybernetica começa com pequenas ações individuais, e se você pensar que faz a sua parte mas, seu amigo de trabalho não está fazendo a dele, procure o canal de reporte confidencial da sua empresa e relate o que está ocorrendo. Na aviação é certo que vai existir um canal seguro para este tipo de ação.





1. Criar políticas e conscientizar colaboradores (respeite a política de segurança)





Os primeiros passos para garantir que as medidas de segurança da informação tenham sucesso é estabelecer políticas claras e conscientizar colaboradores sobre a importância de segui-las. Além disso, é preciso treinar continuamente as equipes a respeito das ameaças que podem prejudicar o andamento dos processos e quais os cuidados para se proteger de cada uma delas, além de mostrar de forma clara e direta o quão prejudicial pode ser para o colaborador e para a empresa as ameaças cibernéticas.





2. Investir em criptografia (Mantenha as configurações de segurança atualizadas)





As soluções de criptografia para e-mails e arquivos podem auxiliar de forma significativa na cibersegurança. A vantagem é que sua implementação é simplificada e não depende de altos investimentos por parte das empresas. Para quem não sabe, a prática se refere à construção e análise de protocolos que impedem usuários mal-intencionados de lerem mensagens privadas.





3. Instalar uma VPN (Neste momento de pandemia com os trabalhos realizados em home office, é essencial)





A instalação de uma Rede Virtual Privada (VPN) que, como o nome sugere, cria redes de comunicações entre computadores e dispositivos com acesso restrito, também é uma boa estratégia para a proteção de dados no trabalho remoto. Para isso, é possível utilizar a infraestrutura já existente em sistemas operacionais ou soluções abertas.





4. Utilizar soluções de autenticação (Deve ser usado também para seus acessos de redes sociais)





A autenticação de dois fatores, ou de duas etapas, consiste na inserção de senha pelo usuário, seguida de um código fornecido por SMS, tokens ou outros recursos. Como os códigos se alteram constantemente, os cibercriminosos não conseguem o acesso à sistemas e dados.





5. Instalar um bom antivírus (Mantenha o antivírus corporativo atualizado, mas é ideal que procure fazer o mesmo com os seus equipamentos pessoais)





É comum que durante o período de home office os funcionários se utilizem do próprio computador e de outros dispositivos para trabalhar. Desse modo, é fundamental que sejam incentivados a instalar um antivírus caso ainda não o tenham feito, além de monitorar as atualizações do antivírus e das novas assinaturas, garantindo desta forma o correto funcionamento .





Por mais que não garantam proteção absoluta contra os cibercrimes, esses sistemas já impedem uma boa parte deles ou, ainda, notificam a presença de atividades suspeitas, como malwares, cavalos de troia, worms e possíveis alterações no registro e sistema de arquivos dos sistemas operacionais por exemplo.





6. Implementar softwares de rastreamento (Aplica-se ao pessoal)





Outra situação que pode comprometer a cibersegurança das organizações é a perda ou roubo de dispositivos fornecidos aos colaboradores. Para evitar esse tipo de situação é indicado instalar ferramentas de rastreamento que localizem cada dispositivo e excluam os dados remotamente.





7. Continuar a realização de backups  (A maneira mais segura é manter backups na nuvem, fornecido pela sua empresa) 





Os dispositivos como HD externo e outros de armazenamento de conexão USB, podem conter arquivos maliciosos, também é um vetor de fuga de informações, assim como o risco do funcionário perder o HD com dados confidenciais da empresa.





Mesmo com o modelo home office é importante manter a rotina de backups (cópias de segurança) para minimizar imprevistos. Uma alternativa interessante para as empresas é investir na contratação de data centers na nuvem, que garantam eficiência e proteção e facilitem o acesso remoto aos seus dados. E para evitar fuga de informações, bloquear portas USB e de possível implementar soluções de:





-DLP (Data Loss Prevention), para monitorar o que está sendo enviado por e-mail, pendrive, upload , etc, por parte dos funcionários de acordo com regras estabelecidas pela empresa.





-CASB(Cloud access Security Broker ) para monitorar comportamento dos usuários da empresa em ambientes externos, dispositivos conectados, se o usuário usa máquina pessoal para acessar e-mail da empresa. Se o usuário está deletando muitos e-mails com frequência, se está com comportamento malicioso em atividades que envolvam dispositivos da empresa





8. Manter sistemas e softwares atualizados (Se tiver dúvida, procure equipe de cybersecurity da sua empresa)





Outra ação que deve ser realizada para promover a cibersegurança das empresas é manter os sistemas operacionais e softwares sempre atualizados. Isso porque muitas atualizações já trazem consigo melhorias de segurança, além de novas ferramentas e funcionalidades que podem facilitar o dia a dia corporativo.





9. Atentar a criminosos que se passem por colegas (Prática muito usada no momento via aplicativos de mensagens instantânea)





Quem atua em home office deve ter cuidado redobrado em relação a cibercriminosos que possam se passar por colegas de trabalho. Esses podem se aproveitar para acessar a rede profissional de contatos e, assim, solicitar detalhes sobre a operação ou dados sigilosos, afetando negativamente a empresa, tanto em relação à continuidade das atividades quanto em prejuízos financeiros.





Fonte referencial





Icao





Anac





Governo Digital





2ª Divisão do Exército





Ibm





Ascenty






	
			
			

			


		
		

				
    
    


        
Compartilhe este artigo:

    

    


       

        

                     

       

        

                     

       

        

                     

       

        

                     

       

        

                     

       

        

                     

    
    

    
    



				

		
		


			


			
			
			

				 			

			
			



			
						


				

		
	
				
				

					
								
				

		

		
		


		

			
Pegue seu exemplar aqui gratuitamente.


 


Lista com todos os Centros de Instruções e Cursos Regulamentados para Aviação.


Guia Atualizado
				


						










Confirmo que aceito as políticas de privacidade e termos e condições.
					

						 Fique tranquilo, seu e-mail esta totalmente seguro...100% livre de spam.					

				


		
	


			

						
				

					
			 
			

			
Você vai gostar também:
	
			


			
			
				



	




	


	




	


	




	

							
			
			
			

						    		




	
	
		
			

			
			Para enviar seu comentário, preencha os campos abaixo:				
			


			
			
									

		
Deixe um comentário 
 
*


 
*





 


  


	

				
		


		

	

		

		Seja o primeiro a comentar!			
		


	
	






							
			
					
		
	
		
		
			

		
	






	
	

		
		

			

									
Faça parte da nossa Lista VIP

				
									
Entre para nossa lista e receba conteúdos exclusivos e com prioridade

				
			

			

										










Confirmo que aceito as políticas de privacidade e termos e condições.



				

				

				
											Fique tranquilo, somos 100% livre de spam.									
					

		

	

	

	
		

					


		






	








	

		
	

	

		
		

			

								Faça Download Agora do Livro: "Segurança Empresarial - Da Teoria à Prática"							

			

			

							Coloque seu email e receba imediatamente seu exemplar gratuito! Veja alguns temas: 						


			


			
			

				
				
Contratando Segurança Adequadamente

			


	
			

				
				
 Administração de Segurança

			


	
			

				
				
 Desenvolvimento Profissional

			


	
			

				
				
 Gestão de Pessoas

			


	
			

				
				
 Gestão de Risco

			


	
			

				
				
 Segurança Patrimonial

			


	
			

				
				
 E muito mais...

			


				

		

		
		


			
				
			
						
			


				
																
		
			

					
					
				
					
				











Confirmo que aceito as políticas de privacidade e termos e condições.
				
					
				
								
				

					
				

				Seus dados estão protegidos.