Uma auditoria rigorosa da Diretoria Geral de Aviação Civil da Índia (DGCA) expôs 51 violações críticas de segurança na Air India, levantando sérias preocupações sobre riscos sistêmicos de cibersegurança nos sistemas de conformidade de segurança da aviação. A auditoria de julho de 2025 revelou múltiplos pontos de falha que, segundo especialistas em cibersegurança, poderiam ser explorados para comprometer sistemas críticos de segurança de voo.
Entre as descobertas mais graves estão o uso de simuladores de voo não aprovados para treinamento de pilotos, com pelo menos três dispositivos operando sem a certificação adequada. Especialistas em segurança aérea observam que esses sistemas não certificados provavelmente carecem de salvaguardas adequadas de cibersegurança, tornando-os vulneráveis à manipulação de dados que poderiam afetar os registros de competência dos pilotos.
Igualmente preocupantes foram as lacunas na documentação de treinamento, com 28% dos registros auditados mostrando discrepâncias entre as horas reais de treinamento e os dados registrados. "Isso representa uma oportunidade perfeita para agentes maliciosos inserirem registros falsificados", explicou o consultor de cibersegurança aeronáutica Rodrigo Silva. "Sem cadeias de verificação digital adequadas, esses sistemas estão maduros para exploração".
As falhas no sistema de escalas apresentam outro vetor de ataque, com a auditoria encontrando frequentes violações dos períodos de descanso obrigatórios entre voos. Analistas sugerem que essas vulnerabilidades poderiam ser armamentizadas por meio de invasões ao sistema para criar deliberadamente cenários de fadiga da tripulação.
Talvez o mais alarmante para profissionais de cibersegurança foram os achados relacionados ao registro de manutenção. A auditoria descobriu múltiplas instâncias onde dados críticos de manutenção de aeronaves estavam incompletos ou impropriamente verificados - uma situação que espelha os desafios da indústria de cibersegurança com o gerenciamento de ativos de TI.
"O que vemos aqui é basicamente má higiene cibernética aplicada a sistemas de segurança física", observou Fernanda Costa, chefe de segurança de infraestrutura crítica na USP. "Os mesmos princípios que aplicamos ao gerenciamento de patches e controles de acesso em sistemas de TI precisam ser aplicados a esses sistemas de segurança aeronáutica".
A DGCA deu à Air India 90 dias para corrigir as falhas mais críticas, mas especialistas argumentam que os problemas exigem soluções mais fundamentais. As medidas recomendadas incluem a implementação de sistemas de verificação de treinamento baseados em blockchain, detecção de anomalias por IA no escalonamento de tripulações, e auditorias obrigatórias de cibersegurança para todos os sistemas aeronáuticos críticos.
À medida que as companhias aéreas modernizam suas frotas com aeronaves cada vez mais conectadas, este incidente serve como alerta de que os sistemas de segurança aeronáutica devem ser protegidos com o mesmo rigor que a infraestrutura de TI tradicional. As implicações de cibersegurança vão além da Air India, destacando a necessidade da indústria em geral de fechar a lacuna entre tecnologia operacional e práticas de segurança da informação.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.