Hanna Taller is a content creator for PTC’s ALM Marketing team. She is responsible for increasing brand awareness and driving thought leadership for Codebeamer. Hanna is passionate about creating insightful content centered around ALM, life sciences, automotive technology, and avionics.
Il settore dell'aviazione svolge un ruolo fondamentale nei trasporti e nel commercio. Solo per dare un'idea (escludendo gli ultimi anni di COVID), secondo l'Organizzazione internazionale dell'aviazione civile (ICAO), i 4,3 miliardi di passeggeri che hanno viaggiato in aereo nel 2018 dovrebbero aumentare fino a circa 10 miliardi entro il 2040. Non sorprende quindi che la sicurezza informatica sia una preoccupazione crescente per l'industria aeronautica, soprattutto quando si tratta di sicurezza e certificazione dello sviluppo dell'aviazione. Qualsiasi potenziale guasto ha un impatto enorme sulla sicurezza pubblica, sull'economia globale e sulla sicurezza nazionale. Ecco perché l'Agenzia europea per la sicurezza aerea ha introdotto nel 2018 lo standard di sicurezza informatica DO-326. Continuate a leggere per saperne di più sugli standard DO-326A per lo sviluppo dei sistemi aeronautici e su come influenzeranno la vostra organizzazione!
All'inizio del millennio, è diventato chiaro che tutti gli aeromobili potevano già essere considerati "aeromobili digitali" e "connessi". Naturalmente, componenti come il GPS e i sistemi radio erano presenti negli aerei già da decenni, ma mentre i vecchi velivoli operavano in un sistema chiuso, quelli moderni contengono migliaia e migliaia di processori che operano in un sistema aperto. Ciò è dovuto al fatto che gli aerei odierni e la rete aeronautica stessa sono sempre più connessi a Internet e ad altre reti, per facilitare la connessione Internet in volo, le trasmissioni meteorologiche e i servizi dati.
E gli hacker ne hanno preso nota: secondo un’analisi di Eurocontrol sui crescenti livelli di rischio per l'industria aeronautica da parte di hacker e criminali informatici sponsorizzati dallo Stato, nel 2020 le compagnie aeree commerciali hanno rappresentato il 61% di tutti gli attacchi informatici rilevati nel settore dell'aviazione. Il modo tradizionale di garantire la sicurezza dello sviluppo dell'aviazione durante la creazione e la manutenzione delle reti aeronautiche e delle apparecchiature avioniche è estremamente vulnerabile agli attacchi informatici. È qui che entrano in gioco gli standard di sicurezza informatica per l'aviazione come il DO-326A.
Che cos'è il DO-326A?
RTCA DO-326A, "Airworthiness Security Process Specification" (Specifiche per i processi di sicurezza dell'aeronavigabilità) è lo standard industriale de facto per la sicurezza informatica degli aeromobili. Fornisce linee guida su come evitare e mitigare sistematicamente le interferenze dolose con i sistemi degli aeromobili, note anche come "Intentional Unauthorized Electronic Interaction" (IUEI) o minacce alla sicurezza informatica. È spesso definito nel settore come "un'introduzione alla sicurezza informatica nel settore dell'aviazione".
Il DO-326A rappresenta i requisiti di conformità ufficiali europei per tutti gli aeromobili, i motori, i velivoli ad ala rotante e le eliche. Il contenuto dello standard esplora cosa significa creare un ecosistema di sicurezza, delineando gli obiettivi di conformità e i requisiti di dati per i produttori. L'obiettivo principale del DO-326A è delineare come prevenire l'infezione dei sistemi avionici da parte di malware durante lo sviluppo e le operazioni di volo, quando un attacco potrebbe compromettere gravemente il funzionamento dell'aeromobile e mettere in pericolo la sicurezza dei passeggeri e degli operatori.
Perché non seguire semplicemente DO-178, ARP4754 e DO-254?
Le linee guida definitive relative alla sicurezza dello sviluppo dell'aviazione e dell'avionica sono state volutamente omesse dagli standard correlati DO-178C, ARP4754 e DO-254. Questo perché la sicurezza informatica degli aeromobili è considerata una disciplina a sé stante. Richiede valutazioni, garanzie e competenze tecniche complessive diverse per garantire la sicurezza dello sviluppo dell'avionica.
ARP4754 e DO-178C trattano effettivamente questioni relative alla sicurezza delle informazioni, ma poiché queste non riguardano necessariamente il software, si è deciso di escludere la sicurezza informatica. Inoltre, la "fonte di legittimità", ovvero la causa del fallimento in ARP4754 e DO-178C, è definita in modo piuttosto vago come un "evento" che non include il sabotaggio. Modificare questa documentazione avrebbe ritardato notevolmente l'intero processo di definizione delle linee guida sulla sicurezza informatica, quindi si è deciso di crearne di nuove invece di perdere tempo a modificare i vecchi documenti.
A cosa e a chi si applica la DO-326A?
Il DO-326A attualmente copre e si applica a:
- Aviazione generale (parte 23)
- Aeromobili ad ala fissa (parte 25)
- Elicotteri (parti 27 e 29)
- Motori (parte 33)
- Eliche (parte 35)
Per quanto riguarda i soggetti interessati, al momento la DO-326A riguarda chiunque sia coinvolto nello sviluppo e nella produzione di aeromobili e sistemi aeronautici. Ciò include (ma non è un elenco esaustivo) quanto segue:
- Produttori di apparecchiature aerospaziali
- Sviluppatori/produttori di piattaforme aerospaziali
- Gestori di aeromobili, avionica e intrattenimento in volo
- Operatori di aeromobili
- MRO (responsabili della manutenzione, riparazione e revisione)
- Ingegneri progettisti
- Specialisti della garanzia della qualità
- Personale addetto alla certificazione
- Altri soggetti interessati del settore aerospaziale / fornitori di servizi correlati
Se in futuro la normativa dovesse essere ulteriormente estesa, potrebbero essere interessati anche i gestori del traffico aereo e i servizi di navigazione aerea in Europa. In sostanza, tutti gli operatori del settore aeronautico che devono essere aggiornati sulla conformità alle normative in materia di sicurezza informatica e mantenerla all'interno della propria organizzazione dovrebbero avere familiarità con la DO-236A.
Contenuto di DO-326A
Secondo il DO-326A, chiunque installi nuovi sistemi avionici su un aeromobile (come ad esempio un sistema di intrattenimento in volo, il WiFi in volo o un sistema di navigazione) è tenuto a dimostrare le misure di sicurezza adottate. È inoltre necessario dimostrare di aver esaminato tutte le potenziali minacce alla sicurezza informatica e di aver individuato le misure atte a mitigarle.
Il DO-326 pone l'accento sulla certificazione di tipo durante le tre fasi iniziali dello sviluppo di un aeromobile:
- Avvio
- Sviluppo e acquisizione
- Implementazione
Fornisce inoltre una guida per lo sviluppo completo delle misure di sicurezza informatica dell'avionica, che definisce in sette fasi:
- Piano per gli aspetti di sicurezza della certificazione
- Definizione dell'ambito di sicurezza
- Valutazione dei rischi per la sicurezza
- Determinazione dell'accettabilità del rischio
- Sviluppo della sicurezza
- Garanzia dell'efficacia della sicurezza
- Comunicazione delle prove
Insieme, questi passaggi formano un processo in cui vengono valutati tutti gli scenari di minaccia. In questo modo, DO-326A consente a tutte le parti interessate di identificare i casi d'uso e le possibili minacce e di garantire che siano in atto misure di sicurezza adeguate per gestirli. Seguire le raccomandazioni stabilite da DO-326A aiuterà la vostra organizzazione a ridurre i costi di sviluppo e conformità, garantendo al contempo i massimi livelli di sicurezza informatica e sicurezza possibili per i vostri sistemi aeronautici e aeromobili.
Le linee guida fornite dalla DO-326A affiancano altri documenti di certificazione hardware/software come RTC DO-178C e RTCA DO-254. Se state cercando modi per semplificare lo sviluppo di prodotti aeronautici, software per l'aviazione e sistemi avionici integrati, garantendo al contempo la conformità alla DO-178C e ad altri standard aeronautici.
Inizia la tua prova gratuita di Codebeamer
Semplifica la progettazione di prodotti e software complessi su larga scala.
Inizia