Buques ciber-resilientes, Cómo proteger a nuestra flota de ciber-ataques?

Página creada Ismael Perrez
 
SEGUIR LEYENDO
Buques ciber-resilientes, Cómo proteger a nuestra flota de ciber-ataques?
TRIBUNA PROFESIONAL

Buques ciber-resilientes,
¿Cómo proteger a nuestra flota
de ciber-ataques?
OSCAR NAVARRO - DIRECTOR DE CIBERSEGURIDAD INDUSTRIAL S2 GROUP
JUAN A. MOJÓN - DIRECTOR DIVISIÓN DE SOFTWARE Y NUEVAS TECNOLOGÍAS EN AEROMARINE

   Actualmente nos encontramos ante un escenario de                 de la compañía después del 1 de enero de 2021. Las
   alto riesgo. El aumento en la conectividad entre siste-          exigencias normativas y la adecuada valoración del
   mas, personas e incluso equipamiento industrial está             riesgo existente y el posible impacto sobre el negocio
   aumentando el perímetro de defensa e incrementan-                son dos líneas que confluyen para impulsar al sector
   do la posibilidad de sufrir un incidente de                      a tomar medidas.
   ciberseguridad.                                                  En este artículo resumimos el contexto actual y ana-
   La Resolución MSC.428 (98) de la OMI persigue que                lizamos las opciones que las empresas navieras
   todas las navieras desarrollen al menos un plan de               tienen a su disposición a la hora de afrontar la ciber-
   ciberseguridad y de respuesta frente a ciberamena-               seguridad, comentando las iniciativas que se pueden
   zas, como parte del Manual de Gestión de la                      implantar y algunos factores fundamentales para
   Seguridad de cada buque, a más tardar en la primera              garantizar el éxito de las inversiones en ciberseguri-
   verificación anual del Documento de Cumplimiento                  dad.

CONTEXTO                                         Pero las navieras no han sido las úni-     gestión avanzados, poner en marcha pro-
Durante el año 2020, los ciberataques        cas en sufrir este tipo de ciberdelincuen-     yectos basados en big data, obtener da-
han aumentado notablemente en la in-         cia, instalaciones portuarias, e incluso los   tos de los sistemas IT /OT desde tierra e
dustria marítima. Atrás queda ya el          servidores de la Organización Marítima         incluso efectuar labores de manteni-
tiempo en el que se pensaba que un bu-       Internacional (OMI) han tenido que lidiar      miento en remoto.
que era una isla protegida de influencias    con ciberataques de distinta índole.               A esto debemos sumar los cambios
externas que pudieran condicionar la                                                        evolutivos de los sistemas más importan-
operación y el correcto funcionamiento       ¿CUÁLES SON LAS CAUSAS DEL                     tes del buque, como los de navegación o
de los sistemas IT/ OT instalados a bordo.   INCREMENTO DE LOS CIBERATAQUES?                propulsión, que permiten el intercambio
    Durante los últimos 4 años hemos         Las razones principales del aumento de         de información a través de redes TCP/IP,
visto como algunas de las navieras más       los ciberataques son la evolución tecno-       la configuración y control a través de apli-
grandes como MAERSK, COSCO o CMA             lógica y la digitalización de los procesos     caciones de software o el seguimiento de
CGM eran atacadas, produciendo, en al-       de a bordo.                                    su operación desde consolas externas
gunos casos, pérdidas millonarias que,           Hoy en día se han abaratado las co-        dentro y fuera del buque.
sin duda, hubieran llevado a la quiebra a    municaciones buque / tierra, lo que per-
empresas más pequeñas del sector.            mite a las empresas adoptar sistemas de        LA RESOLUCIÓN MSC.428(98)
                                                                                            DE LA OMI
                                                                                            El aumento de los ciberataques ha des-
                                                                                            pertado a una parte sector. Muchas na-
                                                                                            vieras llevan tiempo aplicando guías de
                                                                                            buenas prácticas, creando y mejorando
                                                                                            procedimientos de seguridad de la infor-
                                                                                            mación y concienciando a sus tripulantes
                                                                                            sobre las amenazas, los riesgos y la co-

20 // ABRIL 2021 // ASOCIACIÓN DE NAVIEROS ESPAÑOLES
Buques ciber-resilientes, Cómo proteger a nuestra flota de ciber-ataques?
rrecta utilización de los equipos IT y OT
de los buques.
     La OMI, por su parte, consciente de
la nueva realidad del sector, ha adoptado
la Resolución MSC.428 (98) que persigue
que todas las navieras desarrollen al me-
nos un plan de ciberseguridad y de res-
puesta frente a ciberamenazas, como
parte del Manual de Gestión de la Segu-
ridad (Código ISM) de cada buque.
     La normativa ha entrado en vigor el 1
de enero de este año, y obliga a las em-
presas a auditar este nuevo plan de se-
guridad, a más tardar, en la primera ve-
rificación anual del Documento de Cum-
plimiento de la compañía después del 1
de enero de 2021.

PERO ¿ES ESTO SUFICIENTE PARA QUE
LOS BUQUES SEAN RESILIENTES?
Lamentablemente la respuesta es no. Se-
guir la recomendación de la OMI, como
hemos mencionado anteriormente, nos                                                          penden del buque, a la seguridad de las
permitirá establecer los procedimientos                                                      personas, el medio ambiente y los bienes
necesarios para conocer los activos que                                                      materiales (el propio buque y su carga).
tenemos que proteger, cuáles son sus                                                             La gran heterogeneidad del sector
vulnerabilidades y las amenazas a las que                                                    marítimo hace recomendable que estos
están expuestos, e instruir a los tripulan-                                                  análisis se efectúen de forma individua-
tes sobre cómo proceder en cada caso,                                                        lizada, requiriendo incluso la realización
propiciando de esta manera una cultura                                                       de pruebas de carácter técnico a bordo.
de ciberseguridad en la flota.                                                               En este tipo de análisis se identifican, tí-
    Si lo que queremos es proteger nues-                                                     picamente, debilidades asociadas al ac-
tro negocio, deberemos implantar una                                                         ceso físico a los equipos o sistemas, erro-
serie de medidas de seguridad que se                                                         res de configuración, de gestión de acce-
definirán después de un análisis exhaus-                                                     sos, arquitecturas deficientes o prácticas
tivo de cada instalación.                                                                    de mantenimiento u operación inseguras
                                                                                             (incluyendo el trabajo de empleados pro-
IMPLANTANDO MEDIDAS DE                                                                       pios o terceros externos), gestión defi-
SEGURIDAD EN LOS BUQUES                                                                      ciente de conexiones remotas o accesos
Uno de los primeros aspectos que se                                                          locales, etc.
debe tener en cuenta a la hora de traba-                                                         Estos análisis técnicos, incluyan o no
jar en la seguridad de un buque o una                                                        un test de intrusión, deben llevarse a
flota es que la seguridad es un proceso y                                                    cabo con las adecuadas garantías para
que, por tanto, constituye una tarea que      Incidentes relacionados con la                 no causar daños en los sistemas evalua-
debe incorporarse a las actividades pro-      ciberseguridad. Fuente: Centro Criptológico    dos. Debe conseguirse un equilibrio entre
pias de cada compañía, para garantizar        Nacional, CCN-CERT.                            la necesidad de realizar hacer y los ries-
su continuidad en el tiempo.                                                                 gos implicados en su ejecución. Un buen
    No existe ningún sistema del que          tema complejo que depende para su              plan de pruebas es fundamental para ga-
pueda decirse que es completamente se-        operación de multitud de subsistemas,          rantizar este equilibrio.
guro o que no pueda tener vulnerabili-        algunos típicamente industriales (gene-            Sin embargo, la adopción de medidas
dades no conocidas. Por otra parte, la        ración de energía, propulsión, sistemas        a posteriori siempre dificulta su aplica-
tecnología y la forma en la que se utiliza    eléctricos, antiincendios, etc.) y otros es-   ción y limita su eficacia, por lo que lo ideal
cambia. Por esta razón, lo primero es         pecíficos como la navegación, la gestión       es integrar la ciberseguridad en el ciclo
adaptar la organización a esta nueva re-      del pasaje o carga, etc.                       de vida completo del buque, comen-
alidad: la ciberseguridad no es algo que          El objetivo es identificar situaciones     zando por la definición de especificacio-
se compra una vez y se tiene, sino un         de riesgo que, de materializarse, podrían      nes de ciberseguridad de aplicación du-
proceso continuo.                             afectar a los procesos de negocio que de-      rante el proyecto, la construcción, la com-
    A partir de aquí, la primera línea de
trabajo debe ser necesariamente llevar
a cabo un análisis que permita obtener
una imagen del estado de protección
del buque.
    Para ello es preciso aunar conoci-
mientos especializados del sector marí-
timo con los conocimientos específicos
de ciberseguridad: un buque es un sis-

                                                                               ASOCIACIÓN DE NAVIEROS ESPAÑOLES // ABRIL 2021 // 21
Buques ciber-resilientes, Cómo proteger a nuestra flota de ciber-ataques?
TRIBUNA PROFESIONAL

         39%            37%             27%            21%            21%         20%           17%              15%          13%             11%
         Ciber      Interrupción     Cambios        Catástrofes    Evolución    Incendio o   Cambio           Pérdida de     Nuevas         Evolución
      incidentes     comercial     legislativos y    naturales    del mercado   explosión    climático        reputación   tecnologías   macroeconómica
                                    normativos

 Principales riesgos a los que se enfrenta la industria internacional. Fuente: Allianz Risk Barometer 2020

pra de equipos, la contratación de servi-           •   El modelo elegido para la atención de                Por último, y en línea con lo indicado
cios, etc.                                              las alertas de ciberseguridad en fun-            más arriba, es imprescindible integrar
    A posteriori, en la fase de proyecto y              ción de las opciones de comunicación:            las evaluaciones periódicas de ciberse-
construcción, hay que garantizar que las                online, en tiempo real u offline,                guridad en los procesos de auditoría
especificaciones de ciberseguridad defi-                cuando la conectividad lo permita.               para garantizar que los controles implan-
nidas son efectivamente implantadas,                • La propia definición de las alertas, que           tados, tanto técnicos como procedimen-
pudiendo incorporarse análisis específi-                debe permitir la toma de decisiones              tales, son operativos, adecuados a las
cos como parte de las pruebas del bu-                   por parte de la tripulación. Hay que             amenazas existentes y se aplican correc-
que.                                                    tener en cuenta que este personal no             tamente.
    Otro elemento fundamental es la                     tiene, por lo general, conocimientos
monitorización de actividad anómala                     avanzados de ciberseguridad y por lo             EL COSTE DE LA NO-SEGURIDAD
tanto en el uso de los equipos de a bordo               tanto la caracterización de la amenaza           El proceso de análisis e implementación
como en las redes de comunicaciones in-                 y el posible impacto deben definirse             de medidas descrito anteriormente tiene
ternas y externas. El diseño, despliegue                claramente. Lo mismo se aplica a la              un coste, debe incluir toda la estructura
y operación de estos sistemas de moni-                  comunicación con el personal que                 IT / OT de cada buque, y ser revisado
torización de la ciberseguridad en bu-                  pueda apoyar desde tierra y que, ne-             constantemente para que sea efectivo,
ques tienen aspectos comunes con otros                  cesariamente, tendrá que comuni-                 reduzca el riesgo de ataque a lo largo de
sectores.                                               carse con la tripulación.                        toda la vida operativa del buque y mini-
    Aun así, deben adaptarse a los aspec-               Este tipo de aproximación basada en              mice las consecuencias en caso de pro-
tos específicos de este entorno a la hora           el conocimiento específico de los siste-             ducirse.
de afrontar asuntos como:                           mas que se quieren proteger permite ga-                  No obstante, para analizar la rentabi-
• La elección de los sistemas a monito-             rantizar el éxito de las inversiones, evi-           lidad o no de tener una flota resiliente,
   rizar: perímetros, redes, equipos, etc.          tando situaciones que se están produ-                debemos estudiar cuáles son las conse-
• La posibilidad de instalar equipa-                ciendo en otros sectores: cada vez es más            cuencias económicas para nuestro nego-
   miento de ciberseguridad a bordo, te-            habitual encontrar casos en los que un               cio en caso de que se produzca un ataque
   niendo en cuenta limitaciones de es-             planteamiento basado en el despliegue                que afecte a nuestra actividad.
   pacio, electrónica de red, etc. No es            de equipamiento estándar no alcanza los                  Actualmente nos encontramos ante
   raro tener que hacer modificaciones              objetivos deseados.                                  un escenario de alto riesgo. El incre-
   en la infraestructura para permitir es-              En este sentido, la puesta en marcha             mento en la conectividad entre sistemas,
   tos despliegues.                                 de proyectos piloto permite adquirir ex-             personas e incluso equipamiento indus-
• La definición de un conjunto acotado              periencia en el proceso, poner a prueba              trial está acrecentando el perímetro de
   de situaciones de riesgo potencial, es-          la tecnología y obtener información para             defensa, aumentando la posibilidad de
   pecíficas, que tengan sentido en el              el diseño de procesos de despliegue de               sufrir un incidente de ciberseguridad.
   contexto concreto del buque monito-              tecnologías de monitorización a una es-              Además, la creciente interrelación entre
   rizado.                                          cala mayor.                                          sectores, negocios y cadenas de valor ha-
                                                                                                         cen que eventos que a priori tienen un
                                                                                                         impacto limitado, puedan propagarse y
                                                                                                         acabar impactando sobre las operaciones
                                                                                                         de una gran compañía.
                                                                                                             Esta situación se refleja perfecta-
                                                                                                         mente en las cifras de incidentes gestio-
                                                                                                         nados por el Centro Criptológico Nacio-
                                                                                                         nal, CCN-CERT. Según se recoge en su In-

22 // ABRIL 2021 // ASOCIACIÓN DE NAVIEROS ESPAÑOLES
forme Anual de Amenazas y Tendencias                          •   ¿Qué pierde mi empresa por cada día      CONCLUSIONES
2020(1), en 2019, el CCN-CERT gestionó                            de inoperatividad total de uno de mis    En definitiva, nos encontramos ante un
42.997 ciberincidentes, con un aumento                            buques? ¿Y de toda la flota?             nuevo escenario en el que el riesgo cre-
superior al 11 % con respecto al año an-                      • ¿Cuáles son los riesgos personales a       ciente de sufrir un ciberataque y su im-
terior, de los cuales casi un 7,5 % fueron                        los que se enfrentan las tripulaciones   pacto potencial en el negocio no puede
de peligrosidad muy alta o crítica.                               en el caso de que un ciberataque de      ser ignorado. Tanto la realidad constatada
    El sector empresarial percibe el riesgo                       lugar a un accidente en uno de mis       en los ataques sufridos por empresas na-
creciente asociado a los ciberincidentes,                         buques?                                  vieras y otros organismos del sector,
que ha crecido en los últimos años hasta                      • ¿Cómo afectaría la perdida de siste-       como los avances normativos comenta-
convertirse en la principal preocupación.                         mas IT como software de carga y des-     dos anteriormente, fijan el horizonte para
Así lo identifica Allianz en su Informe                           carga, plataformas de reservas, siste-   todos los participantes del sector.
Anual(2) sobre los principales riesgos a                          mas de control de viajes o ERPs en el        Las medidas a nuestro alcance son de
los que se enfrenta la industria interna-                         día a día de la compañía?                distinta índole, y van desde la adopción
cional, que sitúa los problemas derivados                     • ¿En el caso de que suframos un ata-        de soluciones tecnológicas hasta el au-
de ciberincidentes como el principal                              que, cual es la inversión necesaria      mento de las habilidades de las tripula-
riesgo a gestionar.                                               para volver a la normalidad?             ciones.
    En lo relacionado específicamente con                          En nuestra opinión, las medidas de la        En cualquier caso, la ciberseguridad
el sector marítimo, todo el mundo re-                         seguridad de la información de cada uno      debe afrontarse como un elemento más
cuerda el ciberataque sufrido en 2017                         de los centros de trabajo de una empresa     de las operaciones, integrándola en los
por la naviera Maersk, que obligo a la em-                    deben formar parte del plan estratégico,     procesos de negocio e implementando
presa a paralizar sus operaciones durante                     de forma que se analice qué procedimien-     los cambios organizativos necesarios para
semanas y que tuvo un coste económico                         tos deben de modificarse y qué medidas        garantizar la rentabilidad de las inversio-
de entre 250 y 300 millones de dólares.                       se han de adoptar a corto, medio y largo     nes y su efectividad en el tiempo.
    Pero este incidente no es un caso ais-                    plazo para garantizar la estabilidad y la        Por último, el coste de la ciberseguri-
lado. En 2018, la naviera COSCO sufrió                        rentabilidad de la actividad. Por otra       dad debe evaluarse contra el impacto eco-
un ataque que afectó a sus operaciones                        parte, no se debe olvidar que, en este       nómico potencial de un solo incidente, re-
en Estados Unidos; en abril de 2020, la                       contexto de alto riesgo, la ciberseguridad   alizando los análisis de riesgos necesarios
naviera MSC vio comprometida su sede                          puede convertirse en un factor competi-      que permitan poner en contexto estas in-
de Ginebra; en septiembre de 2020 CMA                         tivo fundamental que puede decidir qué       versiones y comparándolas con el coste
CGM anunció que un ciberataque había                          compañías sobreviven y cuáles no.            de la no-seguridad.
afectado a sus servidores periféricos; e
incluso la infraestructura IT de OMI ha
sido objeto de un ataque informático el
pasado año.
                                                                           CIBERATAQUE A.P. MOLLER MAERKS
    Los casos de ciberataques crecieron
exponencialmente en 2020 en el sector
                                                                                       (2017)
y, aunque la mayoría de ellos no eran di-

                                                                  1
rigidos, es decir, eran ataques lanzados                               Mecanismo: ataque a la cadena de suministro. El malware (Not
para ‘pescar’ a cualquier empresa, tam-                                Petya) se introdujo en los sistemas de la compañía por medio de un
bién se han detectado ataques dirigidos,                               software de gestión suministrado por un proveedor especializado.
que tienen como fin deteriorar la imagen,

                                                                  2
robar información confidencial o causar                                El ataque afectó a los sistemas de sus terminales portuarias en todo
daño a una empresa concreta.                                           el mundo.
    Para evaluar si la implantación de me-
didas de ciberseguridad en una naviera

                                                                  3
será rentable, tendríamos que contestar                                Se produjo un impacto generalizado en los sistemas. Todas las
a preguntas como:                                                      actividades de sus terminales quedaron paralizadas.
• ¿A cuánto ascendería la pérdida eco-
    nómica en el caso que se produzca

                                                                  4
    un robo de información confidencial                                El impacto económico se estimó entre 250 y 300millones de
    de la empresa?                                                     dólares.

(1) El informe completo Amenazas y Tendencias 2020

                                                                  5
   del Centro Criptológico Nacional puede
                                                                       Acciones de recuperación: Volver a instalar todos los servidores y
                                                                       estaciones de trabajo de la compañía: unos 40.000 ordenadores y
   descargarse en este enlace.                                         4.000 servidores.
(2) El Informe Anual de Allianz puede descargarse en
   este enlace.

 ANAVE, como editora del Boletín Informativo, no comparte
 necesariamente las opiniones y conclusiones vertidas en
 los artículos de esta sección, que corresponden exclusiva-
 mente a sus firmantes. Se autoriza la reproducción total o
 parcial de estos artículos, siempre que se cite a ANAVE
 como fuente y el nombre del autor.

                                                                                              ASOCIACIÓN DE NAVIEROS ESPAÑOLES // ABRIL 2021 // 23
También puede leer