Civil Aviation

Cybersecurity

ICAO - CIVIL AVIATION CYBERSECURITY

Technology and cyber systems have become essential to modern society being a component of many activities that have become dependent on information technology. Along with the benefit of the cyber technologies, insecurities arise, affecting all systems and infrastructures. The cyber threat and cyber-attack have a transnational component and effect, as worldwide systems are interconnected. Furthermore, the complexity of the action has implications for various actors at national, regional and international level.

It is in this environment of cyber insecurity that civil aviation conducts its activity. Civil aviation is mainly reliant on cyber enabled technology which is used to increase safety and efficiency of air transport. However, interconnectivity of systems and dependency on technology created the optimum premises for new risks to emerge. The aviation industry is using a wide computer based interconnected system, spanning from air navigation systems, on-board aircraft control and communication systems, airport ground systems, flight information systems, security screening and many others that are used on a daily basis and for all aviation related operations. The tendency of the aviation industry is to become increasingly digitalized. Digitalization brings along new hazards as the interactions between people and systems make the risk harder to predict.

Acknowledging the urgency and importance of protecting civil aviation's critical infrastructure, information and communication technology systems and data against cyber threats, ICAO is committed to developing a solid cybersecurity framework. The 40th Session of the ICAO Assembly adopted Assembly Resolution A40-10 – Addressing Cybersecurity in Civil Aviation. The resolution addresses cybersecurity through a horizontal, cross-cutting and functional approach, reaffirming the importance and urgency of protecting civil aviation's critical infrastructure systems and data against cyber threats and calls upon States to implement the ICAO Cybersecurity Strategy.

CIBERSEGURIDAD DE LA AVIACIÓN CIVIL

La tecnología y los sistemas cibernéticos se han vuelto esenciales para la sociedad moderna al ser un componente de muchas actividades que se han vuelto dependientes de la tecnología de la información. Junto al beneficio de las cibertecnologías surgen inseguridades que afectan a todos los sistemas e infraestructuras. La ciberamenaza y el ciberataque tienen un componente y efecto transnacional, ya que los sistemas mundiales están interconectados. Además, la complejidad de la acción tiene implicaciones para varios actores a nivel nacional, regional e internacional.

Es en este entorno de ciberinseguridad donde la aviación civil desarrolla su actividad. La aviación civil depende principalmente de la tecnología cibernética que se utiliza para aumentar la seguridad y la eficiencia del transporte aéreo. Sin embargo, la interconectividad de los sistemas y la dependencia de la tecnología crearon las premisas óptimas para que surgieran nuevos riesgos. La industria de la aviación utiliza un amplio sistema informático interconectado, que abarca desde sistemas de navegación aérea, sistemas de comunicación y control de aeronaves a bordo, sistemas terrestres de aeropuertos, sistemas de información de vuelo, controles de seguridad y muchos otros que se utilizan a diario y para todos. operaciones relacionadas con la aviación. La tendencia de la industria de la aviación es digitalizarse cada vez más. La digitalización trae consigo nuevos peligros, ya que las interacciones entre las personas y los sistemas hacen que el riesgo sea más difícil de predecir.

Reconociendo la urgencia y la importancia de proteger la infraestructura crítica, los sistemas de tecnología de la información y las comunicaciones y los datos de la aviación civil contra las amenazas cibernéticas, la OACI se compromete a desarrollar un marco sólido de seguridad cibernética. El 40.º período de sesiones de la Asamblea de la OACI adoptó la Resolución de la Asamblea A40-10: Abordaje de la seguridad cibernética en la aviación civil . La resolución aborda la seguridad cibernética a través de un enfoque horizontal, transversal y funcional, reafirma la importancia y la urgencia de proteger los sistemas y datos de infraestructura crítica de la aviación civil contra las amenazas cibernéticas y exhorta a los Estados a implementar la Estrategia de seguridad cibernética de la OACI.

A40-10: Formas de abordar la ciberseguridad en la aviación civil

Considerando que el sistema de aviación mundial es un sistema altamente complejo e integrado que comprende tecnología de la información y las comunicaciones de carácter crítico para la seguridad y protección de las operaciones de aviación civil;

Observando que el sector de la aviación depende cada vez más de la disponibilidad de sistemas de tecnología de la información y las comunicaciones, así como de la integridad y confidencialidad de los datos;

Consciente de que la amenaza planteada por los incidentes que afectan a la ciberseguridad en la aviación civil evoluciona rápida y continuamente, que los autores de esas amenazas tienen la intención de causar daño, buscando interrumpir las actividades y robar información por razones políticas, económicas o de otra índole, y que la amenaza puede mutar fácilmente hasta llegar a afectar sistemas críticos de la aviación civil en todo el mundo;

Reconociendo que no todos los problemas de ciberseguridad que afectan a la seguridad operacional de la aviación civil se relacionan con actos ilícitos y/o intencionales, y que en consecuencia deberían resolverse aplicando sistemas de gestión de la seguridad operacional;

Reconociendo la naturaleza polifacética y multidisciplinaria de los problemas de ciberseguridad y sus soluciones, y observando que los riesgos cibernéticos pueden afectar simultáneamente una amplia gama de áreas y propagarse con rapidez;

Reafirmando las obligaciones estipuladas en el Convenio sobre Aviación Civil Internacional (Convenio de Chicago) de velar por la seguridad operacional, la seguridad y la continuación de la aviación civil;

Considerando que el Convenio para la represión de actos ilícitos relacionados con la aviación civil internacional (Convenio de Beijing) y el Protocolo complementario del Convenio para la represión del apoderamiento ilícito de aeronaves (Protocolo de Beijing) mejorarían el marco jurídico mundial para tipificar los ciberataques contra la aviación civil internacional como delitos, por lo que la ratificación de ambos instrumentos por un amplio número de Estados garantizaría la disuasión y el castigo de dichos ataques en cualquier parte del mundo donde se produzcan;

Reafirmando la importancia y urgencia de proteger de ciberamenazas a los sistemas de infraestructura de la aviación civil y los datos críticos;

Considerando la necesidad de trabajar en colaboración para crear un marco mundial eficaz y coordinado que permita a las partes interesadas de la aviación civil abordar los retos de la ciberseguridad, junto con medidas de corto plazo para aumentar la resiliencia del sistema de aviación mundial ante las ciberamenazas que atenten contra la seguridad operacional de la aviación civil;

Reconociendo la labor del Grupo de estudio de la Secretaría sobre Ciberseguridad, que contribuyó sobremanera al formato de la Estrategia de ciberseguridad al vincular las características de la seguridad operacional y la seguridad de la aviación a la ciberseguridad;

Reconociendo que es necesario armonizar la ciberseguridad en la aviación a nivel mundial, regional y nacional con miras a promover la coherencia en todo el mundo y asegurar la plena interoperabilidad de las medidas de protección y los sistemas de gestión de riesgos; y

Destacando el valor de las iniciativas, los planes de acción, las publicaciones y demás medios concebidos para abordar los problemas de ciberseguridad en colaboración y de forma integral.

La Asamblea:

1. Insta a los Estados miembros y a la OACI a promover la adopción universal e implementación del Convenio para la represión de actos ilícitos relacionados con la aviación civil internacional (Convenio de Beijing) y el Protocolo complementario del Convenio para la represión del apoderamiento ilícito de aeronaves (Protocolo de Beijing) como instrumentos para hacer frente a los ciberataques contra la aviación civil;

2. Exhorta a los Estados y las partes interesadas de la industria a adoptar las medidas siguientes para contrarrestar las ciberamenazas a la aviación civil:

a) implantar la estrategia sobre ciberseguridad;

b) identificar las amenazas y los riesgos de posibles incidentes de ciberseguridad en las operaciones y los sistemas críticos de la aviación civil y las graves consecuencias que pueden resultar de tales incidentes;

c) definir las responsabilidades de los organismos nacionales y las partes interesadas de la industria con respecto a la ciberseguridad en la aviación civil;

d) fomentar una interpretación común entre los Estados miembros de las ciberamenazas y riesgos y la formulación de criterios comunes para determinar qué bienes y sistemas son de carácter crítico y es preciso proteger;

e) fomentar la coordinación entre gobierno e industria con respecto a las estrategias, políticas y planes de ciberseguridad de la aviación, así como el intercambio de información para ayudar a identificar las vulnerabilidades críticas que sea necesario resolver;

f) formar y participar en asociaciones y mecanismos entre gobierno e industria, a nivel nacional e internacional, para compartir sistemáticamente la información sobre ciberamenazas, incidentes, tendencias y acciones de mitigación;

g) sobre la base de una interpretación común de las ciberamenazas y riesgos, adoptar un enfoque flexible y basado en el riesgo para proteger los sistemas de aviación críticos mediante la implantación de sistemas de gestión de la ciberseguridad;

h) fomentar una sólida cultura de ciberseguridad en todos los aspectos dentro de los organismos nacionales y en todo el sector de la aviación;

i) promover la elaboración y aplicación de normas internacionales, estrategias y mejores prácticas para proteger los sistemas críticos de tecnología de la información y las comunicaciones que se usan en la aviación civil de interferencias que puedan atentar contra la seguridad operacional de la aviación civil;

j) establecer políticas y destinar recursos cuando sea necesario para garantizar que los sistemas de aviación críticos tengan una arquitectura diseñada para ser segura; que sean resilientes; que tengan métodos seguros de transferencia de datos que garanticen su integridad y confidencialidad; que tengan métodos de vigilancia, detección y notificación de incidentes y que se lleven a cabo análisis forenses de los incidentes; y

k) colaborar en el desarrollo del marco de ciberseguridad de la OACI adoptando un enfoque horizontal, intersectorial y funcional que integre la navegación aérea, las comunicaciones, la vigilancia, las operaciones de aeronaves, la aeronavegabilidad y demás disciplinas pertinentes.

3. Encarga a la Secretaria General que:

a) formule un plan de acción para ayudar a los Estados y la industria a adoptar la Estrategia de ciberseguridad; y

b) continúe asegurándose de que los asuntos de ciberseguridad se examinen y coordinen de forma transversal por medio de los mecanismos apropiados conforme se estipula en la estrategia.

ESTRATEGIA DE CIBERSEGURIDAD DE LA AVIACIÓN

VISIÓN DE UNA ESTRATEGIA MUNDIAL DE CIBERSEGURIDAD DE LA AVIACIÓN CIVIL

El sector de la aviación civil depende cada vez en mayor medida de la disponibilidad de sistemas de tecnología de información y comunicaciones, así como de la integridad y confidencialidad de los datos. La amenaza de posibles incidentes cibernéticos para la aviación civil evoluciona de forma constante, con unos perpetradores que actúan maliciosamente para perturbar las operaciones y robar información por razones políticas, financieras y de otra índole.

Dada la naturaleza polifacética y multidisciplinaria de la ciberseguridad, y en vista de que los ciberataques pueden afectar de forma simultánea una amplia gama de áreas y propagarse con rapidez, es imperioso concebir una visión común y definir una estrategia de ciberseguridad.

La visión de la OACI sobre la ciberseguridad mundial es que el sector de la aviación civil sea resiliente a los ciberataques y siga siendo seguro y fiable en todo el mundo, al tiempo que continúa innovando y creciendo.

Esto puede lograrse mediante:

  • el reconocimiento de parte de los Estados de sus obligaciones en virtud del Convenio sobre Aviación Civil Internacional (Convenio de Chicago) de velar por la seguridad operacional y la seguridad y continuidad de la aviación civil, incluida la ciberseguridad;

  • la coordinación de la ciberseguridad de la aviación entre las autoridades estatales a fin de garantizar una gestión eficaz y eficiente de los riesgos de ciberseguridad a escala mundial; y

  • el compromiso de todas las partes interesadas de la aviación de profundizar la resiliencia en este ámbito y protegerse contra los ciberataques que pudieran afectar la seguridad operacional, la seguridad de la aviación y la continuidad del sistema de transporte aéreo.

La estrategia se alinea con otras iniciativas de la OACI relativas a la ciberseguridad y se coordina con las disposiciones pertinentes sobre gestión de la seguridad operacional y la seguridad de la aviación. La finalidad de la estrategia se cumplirá mediante un conjunto de principios, medidas y actividades contenidos en un marco que descansa sobre siete pilares:

1. Cooperación internacional

2. Gobernanza

3. Leyes y reglamentos eficaces

4. Política de ciberseguridad

5. Intercambio de información

6. Gestión de incidentes y planificación ante emergencias

7. Creación de capacidad, instrucción y cultura de ciberseguridad

1. COOPERACIÓN INTERNACIONAL

1.1 Por naturaleza, la ciberseguridad y la aviación no conocen fronteras. Ambas requieren de la cooperación a nivel nacional e internacional y requieren del mutuo reconocimiento de los esfuerzos desplegados para mejorar la ciberseguridad a fin de proteger el sector de la aviación civil de todos los ciberataques a la seguridad operacional y la seguridad de la aviación.

1.2 La ciberseguridad de la aviación debe armonizarse a nivel mundial, regional y nacional con el objeto de promover la coherencia en todo el mundo y velar por la plena interoperabilidad de las medidas de protección y los sistemas de gestión de riesgos.

1.3 La OACI es el foro mundial idóneo para interactuar con los Estados y abordar la ciberseguridad en la aviación civil internacional. A tal efecto, la OACI organizará, facilitará y promoverá eventos internacionales que sirvan de plataforma para el intercambio de conocimientos entre Estados, organizaciones internacionales e industria. Se alienta a los Estados a participar en las deliberaciones sobre la ciberseguridad en la aviación civil.

2. GOBERNANZA

2.1 Se alienta a todos los Estados miembros de la OACI a apoyar y aprovechar la Estrategia OACI de ciberseguridad de la aviación para velar por la seguridad operacional y la seguridad y continuidad de la aviación civil un mundo cada vez más en peligro ante las amenazas de ciberseguridad.

2.2 Se alienta a los Estados a establecer un plan claro de gobernanza y rendición de cuentas a nivel nacional para la ciberseguridad de la aviación civil. Se invita a las administraciones de la aviación civil a asegurar la coordinación con su autoridad nacional competente en materia de ciberseguridad, dado que la autoridad general en materia de ciberseguridad para todos los sectores puede no ser responsabilidad de la administración de aviación civil. También es esencial establecer los canales apropiados de coordinación entre las diversas autoridades estatales y las partes interesadas de la industria.

2.3 Por último, se alienta a los Estados miembros a incluir la ciberseguridad en sus programas nacionales de seguridad operacional y seguridad de la aviación civil. A tales fines, la OACI debería incluir también la ciberseguridad en sus planes y actividades regionales y mundiales en pro de una base común para normas y métodos recomendados (SARPS) sobre ciberseguridad.

3. LEYES Y REGLAMENTOS EFICACES

3.1 El objetivo principal de las leyes y reglamentos internacionales, regionales y nacionales sobre ciberseguridad para la aviación civil es apoyar la implementación de una estrategia integral de ciberseguridad dirigida a proteger a la aviación civil y a los viajeros de los efectos de los ciberataques.

3.2 Los Estados miembros deben asegurarse de que se formulen y apliquen las leyes y reglamentos pertinentes de conformidad con las disposiciones de la OACI, antes de implantar una política nacional de ciberseguridad para la aviación civil. Es necesario formular nuevas orientaciones apropiadas para ayudar a los Estados y la industria a poner en práctica las disposiciones relacionadas con la ciberseguridad. En ese sentido, la OACI está comprometida a crear, examinar y, de ser el caso, enmendar los textos de orientación relativos a la inclusión de aspectos relacionados con la ciberseguridad en la seguridad operacional y la seguridad de la aviación.

3.3 Deberían analizarse los instrumentos jurídicos internacionales para determinar cuáles son las disposiciones jurídicas que existen o faltan en el derecho aéreo para la prevención, el enjuiciamiento y la reacción oportuna ante los ciberincidentes con el propósito de formar la base para una implementación uniforme y coherente de las leyes y reglamentos de ciberseguridad en el sector de la aviación. Mientras tanto, se alienta a los Estados a ratificar los instrumentos de la OACI, incluidos el Convenio para la represión de actos ilícitos relacionados con la aviación civil internacional (Convenio de Beijing) y el Protocolo complementario del Convenio para la represión del apoderamiento ilícito de aeronaves (Protocolo de Beijing).

3.4 Se alienta a los Estados a considerar si sus respectivas legislaciones nacionales deben ser actualizadas y si debe adoptarse una nueva legislación nacional para permitir el enjuiciamiento de ciberataques relacionados con actos terroristas y aquellos que afectan adversamente a la aviación civil. También se alienta a los Estados a que, de forma paralela, establezcan mecanismos apropiados para cooperar en las investigaciones de seguridad de “buena fe”, que es la actividad de investigación que se lleva a cabo en un entorno diseñado para evitar afectar la seguridad operacional y la seguridad y continuidad de la aviación civil.

4. POLÍTICA DE CIBERSEGURIDAD

4.1 La ciberseguridad ha de incluirse en los sistemas de seguridad de la aviación y seguridad operacional de un Estado como parte de un marco integral de gestión de riesgos.

4.2 Habida cuenta de las diferentes metodologías de evaluación de riesgos que existen, debe conferirse prioridad a la enmienda y la posible elaboración de textos de orientación relacionados con las evaluaciones de amenazas y riesgos de ciberseguridad, con el propósito de poder comparar los resultados de dichas evaluaciones.

4.3 En todo el sector de la aviación civil, las políticas de ciberseguridad pueden considerar el ciclo de vida completo del sistema de aviación e incluir elementos como: cultura de ciberseguridad, promoción de la seguridad por diseño, seguridad de la cadena de suministros de programas y equipos informáticos, integridad de los datos, control apropiado del acceso, gestión proactiva de las vulnerabilidades, mejoramiento de la rapidez de las actualizaciones de la seguridad de la aviación sin comprometer la seguridad operacional e incorporación de sistemas y procesos para vigilar los datos pertinentes de ciberseguridad.

5. INTERCAMBIO DE INFORMACIÓN

5.1 El sector de la aviación civil es un sistema global interdependiente con numerosos sistemas comunes, por lo que los ciberataques pueden propagarse fácilmente y tener repercusiones mundiales. El objetivo del intercambio de información es permitir la prevención, detección temprana y atenuación de sucesos relevantes de ciberseguridad antes de que sus efectos se extiendan hacia la seguridad operacional y la seguridad de la aviación. Una cultura de intercambio de información reducirá considerablemente los riesgos cibernéticos sistémicos en todo el sector de la aviación, y su valor ha quedado comprobado en el ámbito de la seguridad operacional y la seguridad de la aviación.

5.2 El intercambio de información sobre aspectos como las vulnerabilidades, amenazas, sucesos y mejores prácticas por medio de relaciones establecidas y fiables pueden reducir el impacto de los ataques en curso. Deben reconocerse los mecanismos apropiados de intercambio de información en consonancia con las disposiciones existentes de la OACI.

6. GESTIÓN DE INCIDENTES Y PLANIFICACIÓN ANTE EMERGENCIAS

6.1 Junto a los mecanismos existentes de gestión de incidentes, es menester contar con planes apropiados y ampliables que aseguren la continuidad del transporte aéreo durante un incidente cibernético. Se recomienda que los Estados y el sector de la aviación enmienden los planes de contingencia existentes para incluir disposiciones relativas a la ciberseguridad.

6.2 Los ejercicios de ciberseguridad son una herramienta útil para someter a prueba la resiliencia ante ciberataques y detectar las áreas que requerirían mejoras, por lo que se recomiendan altamente. Estos ejercicios pueden seguir formatos diferentes (p. ej., ejercicios teóricos, simulaciones o ejercicios en tiempo real) e igualmente variar en escala (internacional, nacional, institucional).

7. CREACIÓN DE CAPACIDAD, INSTRUCCIÓN Y CULTURA DE CIBERSEGURIDSAD

7.1 El elemento humano es el corazón de la ciberseguridad. Es de suma importancia que el sector de la aviación civil dé pasos tangibles para aumentar el número de funcionarios calificados y conocedores tanto de la aviación como de la ciberseguridad. Esto puede hacerse aumentando la conciencia sobre la ciberseguridad, así como con educación, contratación e instrucción. Deberían incluirse planes de estudio pertinentes a la ciberseguridad y – de ser viable – la ciberseguridad específicamente relacionada con la aviación, a todos los niveles del sistema educativo nacional y los programas internacionales de instrucción pertinentes. Deberían buscarse formas innovadoras de fusionar e interconectar las profesiones tradicionales de tecnología de información y cibernética con las profesiones pertinentes de la aviación.

7.2 El apoyo y la estimulación del desarrollo de aptitudes del personal existente y nuevo deberían conducir al fomento de la innovación en materia de ciberseguridad y las debidas investigaciones y diseño en el sector de la aviación. Debería ofrecerse instrucción apropiada y continua en el trabajo para apoyar al personal en sus actividades cotidianas.

7.3 La ciberseguridad podría incluirse en la estrategia para la próxima generación de profesionales de la aviación, ya que la OACI está bien posicionada para trabajar con los Estados y la industria en la formulación de los requisitos de competencias basadas en las funciones de los profesionales de la aviación.

7.4 El sector de la aviación civil tiene una historia envidiable de seguridad operacional con base en una cultura de seguridad operacional que se entiende como responsabilidad de todos. Los principios de esta cultura de seguridad operacional deben seguirse para crear y mantener una cultura de ciberseguridad en todo el sector de la aviación.

AVIATION CYBERSECURITY STRATEGY

THE VISION OF A GLOBAL AVIATION CYBERSECURITY STRATEGY

The civil aviation sector is increasingly reliant on the availability of information and communications technology systems, as well as on the integrity and confidentiality of data. The threat posed by possible cyber incidents to civil aviation is continuously evolving, with threat actors focusing on malicious intents, disruptions of business continuity and the theft of information for political, financial or other motivations.

Recognizing the multi-faceted and multi-disciplinary nature of cybersecurity, and noting that cyber-attacks can simultaneously affect a wide range of areas and spread rapidly, it is imperative to develop a common vision and define a global Cybersecurity Strategy.

ICAO’s vision for global cybersecurity is that the civil aviation sector is resilient to cyber-attacks and remains safe and trusted globally, whilst continuing to innovate and grow.

This can be achieved through:

  • Member States recognizing their obligations under the Convention on International Civil Aviation (Chicago Convention) to ensure the safety, security and continuity of civil aviation, taking into account cybersecurity;

  • coordination of aviation cybersecurity among State authorities to ensure effective and efficient global management of cybersecurity risks, and

  • all civil aviation stakeholders committing to further develop cyber resilience, protecting against cyber-attacks that might impact the safety, security and continuity of the air transport system.

The Strategy aligns with other cyber-related ICAO initiatives, and coordinated with corresponding safety and security management provisions. The Strategy’s aims will be achieved through a series of principles, measures and actions contained in a framework built on seven pillars:

1. International cooperation

2. Governance

3. Effective legislation and regulations

4. Cybersecurity policy

5. Information sharing

6. Incident management and emergency planning

7. Capacity building, training and cybersecurity culture


1. INTERNATIONAL COOPERATION

1.1 Cybersecurity and aviation are both borderless in nature. Both require cooperation at the national and international level and call for a mutual recognition of efforts to develop, maintain and improve cybersecurity with the aim to protect the civil aviation sector from all cyber threats to safety and security.

1.2 Aviation cybersecurity needs to be harmonized at the global, regional and national levels in order to promote global coherence and to ensure full interoperability of protection measures and risk management systems. 1.3 ICAO is the appropriate global forum to engage States in addressing cybersecurity in international civil aviation. To this end, ICAO will organize, facilitate and promote international events that serve as a platform for knowledge exchange between States, international organizations and industry. States are encouraged to engage in discussions on cybersecurity in civil aviation.


2. GOVERNANCE

2.1 All ICAO Member States are encouraged to support and build upon the ICAO Aviation Cybersecurity Strategy, to ensure the safety, security and continuity of civil aviation in a world increasingly jeopardized by cybersecurity threats.

2.2 States are encouraged to develop clear national governance and accountability for civil aviation cybersecurity. Civil Aviation authorities are encouraged to ensure coordination with their competent national authority for cybersecurity, recognizing that the overall cybersecurity authority for all sectors may reside outside the responsibility of the civil aviation authority. It is also essential that appropriate coordination channels among various State authorities and industry stakeholders be established.

2.3 Furthermore, Member States are encouraged to include cybersecurity in their national civil aviation safety and security programmes. To this end, ICAO should also include cybersecurity in regional and global plans and work towards a common baseline for cybersecurity Standards and Recommended Practices (SARPs).


3. EFFECTIVE LEGISLATION AND REGULATION

3.1 The principal aim of international, regional and national legislation and regulation on cybersecurity for civil aviation is to support the implementation of a comprehensive Cybersecurity Strategy to protect civil aviation and the travelling public from the effects of cyber-attacks.

3.2 Member States must ensure that appropriate legislation and regulations are formulated and applied, in accordance with ICAO provisions, prior to implementing a national cybersecurity policy for civil aviation. Further development of appropriate guidance for States and industry in implementing cybersecurity related provisions is necessary. To this end, ICAO is committed to create, review and amend, as appropriate, guidance material relating to the inclusion of cybersecurity aspects to security and safety.

3.3 Relevant international legal instruments should be analysed to identify existing or missing key legal provisions in air law for the prevention, prosecution, and timely reaction to cyber-incidents in order to form the basis for consistent and coherent implementation of cybersecurity legislation and regulations throughout the global aviation sector. In the meantime, States are encouraged to ratify ICAO instruments, including the Convention on the Suppression of Unlawful Acts Relating to International Civil Aviation (Beijing Convention) and Protocol Supplementary to the Convention for the Suppression of Unlawful Seizure of Aircraft (Beijing Protocol).

3.4 States are encouraged to consider whether their national legislation requires an update or the adoption of new national legislation to allow for the prosecution of terrorist-related cyber threats as well as cyber-attacks negatively impacting civil aviation. In parallel, States are encouraged to set up appropriate mechanisms for cooperation with ‘good faith’ security research, which is research activity carried out in an environment designed to avoid affecting the safety, security and continuity of civil aviation.


4. CYBERSECURITY POLICY

4.1 Cybersecurity is to be included within a State’s aviation security and safety oversight systems as part of a comprehensive risk management framework.

4.2 Recognizing there are different risk assessment methodologies, priority should be afforded to the amendment and possible development of guidance material related to cybersecurity threat and risk assessments, with the aim to achieve comparability of the outcomes of such assessments.

4.3 Across the civil aviation sector, cybersecurity policies may consider the complete life-cycle of the aviation system, and include elements such as: cybersecurity culture, promotion of security by design, supply chain security for software and hardware, data integrity, appropriate access control, pro-active vulnerability management, improving agility in security updates without compromising safety, as well as incorporating systems and processes to monitor cybersecurity relevant data.


5. INFORMATION SHARING

5.1 The civil aviation sector is a global, interdependent system with many common systems and cyberattacks can easily spread and have global impact. The objective of information sharing is to allow for prevention, early detection and mitigation of relevant cybersecurity events before they lead to wider effects on aviation safety or security. A culture of information sharing will significantly reduce systemic cyber risk across the aviation sector, the value of which has already been proved across aviation safety and security.

5.2 The sharing of information on such aspects as vulnerabilities, threats, events and best practices, through established and trusted relations can reduce the impact of ongoing attacks. Appropriate information sharing mechanisms must be recognized, in line with existing ICAO provisions.


6. INCIDENT MANAGEMENT AND EMERGENCY PLANNING

6.1 There is a need, in line with existing incident management mechanisms, to have appropriate and scalable plans that provide for the continuity of air transport during cyber incidents. It is recommended that States and the aviation sector make use of existing contingency plans that are already developed and amend these to include provisions for cybersecurity.

6.2 Cybersecurity exercises are a useful tool to test existing cyber resilience and identify improvements, and are therefore highly encouraged. Such exercises can follow different formats (such as table-top exercises, simulations, or real-time exercises) and also vary in scale, (international, national, organizational).


7. CAPACITY BUILDING, TRAINING AND CYBERSECURITY CULTURE

7.1 The human element is at the core of cybersecurity. It is critically important that the civil aviation sector takes tangible steps to increase the number of personnel that are qualified and knowledgeable in both aviation and cybersecurity. This can be done by increasing awareness of cybersecurity, as well as education, recruitment and training. Curricula relevant to cybersecurity, and – where practical – aviation-specific cybersecurity at all levels should be included in the national educational framework as well as in relevant international training programmes. Innovative ways to merge and crosslink traditional information technology and cyber career paths with aviation relevant professionals should be pursued.

7.2 The support and stimulation of skills development in the existing and new workforce should lead to the fostering of cybersecurity innovation and appropriate research and design in the aviation sector. Appropriate jobrelated training should be provided on a continuous basis to support personnel in their daily roles.

7.3 Cybersecurity could be included in the strategy for the next generation of aviation professionals as ICAO is well-placed to work with States and industry to develop role-based competency requirements for aviation professionals.

7.4 The civil aviation sector has established an enviable safety record which is founded upon a pro-active safety culture which is seen as everybody’s responsibility. The principles of this safety culture are to be applied to develop and maintain a cybersecurity culture across the aviation sector.

Cybersecurity Action Plan


ICAO Council adopts the Cybersecurity Action Plan (CyAP)

As the aviation industry relies more and more on digitalization, cybersecurity became an essential component of a resilient aviation system. The interconnection of aviation systems across stakeholders and geographic locations increases the cyber-threat landscape from the local scene to the global level.

The ICAO Council adopted the Cybersecurity Action Plan (CyAP) for the Implementation of the Cybersecurity Strategy, reinforcing its commitment to building a robust global cybersecurity framework to strengthen the safety, security and sustainability of the international civil aviation system.

The CyAP provides a foundation for States, industry, stakeholders, and ICAO to work together to develop the ability to identify, prevent, detect, respond to, and recover from cyber-attacks that might impact the safety, security, and continuity of aviation operations. It also creates a solid framework for cooperation amongst concerned stakeholders as it proposes a series of principles, measures, and actions to be implemented in order to achieve the objectives of the Aviation Cybersecurity Strategy's seven pillars.

This Cybersecurity Action Plan will be updated when necessary, as it evolves with the developments in the cyber threats landscape as well as the technological developments within the civil aviation sector.

The Cybersecurity Action Plan is available for the parties concerned with its implementation. Request your copy here: ASP@icao.int.

A medida que la industria de la aviación depende cada vez más de la digitalización, la ciberseguridad se convirtió en un componente esencial de un sistema de aviación resiliente. La interconexión de los sistemas de aviación entre las partes interesadas y las ubicaciones geográficas aumenta el panorama de amenazas cibernéticas desde la escena local hasta el nivel global.

El Consejo de la OACI adoptó el Plan de acción de seguridad cibernética (CyAP) para la implementación de la estrategia de seguridad cibernética, reforzando su compromiso de construir un marco de seguridad cibernética global sólido para fortalecer la seguridad y la sostenibilidad del sistema de aviación civil internacional.

El CyAP proporciona una base para que los Estados, la industria, las partes interesadas y la OACI trabajen juntos para desarrollar la capacidad de identificar, prevenir, detectar, responder y recuperarse de los ataques cibernéticos que podrían afectar la seguridad y la continuidad de las operaciones de aviación. . También crea un marco sólido para la cooperación entre las partes interesadas, ya que propone una serie de principios, medidas y acciones que se implementarán para lograr los objetivos de los siete pilares de la Estrategia de Ciberseguridad de la Aviación.

Este Plan de Acción de Ciberseguridad se actualizará cuando sea necesario, a medida que evolucione con los desarrollos en el panorama de amenazas cibernéticas, así como con los desarrollos tecnológicos dentro del sector de la aviación civil.

El Plan de Acción de Ciberseguridad está disponible para las partes interesadas en su implementación. Solicite su copia aquí: ASP@icao.int.

Working Groups

​ICAO Secretariat Study Group on Cybersecurity (SSGC)

Resolution A39-19 – Addressing Cybersecurity in Civil Aviation set out the actions to be undertaken by States and other stakeholders to counter cyber threats to civil aviation through a cross-cutting, horizontal and collaborative approach. Furthermore, ICAO was instructed to lead and seek to attain a comprehensive cybersecurity, cyber safety and cyber resilience work plan and governance structure with all relevant stakeholders.

In order to properly implement Resolution A39-19, the ICAO Secretariat Study Group on Cybersecurity (SSGC) was established in August 2017. The SSGC is organized as a plenary group supported by one Sub-Group (Research Sub-Group on Legal Aspects) and three Working Groups (Working Group on Airlines and Aerodromes, Working Group on Air Navigation Systems and Working Group on Cybersecurity for Flight Safety).

The scope of the group is to:

a) Serve as the focal point for all ICAO cybersecurity work;

b) Define relevant areas to be considered by the Working Groups (WG) of the SSGC and validate their respective terms of reference to ensure that no overlapping of duties and responsibilities occur;

c) Conduct a review of ICAO Annexes to consolidate existing Standards and Recommended Practices (SARPs) related to cybersecurity;

d) Review the proposals for amendments to ICAO provisions or new provisions to be developed related to cybersecurity proposed by the Working Groups;

e) Encourage the development of, and participation in, government/industry partnerships and mechanisms, nationally and internationally, for the systematic sharing of information on cyber threats, incidents, trends and mitigation efforts; and

f) Promote cybersecurity awareness throughout the aviation community.

Experts from 43 States and observers from 12 international organizations attended at least one of the meetings of the SSGC and Sub-Group or WG, experts from industry or private companies are invited on an ad-hoc basis to provide inputs on the threats, vulnerabilities and protection methods and tools.


Research Sub-Group on Legal Aspects (RSGLEG)

The Sub-Group was established as a necessity to review the adequacy of the existing international legal framework to address cyber threats against civil aviation and to review the draft Cybersecurity Strategy.

The group continued its work and extended the scope of work to:

a) Categorize or analyze the cyber threats and vulnerabilities to civil aviation and associated risks identified by ICAO expert groups in order to establish to what extent the current legal international framework covers them;

b) Establish a common understanding and terminology of the cyber security language, including on aspects such as "cybersecurity as it relates to aviation", "computers", "unauthorized access", "vulnerabilities", "threats" and "weapons";

c) Review and analyze (in relation to the identified threats, risks and actors) the adequacy of the current international legal framework as well as assess the need to reinterpret (acknowledging that judiciary might be hesitant to do so) or amend the existing international air law instruments dealing with cyber threats legal framework or to adopt new instruments or SARPs

d) Analyze cybersecurity related international instruments developed in other international transportation and communications domains such as maritime or railway or telecommunications in order to determine whether certain provisions could serve as analogy/a reference for the aviation international legal framework; and

e) Based on the above review and analysis, identify aspects or matters that may require referral to the ICAO Legal Committee, AVSEC Panel or other ICAO bodies for further consideration and action.


Working Group on Airlines and Aerodromes (WG-AAD)

As part of the ICAO SSGC, the Working Group on Airlines and Aerodromes (WG-AAD) addresses cybersecurity matters related to airport and airline operations not related to air navigation systems or airworthiness.

The group focuses on cyberspace related to facilitation, infrastructure protection, passengers and airline systems (check-in, baggage and cargo handling), and other systems not related to air navigation with a direct impact to operations. The scope of work may change and be reconsidered as the cyber threat landscape continues to evolve.

The objectives of the group are to:

a) Advise the SSGC on cybersecurity matters related to the airport and airline operations at aerodromes, not related to air navigation systems;

b) Coordinate development and/or updates of relevant Standards and Recommended Practices and Guidance Materials through the respective ICAO Panels and Study Groups;

c) Determine all relevant cybersecurity areas affecting airport and airline operations on the ground, not related to air navigation systems and prioritize them accordingly for action; and

d) Coordinate through the SSGC, as necessary, on cross-cutting matters with other SSGC Working Groups.


Working Group on Air Navigation Systems (WG-ANS)

The Working Group on Air Navigation Systems (WG-ANS) was created to address cyber safety, security, and cyber resilience aspects of current and existing airport, air navigation and information management systems.

The group focuses on, among other areas: airport interactions with air navigation systems, initial ATM system design considerations (i.e. secure-by-design); system-wide information management (SWIM) global interoperability; and air-ground, air-air and ground-ground links through all appropriate connection means.

The objectives of the group are to:

a) Advise the SSGC on cyber safety, security, and cyber resilience ANS and airport operations matters for current and future environment;

b) Coordinate development and/or updates of relevant Standards and Recommended Practices Procedures and Guidance Material, as necessary, through the respective ICAO Panels and Study Groups;

c) Determine all relevant cyber safety, security, and cyber resilience areas affecting ANS, airport operations and SWIM interoperability and prioritize them accordingly for action; and

d) Coordinate through the SSGC, as necessary, on cross-cutting matters with other SSGC Working Groups.


Working Group on Cybersecurity for Flight Safety (WG-CFS)

The Working Group on Cybersecurity for Flight Safety (WG-CFS) was created to address cyber safety, security, and cyber resilience aspects of airworthiness.

The group focuses on three primary areas of airworthiness: initial design considerations (i.e. secure-by-design); modifications to in-service aircraft; and aircraft maintenance (with a specific focus on field-loadable software). Remotely Piloted Aircraft Systems are also considered within the scope of work, including the command-and-control link (C2 Link) between the remote pilot station and the aircraft.

The objectives of the group are to:

a) Advise the SSGC on cyber safety, security, and cyber resilience airworthiness matters;

b) Coordinate development and/or updates of relevant Standards and Recommended Practices and Guidance Materials through the respective ICAO Panels and Study Groups;

c) Determine all relevant cyber safety, security, and cyber resilience areas affecting airworthiness and prioritize them accordingly for action; and

d) Coordinate through the SSGC, as necessary, on cross-cutting matters with other SSGC Working Groups.

Promoting Awareness

​ICAO Cyber Security and Resilience Symposium

15 – 17 October 2019, Amman, Jordan

Acknowledging the urgency and importance of protecting civil aviation's critical infrastructure, information and communication technology systems and data against cyber threats, ICAO MID Office organized the Cyber Security and Resilience Symposium which took place between 15‑17 October 2019 in Amman, Jordan, and featured collaborative discussions with experts and delegates from the operational, governmental, business and technical Cyber Security communities across the Middle East and beyond.

Please click here for more information on the event.


ICAO Cybersecurity Strategy announcements

  • LinkedIn

  • Facebook

  • Twitter

ICAO Resources


ICAO Assembly Resolution 40-10 – Addressing Cybersecurity in Civil Aviation

Assembly Resolution 40-10 supersedes Resolution A39-19 and:

1. Urges Member States and ICAO to promote the universal adoption and implementation of the Convention on the Suppression of Unlawful Acts Relating to International Civil Aviation (Beijing Convention) and Protocol Supplementary to the Convention for the Suppression of Unlawful Seizure of Aircraft (Beijing Protocol) as a means for dealing with cyberattacks against civil aviation.

2. Calls upon States and industry stakeholders to take the following actions to counter cyber threats to civil aviation:

a) Implement the Cybersecurity Strategy;

b) Identify the threats and risks from possible cyber incidents on civil aviation operations and critical systems, and the serious consequences that can arise from such incidents;

c) Define the responsibilities of national agencies and industry stakeholders with regard to cybersecurity in civil aviation;

d) Encourage the development of a common understanding among Member States of cyber threats and risks, and of common criteria to determine the criticality of the assets and systems that need to be protected;

e) Encourage government/industry coordination with regard to aviation cybersecurity strategies, policies, and plans, as well as sharing of information to help identify critical vulnerabilities that need to be addressed;

f) Develop and participate in government/industry partnerships and mechanisms, nationally and internationally, for the systematic sharing of information on cyber threats, incidents, trends and mitigation efforts;

g) Based on a common understanding of cyber threats and risks, adopt a flexible, risk-based approach to protecting critical aviation systems through the implementation of cybersecurity management systems;

h) Encourage a robust all-round cybersecurity culture within national agencies and across the aviation sector;

i) Promote the development and implementation of international standards, strategies and best practices on the protection of critical information and communications technology systems used for civil aviation purposes from interference that may jeopardize the safety of civil aviation;

j) Establish policies and allocate resources when needed to ensure that, for critical aviation systems: system architectures are secure by design; systems are resilient; methods for data transfer are secured, ensuring integrity and confidentiality of data; system monitoring, and incident detection and reporting, methods are implemented; and forensic analysis of cyber incidents is carried out; and

k) Collaborate in the development of ICAO's cybersecurity framework according to a horizontal, cross-cutting and functional approach involving air navigation, communication, surveillance, aircraft operations and airworthiness and other relevant disciplines.

Other Resources

News

​SSGC/7

​The seventh meeting of the ICAO Secretariat Study Group on Cybersecurity (SSGC/7) was held from 3 – 5 December 2019 at the IATA Headquarters in Montréal, Canada. More than 60 participants from Member States, international organizations and industry gathered to work on an Action Plan for the implementation of the Cybersecurity Strategy recently adopted by the 40th Session of the ICAO Assembly.

​ICAO Cyber Security and Resilience Symposium

Promoting Awareness

​ICAO Cyber Security and Resilience Symposium

15 – 17 October 2019, Amman, Jordan

Acknowledging the urgency and importance of protecting civil aviation's critical infrastructure, information and communication technology systems and data against cyber threats, ICAO MID Office organized the Cyber Security and Resilience Symposium which took place between 15‑17 October 2019 in Amman, Jordan, and featured collaborative discussions with experts and delegates from the operational, governmental, business and technical Cyber Security communities across the Middle East and beyond.

Please click here for more information on the event.

Presentations

ICAO - Strategic Objectives

In its ongoing mission to support and enable a global air transport network that meets or surpasses the social and economic development and broader connectivity needs of global businesses and passengers, and acknowledging the clear need to anticipate and manage the projected doubling of global air transport capacity by 2030 without unnecessary adverse impacts on system safety, efficiency, convenience or environmental performance, ICAO has established five comprehensive Strategic Objectives:

Safety:

Enhance global civil aviation safety. This Strategic Objective is focused primarily on the State's regulatory oversight capabilities. The Global Aviation Safety Plan (GASP) outlines the key activities for the triennium.

Air Navigation Capacity and Efficiency:

Increase the capacity and improve the efficiency of the global civil aviation system. Although functionally and organizationally interdependent with Safety, this Strategic Objective is focused primarily on upgrading the air navigation and aerodrome infrastructure and developing new procedures to optimize aviation system performance. The Global Air Navigation Capacity and Efficiency Plan (Global Plan) outlines the key activities for the triennium.

Security & Facilitation:

Enhance global civil aviation security and facilitation. This Strategic Objective reflects the need for ICAO's leadership in aviation security, facilitation and related border security matters.

Economic Development of Air Transport:

Foster the development of a sound and economically-viable civil aviation system. This Strategic Objective reflects the need for ICAO's leadership in harmonizing the air transport framework focused on economic policies and supporting activities.

Environmental Protection:

Minimize the adverse environmental effects of civil aviation activities. This Strategic Objective fosters ICAO's leadership in all aviation-related environmental activities and is consistent with the ICAO and UN system environmental protection policies and practices.