book_icon

Aviação Civil exige segurança reforçada das APIs

A proteção dos Dados e a integridade das operações dependem não apenas de estratégias de redundância, mas principalmente da implementação de mecanismos robustos de defesa, capazes de assegurar a eficiência das operações e a confiança dos usuários

Aviação Civil exige segurança reforçada das APIs

Em seu “Manual de Conscientização em Segurança Cibernética na Aviação Civil”, publicado no final de 2021, a Agência Nacional de Aviação Civil (ANAC) destacou a crescente preocupação do Governo com os riscos de ciberataques no setor de aviação civil, um segmento altamente estratégico. Desde então, com o fim da pandemia, o setor voltou a ganhar força, com cada vez mais empresas empregando APIs para acelerar a inovação em seus aplicativos de viagens.

Um recente incidente de falha em uma atualização de rotina de software de segurança resultou em interrupções globais nas operações de aeroportos e companhias aéreas, evidenciando a extrema dependência do setor em relação à tecnologia da informação (TI) no seu dia a dia. Hoje, as APIs são responsáveis por uma ampla gama de funções vitais, como a comunicação entre aplicações para o agendamento e controle de reservas e viagens, além de integrações com o ecossistema de parceiros de negócios, como agências de viagens online e programas de pontos e milhas, entre outros.

O processamento seguro de cartões de crédito e débito é crucial para a proteção dos Dados confidenciais dos clientes

“Os desafios para proteger essas operações vão muito além das soluções tradicionais de segurança de aplicativos web, exigindo uma abordagem de segurança que acompanhe a crescente sofisticação dos cibercriminosos e empregue tecnologias de ponta como Big Data e Machine Learning para identificar ataques”, comenta Daniela Costa, diretora para a América Latina da Salt Security, empresa que atua em segurança de API.

A executiva destaca a importância de estar em conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), que, em sua versão mais recente, ampliou o foco na proteção das APIs. “O processamento seguro de cartões de crédito e débito é crucial para a proteção dos Dados confidenciais dos clientes”, afirma Daniela, reforçando a importância de ações preventivas de validação das APIs produtivas em relação às melhores práticas de desenvolvimento, além de requisitos regulatórios como a LGPD e o GDPR.

Outras medidas relevantes incluem a monitoração do comportamento do tráfego das APIs para a prevenção e mitigação de ataques lógicos, utilizando mecanismos de defesa que detectem vulnerabilidades, abusos e manipulações da lógica de negócios. Como esses ataques são sutis e imprevisíveis para serem detectados por assinaturas de firewall/WAF, a condição primordial para uma monitoração e identificação eficaz de ataques é o uso de tecnologias de Machine Learning e, naturalmente, Inteligência Artificial. Ninguém deseja mais ruído causado por incidentes falsos. Assertividade é o segredo para um processo ágil e produtivo de análise e mitigação de incidentes.

Daniela também chama a atenção para o perigo dos ataques cibernéticos contra programas de milhagem no setor de aviação, citando o exemplo do vazamento de Dados na SITA, um importante provedor de tecnologia para companhias aéreas, que afetou os programas de passageiro frequente de diversas empresas. Na ocasião, a Singapore Airlines informou que 580.000 membros do seu programa de fidelidade tiveram suas informações pessoais comprometidas, enquanto a Air Índia confirmou o roubo de Dados de 4,5 milhões de passageiros.

Após destacar o papel crítico da segurança no processo de integração com terceiros, como a compra de passagens em agências e sites de viagens, Daniela Costa conclui afirmando: “Em um setor tão estratégico como o da aviação comercial, intimamente ligado ao turismo, vital para qualquer economia devido ao seu impacto no setor de serviços, não há espaço para falhas. A proteção dos Dados e a integridade das operações dependem não apenas de estratégias de redundância, mas principalmente da implementação de mecanismos robustos de defesa, capazes de assegurar a eficiência das operações e a confiança dos usuários.”

Serviço
salt.security

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.