Hacen falta nuevos procesos y normas para proteger las operaciones marítimas ante un próximo ataque cibernético

El ataque NotPetya de junio de 2017 que le costó a AP Moller-Maersk al menos $ 300 millones fue una llamada de atención, pero la industria debería prepararse para un incidente mucho más dañino, dice Mark Sutcliffe, director de CSO Alliance, una comunidad en línea de seguridad de compañías navieras. oficiales AP Moller-Maersk hace más de un año del ataque cibernético de NotPetya.

"En el peor de los casos, podría tratarse de una intrusión que invoque una falla en cascada de un barco que transporta material peligroso o contaminante, o posiblemente una interrupción sostenida de los sistemas de navegación en red que podrían tener un impacto en toda la industria", dijo a TradeWinds.

Sutcliffe dice que Maersk ni siquiera fue el objetivo previsto del ataque, que ha sido atribuido a hackers que actúan en nombre del estado ruso. "Esta fue una consecuencia no intencionada exacerbada por la complacencia y el monitoreo inadecuado de la red y las defensas cibernéticas", dice.

Un pirata informático podría causar una choque con muelles, hundimiento o colisión que resulte en la pérdida de vidas, dice Max Bobys, vicepresidente de la firma de seguridad cibernética marítima estadounidense Hudson Cyber.

"Los ataques cibernéticos contra el sector marítimo ocurren todos los días", agrega. "El ransomware, por ejemplo, que continúa propagándose y evolucionando crónicamente, afecta los entornos operativos de oficina y a bordo".

Sutcliffe dice que la mayoría de las amenazas cibernéticas marítimas se han limitado a ataques de denegación de servicio distribuido, desfiguración de sitios web y ransomware, pero sin duda podría ocurrir una intrusión en cascada que afecte a los puertos de todo el mundo.

"La intrusión en la red que crea un efecto de cascada, la interrupción de los sistemas en un mega puerto de importancia mundial como Rotterdam o Singapur, tendría un impacto operacional significativo y, en consecuencia, financiero en toda la cadena logística y de transporte de la Unión Europea", afirma. "Hay evidencia de que los ataques se están desarrollando en la madurez del enfoque y el impacto, por ejemplo, el fraude de los agentes de transporte".

El 20 de septiembre de 2018, varios servidores en la infraestructura de seguridad del Puerto de Barcelona fueron atacados en un ataque cibernético que aparentemente no afectó las operaciones pero mostró vulnerabilidad portuaria a tales incidentes.

Cinco días después, los sistemas de TI del Puerto de San Diego fueron interrumpidos por un ataque de ransomware que provocó investigaciones por parte de la Oficina Federal de Investigaciones y el Departamento de Seguridad Nacional.

En julio del año pasado, la terminal de Cosco en el Puerto de Long Beach en California fue objeto de un ataque de ransomware, pero un portavoz le dijo a TradeWinds que el incidente "no había descarrilado las operaciones".

Chipre es consciente de los peligros, por lo que el viceministro de Marina, Natasa Pilides, dice que está desarrollando cursos de capacitación para marinos en seguridad cibernética en las academias marítimas de la nación.

"Supervisamos el contenido, nos aseguramos de que sea aprobado y nos enseñamos de la manera prescrita", dice ella. Su agencia también está considerando iniciativas de seguridad cibernética con el Departamento de Servicios de Tecnología de la Información de Chipre que planea compartir en todo el mundo.

Pilides exhorta a los armadores y compañías a asegurarse de que los empleados sigan protocolos seguros. "¿Las compañías les están proporcionando la capacitación adecuada?" pregunta. "Hay muchos problemas legales, como lo que constituye evidencia, que se resolverá con la experiencia, y la OMI tendrá que involucrarse más".

El gobierno de los Estados Unidos describió los pasos que tomará para protegerse contra las amenazas en evolución en una Estrategia Cibernética Nacional publicada el mes pasado. El informe de 26 páginas dice: "La seguridad cibernética marítima es especialmente preocupante porque los envíos perdidos o retrasados pueden dar lugar a interrupciones económicas estratégicas y posibles efectos en las industrias posteriores".

El presidente de los Estados Unidos, Donald Trump, llama al informe "un llamado a la acción para que todos los estadounidenses y nuestras grandes compañías tomen las medidas necesarias para garantizar nuestra seguridad cibernética nacional".

Esos pasos incluyen la aclaración de los roles de seguridad marítima, la promoción de mecanismos para la coordinación de la seguridad digital internacional y el desarrollo de una infraestructura ciberresistente de próxima generación.

Todavía no hay leyes específicas sobre amenazas cibernéticas

A pesar de los riesgos, no hay leyes específicas para prevenir los ataques cibernéticos en el envío. Pero Sutcliffe dice que organizaciones como la OMI, la Guardia Costera de los EE. UU. Y la UE están redactando directrices que podrían convertirse en leyes.

"Creo que será una curva de aprendizaje", dice. "Aprendes cómo enfrentarlo de la mejor manera y luego estableces leyes".

En enero, una sección dedicada a la seguridad, incluido el riesgo cibernético, se introdujo en la tercera edición del programa de Gestión y autoevaluación de buques petroleros (TMSA) del Foro Marino Internacional de Compañías de Petróleo.

El idioma también se incluyó en la séptima edición del cuestionario de inspección de buques del Programa de informes de inspección de buques del foro (SIRE), que entró en vigor en septiembre.

"Debido a que TMSA y SIRE son imperativos para obtener estatutos, los operadores de camiones cisterna ahora tienen un incentivo comercial para demostrar que han dado consideración sistemática a las vulnerabilidades potenciales e implementado las mitigaciones y salvaguardas apropiadas para enfrentarlos", dice DNV GL en un informe sobre defensa digital.

El Comité de Seguridad Marítima de la OMI incluyó la gestión del riesgo cibernético marítimo en su lista de requisitos del Código de Gestión de Seguridad de la Información, con una fuerte recomendación de que las empresas la adopten a partir del 1 de enero de 2021.

DNV GL dice que la enmienda "deja a los propietarios de embarcaciones sin cisterna con poco más de dos años para lograr un nivel de preparación similar al de sus colegas propietarios de cisternas".

Aunque la OMI es el organismo regulador marítimo, Sutcliffe dice que la aplicación de la ley de seguridad cibernética tendrá que ocurrir a nivel nacional.

"Muy a menudo, particularmente cuando los recursos son limitados o no existen, esto se logrará en cooperación con otros departamentos en el nivel operacional", dice. "La OMI tiene nuevas reglas de administración de riesgos que entrarán en vigencia en 2021. El incumplimiento de estas reglas podría hacer que los barcos sean sancionados".