Aena vol contractar una pòlissa d'assegurances que el protegeixi dels riscos cibernètics. La companyia preveu desemborsar prop d'un milió d'euros per estar coberta en el cas de patir una bretxa de seguretat a les seves xarxes i que tingui un impacte econòmic. La gestora dels aeroports, de fet, ja va viure un episodi similar fa gairebé un any.
El juliol del 2024, una actualització defectuosa de la plataforma de seguretat informàtica de Microsoft va provocar el caos als aeroports d'Aena. L'incident va fer que els monitors van deixar de funcionar i els passatgers no podrien trobar les seves portes d'embarcament, que la facturació de l'equipatge s'hagués de realitzar de forma manual, i que es cancel·lessin i retardessin vols.
La fallada va demostrar la fragilitat dels aeroports a diversos països del món, ja que també afecte al de Heathrow a Londres i al de Luton (també gestionat per Aena) així com els de Roma, Berlín, Zuric i Cracòvia, entre altres. Per cobrir-se de les indemnitzacions que ha de suportar davant de fallades de seguretat com aquests o de ciberatacs, la companyia busca una o diverses companyies d'assegurances que li ofereixin una pòlissa amb què quedi emparada de les conseqüències econòmiques, despeses i reclamacions, que poguessin derivar-se, en aquest tipus de situacions.
Amb la pòlissa no només cobrirà la seva xarxa d'aeroports a Espanya, on compta amb gairebé mig centenar. També l'aeroport de London Luton i el de Múrcia, que també gestiona. En suma, l'empresa que presideix Maurici Lucena té a càrrec seu uns 80 aeroports, pels quals l'any passat van passar gairebé 310 milions de passatgers. Unes xifres rècord que aquest any espera batre i que el converteixen en l'operador aeroportuari més gran del món per volum de passatgers.
Els ciberatacs i hackejos estan a l'ordre del dia i les grans empreses no són una excepció malgrat la despesa milionària que realitzen des de fa anys en ciberseguretat. En els últims tres mesos han patit bretxes de seguretat firmes tan importants com Dior, Harrods (els grans magatzems de Londres), Adidas, El Corte Inglés, Generali, Mapfre, InfoJobs, Audax o Coinbase, entre moltes altres companyies.
La tendència ve del darrere, si bé, l'Institut Nacional de Ciberseguretat (INCIBE) -dependent del Ministeri per a la Transformació Digital i de la Funció Pública- ha revelat recentment que al llarg de l'any 2024 va gestionar un 16% més d'incidents de ciberseguretat en comparació amb 2023 i que la meitat d'ells van ser a empreses.
Atès el context, la companyia semipública -en la qual l'Estat disposa del 50% de capital- reconeix que pot veure's afectada per fallades de seguretat en els seus sistemes. Com un accés no autoritzat, la recepció d'un codi maliciós, un programari maliciós o un virus que causi la destrucció, modificació, corrupció, mal o eliminació de qualsevol dada emmagatzemada en qualsevol sistema informàtic de la companyia.
I espera respondre amb aquesta pòlissa fins i tot en el cas d'extorsió cibernètica en els que hagués de pagar un rescat o en els quals pateixi una pèrdua financera com a resultat directe d'un frau. Les ciberassegurances o assegurances contra riscos cibernètics cobreixen tots aquests aspectes, i per això estan emergint amb força. Companyies com Mapfre, Zuric, AXA, BBVA, Allianz i fins i tot Telefónica ofereixen ja aquestes pòlisses a grans i petites empreses.
Aena vol una auditoria Interna de ciberseguretat
En paral·lel, Aena posarà en marxa una auditoria interna en la qual s'avaluï la preparació i la capacitat de resposta la companyia davant de ciberatacs, mitjançant la simulació d'intrusions reals i controlades. La gestora dels aeroports ja va executar durant tres anys (2022-2024) una auditoria similar, permetent la detecció i correcció de vulnerabilitats mitjançant la implementació de plans d'acció correctors i enfortint l'empresa en relació amb el risc de ciberseguretat.
Però reconeix que els riscos associats a la ciberseguretat s'han incrementat i constitueixen una preocupació "interna i externa", per la qual cosa l'eficàcia dels processos, sistemes i unitats destinats a evitar accessos no autoritzats constitueixen un aspecte clau per a la companyia. Per això, invertirà uns 120.000 euros en què se'n realitzi una auditoria més profunda on s'avaluïn si els mecanismes de prevenció, detecció i resposta que té, haurien de millorar.
Actualment, amb els recursos i sistemes dels quals disposen, "no és possible realitzar aquestes revisions amb l'abast proposat", reconeix. La nova auditoria consistirà en la simulació de diferents ciberatacs, amb una durada estimada total de quatre mesos, en els quals provarà d'identificar les seves debilitats.