Natalie Forrestill, da AtkinsRéalis, descreve como os aeroportos estão a responder a um conjunto de regulamentações cibernéticas a nível global, abordando sistemas legados e reforçando as suas cadeias de abastecimento.
Os aeroportos em todo o mundo estão sob crescente pressão para reforçar a sua resiliência cibernética à medida que os governos endurecem as regras sobre infraestruturas críticas.
De facto, desde 2022 houve uma vaga de novos mandatos de cibersegurança para o setor da aviação em grandes jurisdições.
Nos Estados Unidos, as autoridades implementaram medidas cibernéticas obrigatórias para aeroportos — desde um reporte de incidentes mais rápido até ao isolamento de sistemas críticos — através de diretivas da Transportation Security Administration (TSA).
Austrália, igualmente, ampliou as suas leis de segurança para incluir a aviação, exigindo que os aeroportos implementem gestão de risco cibernético e reporte de incidentes como parte da operação de infraestruturas críticas.
Na Europa, a Diretiva de Segurança de Redes e Informação 2 (NIS2) da UE obriga os aeroportos a estabelecer programas abrangentes de risco cibernético, a cumprir rigorosas notificações de violação em 24 e 72 horas, e a aplicar controles mais rígidos de segurança na cadeia de abastecimento.
Estas obrigações espelham-se no iminente UK Cyber Security & Resilience Bill do Reino Unido. Em muitos casos, estas regras alargam o âmbito a aeroportos menores e prevêem multas mais pesadas por não conformidade.
Este impulso regulatório global é reforçado por organismos internacionais da aviação (ICAO, ACI, IATA), que simultaneamente apelam a defesas cibernéticas mais robustas na aviação.
Todos estes esforços refletem uma preocupação acrescida com as ameaças cibernéticas aos sistemas críticos dos aeroportos — especialmente a tecnologia operacional (OT) e as cadeias de abastecimento complexas que mantêm os aeroportos a funcionar.
A AtkinsRéalis realiza frequentemente avaliações formais de cibersegurança de sistemas OT para vários aeroportos globais — incluindo sistemas de bagagens, de tráfego, de iluminação e de aquecimento — e estas avaliações revelaram vários temas comuns que destacam os desafios únicos que os aeroportos enfrentam na gestão de infraestruturas legadas e de ameaças cibernéticas em evolução.
Tecnologia operacional: criticamente negligenciada?
Apesar de uma preparação crescente para ameaças cibernéticas, muitos aeroportos ainda estão a evoluir a sua compreensão sobre quais os sistemas que devem ser considerados “críticos” do ponto de vista da resiliência cibernética.
Isto é frequentemente moldado por quadros regulamentares legados e por uma ênfase histórica nos sistemas de TI, o que inadvertidamente levou a que a OT fosse subpriorizada.
Frequentemente, as organizações começam por avaliar sistemas já conhecidos por estarem abrangidos por regulamentações existentes, e depois expandem gradualmente o seu âmbito para aplicar as lições aprendidas e estender boas práticas a outros sistemas.
Alguns dos temas recorrentes que observámos nas nossas avaliações sugerem que os sistemas OT nem sempre são formalmente reconhecidos como “críticos”. Não por negligência, mas porque os sistemas OT são “parte do mobiliário”.
Estes sistemas — muitas vezes com décadas de existência — podem não ter documentação atual, e o conhecimento essencial sobre eles é frequentemente detido por apenas algumas pessoas.
O impacto da COVID-19 e as mudanças económicas mais amplas também contribuíram para a perda de competências internas, enquanto alguns fornecedores podem ter cessado operações ou deixado de suportar os equipamentos.
Isto torna desafiante construir um quadro claro desses sistemas: como funcionam e a que estão conectados.
Os sistemas OT in situ tendem a ser sistemas mais antigos ou especializados que têm menos medidas de segurança concebidas ou não suportam as funcionalidades de segurança mais recentes de software e firmware modernos. Isto deixa os operadores aeroportuários com a escolha de substituir vastas infraestruturas a um custo enorme; ou gerir o risco e implementar outros controlos, como acesso físico restrito, ou procedimentos mais robustos de resposta a incidentes e recuperação para mitigar danos.
Embora o setor de TI tenha feito progressos significativos em controlos de cibersegurança e na sua aplicação generalizada, traduzir estes princípios para ambientes OT continua a ser complexo.
Temos observado políticas organizacionais e equipas de ciber tentar aplicar abordagens centradas em TI à OT com sucesso limitado. Tome-se a aplicação de atualizações (patching), por exemplo: a TI realiza isto com frequência, mas nem sempre é viável na OT devido a requisitos de alta disponibilidade e à necessidade de testes rigorosos antes da implementação.
Riscos e consequências
Estes desafios geram vários riscos recorrentes em ambientes OT, tais como:
– Visibilidade limitada de ativos: Sem uma visão abrangente dos ativos e das suas vulnerabilidades, ativos desconhecidos e vulnerabilidades podem permanecer na rede, criando lacunas exploráveis.
– Fronteiras de rede pouco claras: Uma compreensão deficiente de como os sistemas se interligam pode permitir que atacantes se movam lateralmente por outros sistemas, escalando o impacto da violação.
– Exposição na cadeia de abastecimento: Contratos legados e relações com fornecedores não geridas frequentemente carecem de disposições de segurança modernas, deixando sistemas vulneráveis a compromissos de terceiros.
As consequências são bem mais do que teóricas. Uma violação cibernética pode levar a uma perturbação em larga escala — apagando luzes da pista, interrompendo o fluxo de bagagens ou afetando leitores de cartões de embarque.
Em 2024, o Aeroporto Internacional Seattle-Tacoma sofreu um ataque cibernético que afetou a sua conectividade à internet, sistemas de exibição e operações de triagem de bagagens, resultando em mais de 400 atrasos e voos cancelados.
Embora os aeroportos do Reino Unido não tenham enfrentado um ataque cibernético comparável, incidentes como a queda de energia em Heathrow e a interrupção de TI em Stansted em 2025 lembram-nos das consequências quando sistemas críticos são perturbados.
Visão panorâmica
Para manter-se à frente tanto dos desenvolvimentos regulatórios quanto das ameaças cibernéticas em evolução, os aeroportos devem adotar uma abordagem estratégica e integrada para proteger sistemas OT e da cadeia de abastecimento.
Em vez de uma abordagem sistema a sistema, onde dependências são frequentemente negligenciadas, os operadores devem concentrar-se em compreender os seus sistemas coletivos e as suas interações.
Adotar uma abordagem transversal de “sistemas de sistemas” permitirá aos aeroportos obter melhor visão da sua postura de cibersegurança e identificar os riscos mais elevados e com maior partilha comum ao longo do seu património, que podem ser tratados de forma holística.
Isto não só melhora a resiliência como também proporciona maior valor aos investimentos.
Uma estratégia robusta de cibersegurança OT deve ser desenvolvida em conjunto com os quadros de segurança de TI, garantindo alinhamento enquanto reconhece os requisitos distintos de cada domínio.
Isto inclui processos para gerir a cadeia de abastecimento ao longo do ciclo de vida de qualquer ativo — desde a aquisição até à desativação.
Incorporar esta abordagem nas políticas organizacionais, normas e na formação em cibersegurança é essencial.
Capacitar as equipas operacionais em cibersegurança e, inversamente, formar profissionais de TI nas nuances da OT ajudará a colmatar a lacuna, fomentar uma cultura de resiliência cibernética e colher benefícios a longo prazo.
Ao abordar proativamente os riscos cibernéticos associados a sistemas OT legados e dependências da cadeia de abastecimento, os operadores podem reforçar as suas defesas, reduzir a exposição a penalidades regulatórias e salvaguardar a continuidade das operações e a segurança dos passageiros.
Sobre a autora
Natalie Forrestill é consultora sênior de cibersegurança na AtkinsRéalis.
