La importancia de incrementar la ciberseguridad marítima

La industria naviera tiene mucho trabajo por delante con este tipo de cuestiones, aunque cada vez se tiene más conciencia de ello. Qué va a pasar en el futuro y cómo se está preparando el sector para abordar estos nuevos desafíos, desde la mirada del consultor marítimo senior para America del Lloyd's Register, Graeme Ripley.

Participamos de una disertación sobre ciberseguridad marítima, organizada por la Prefectura Naval Argentina (PNA), que se llevó a cabo en Salón Mantilla del Edificio Guardacostas a cargo del consultor marítimo senior para America del Lloyd’s Register, Graeme Ripley.

En su presentación primero destacó que el objetivo de la ciberseguridad es minimizar el impacto comercial, es decir “hacer que todos seamos blancos más pequeños y más difíciles de alcanzar. Si se puede lograr eso, los delincuentes cibernéticas van a buscar otro blanco y atacar a alguien más”.

Luego, centró el foco en el “buque conectado” y dijo que si bien eso es un beneficio muy importante para la industria también conlleva un desafío muy grande.

Según explicó este tema no es algo del futuro sino que “ya está entre nosotros”. Es un hecho que los barcos cada vez están más computarizados, interconectados, lo que a su vez los hace más vulnerables ya que los programas maliciosos y otros ataques informáticos suelen estar diseñados para propagarse de un equipo a otro.

“El acceso remoto ya está pasando hoy en día. Muchas personas creen que vamos a ver buques autónomos incluso antes de tener controles remotos en las rutas, en los autos. Eso no significa que dejarán de tener tripulación -quizás en el futuro sí- pero la autonomía es acerca de la accesibilidad del buque y el control remoto desde la costa”.

En la actualidad describió como hay sistemas relevantes en los buques que pueden ser comprometidos por un ciberataque ya sea los sistemas de navegación en el puente, comunicaciones del buque, gestión de la carga, control de propulsión y sistemas administrativos, etc.

“Como ya hay mucha interconectividad de equipos a bordo de buques, si uno tiene acceso al registrador datos de la travesía, se puede llegar a todos estos sistemas” advirtió.

Eso significa que los aparatos conectados a bordo de los barcos son potencialmente vulnerables; y muchas veces hay que tener en cuenta también el factor humano y la seguridad porque los ¨gusanos¨ pueden ser introducidos a través de un pendrive por un técnico que viene a reparar algo, o en una actualización, entre otras formas.

Luego, presentó casos reales que ocurrieron con incidentes en buques. Por ejemplo uno de ellos se dio en el Mar Negro, en octubre del año pasado, con una suplantación de GPS, allí se instaló una falsa posición que detectó a 20 buques que informaron la misma posición en un aeropuerto.

También se refirió al episodio registrado en el 2017 por la compañía naviera Maersk que fue una de las principales afectadas de un ataque del virus informático NotPetya que llegó a grandes empresas e instituciones europeas, y que fue librado para atacar a Ucrania. “Las pérdidas para Maersk fueron cuantificadas en 300 millones de dólares.

También se detuvieron operaciones en 76 terminales portuarias, pero el punto es que estos efectos no fueron los objetivos. Lo que querían hacer era dañar la infraestructura de los ucranianos, estaban atacando un país, y esos fueron daños colaterales al ataque principal.”

En su presentación Ridley también alertó acerca de que si bien los sistemas operativos de la información han sido mejorados, los sistemas operativos están más retrasados y expuestos y eso es algo a lo que tenemos que dirigir nuestra atención.

“La tecnología operacional es uno de las fallas que tenemos en los buques hoy en día. El sistema operativo de la tecnología operacional no ha sido diseñado para la seguridad y por la tanto es vulnerable a potenciales ataques.”

Por otro lado, desde la Prefectura se destacó que para abril de 2019 ya va a entra en vigor una Enmienda del Convenio de Facilitación del Comercio donde los buques van a tener que realizar el intercambio electrónico de datos.

“Por lo tanto, toda la información que va a brindar un buque al puerto va a ser a través de un intercambio electrónico, y evidentemente las cuestiones de ciberseguridad van a tomar un protagonismo que actualmente todavía no visualizamos. Así que para esa fecha de alguna manera todas estas cuestiones que estamos debatiendo en esta jornada van a adquirir una importancia relevante” recalcó el prefecto Mayor, Italo D´Ámico, jefe de Seguridad Naval quien estuvo acompañado también por el prefecto General, Miguel Bartoreli, director de Protección Ambiental.

Regulaciones y ciberseguridad

Tal como explicó Ripley, algunos de los impulsos desde el punto de vista regulatorio provienen desde la Organización Marítima Internacional (OMI), que el año pasado ya adoptó esta política; y ellos esperan ver que se aborde la “ciberseguridad” con los sistemas para enero del 2021.

En esa línea, por parte de la OMI están brindando algunos lineamientos donde dicen que las empresas que operan buques necesitan abordar la ciberseguridad como lo hacen con los otros riesgos, y que se aborde este tema desde la gestión. “Las empresas deberían poder construir una cultura de ciberseguridad y gestión de riegos dentro de la empresa que baje como política desde la Dirección General”.

También el Consejo Marítimo Internacional (BIMCO) ha lanzado recientemente guías diseñadas para ayudar a los armadores a protegerse frente a potenciales hackers. Eso está respaldado por el servicio de Guardacostas de Estados Unidos que asimismo explica cómo le gustaría que fueran sus buques, y cómo les gustaría que sus buques usen esos sistemas de seguridad.

El servicio tiene una estrategia y ya dieron varias directrices para terminales portuarias; también publicaron perfiles de ciberseguridad para distintos tipos de buques y embarcaciones. “Es como un libre de recetas que se puede usar y aplicar a las propias empresas y no me sorprendería si publican mas lineamientos en el futuro. Creo que Estados Unidos va a ser el primer país en instalar requisitos obligatorios sobre este tema.”

Asimismo, indicó que en la Union Europa están muy interesados en la ciberseguridad; y tienen diferentes organismos que están analizando esta problemática. Incluso ya entró en vigor desde Mayo de este año el Reglamento de la Protección General de los Datos, tendiente a proteger los derechos acerca de la información que uno posee sobre ciudadanos europeos con medidas de gran alcance, donde se puede hasta retirar información de servidores con estas reglas.

Luego están los requisitos del Foro Marítimo Internacional de las companías petroleras y ellos han introducido la evaluación de la gestión de los buques tanques en la tercera edición, que incluye los indicadores de seguridad y desempeño donde se agrega un capítulo que aborda la seguridad marítima y la ciberseguridad.

“No es un requisito regulatorio pero si trabajan con compañías petroleras ellos esperan que se sigan estas indicaciones” concluyó.

Fuente: Nuestromar