Buques ciber-resilientes, Cómo proteger a nuestra flota de ciber-ataques?
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
TRIBUNA PROFESIONAL
Buques ciber-resilientes,
¿Cómo proteger a nuestra flota
de ciber-ataques?
OSCAR NAVARRO - DIRECTOR DE CIBERSEGURIDAD INDUSTRIAL S2 GROUP
JUAN A. MOJÓN - DIRECTOR DIVISIÓN DE SOFTWARE Y NUEVAS TECNOLOGÍAS EN AEROMARINE
Actualmente nos encontramos ante un escenario de de la compañía después del 1 de enero de 2021. Las
alto riesgo. El aumento en la conectividad entre siste- exigencias normativas y la adecuada valoración del
mas, personas e incluso equipamiento industrial está riesgo existente y el posible impacto sobre el negocio
aumentando el perímetro de defensa e incrementan- son dos líneas que confluyen para impulsar al sector
do la posibilidad de sufrir un incidente de a tomar medidas.
ciberseguridad. En este artículo resumimos el contexto actual y ana-
La Resolución MSC.428 (98) de la OMI persigue que lizamos las opciones que las empresas navieras
todas las navieras desarrollen al menos un plan de tienen a su disposición a la hora de afrontar la ciber-
ciberseguridad y de respuesta frente a ciberamena- seguridad, comentando las iniciativas que se pueden
zas, como parte del Manual de Gestión de la implantar y algunos factores fundamentales para
Seguridad de cada buque, a más tardar en la primera garantizar el éxito de las inversiones en ciberseguri-
verificación anual del Documento de Cumplimiento dad.
CONTEXTO Pero las navieras no han sido las úni- gestión avanzados, poner en marcha pro-
Durante el año 2020, los ciberataques cas en sufrir este tipo de ciberdelincuen- yectos basados en big data, obtener da-
han aumentado notablemente en la in- cia, instalaciones portuarias, e incluso los tos de los sistemas IT /OT desde tierra e
dustria marítima. Atrás queda ya el servidores de la Organización Marítima incluso efectuar labores de manteni-
tiempo en el que se pensaba que un bu- Internacional (OMI) han tenido que lidiar miento en remoto.
que era una isla protegida de influencias con ciberataques de distinta índole. A esto debemos sumar los cambios
externas que pudieran condicionar la evolutivos de los sistemas más importan-
operación y el correcto funcionamiento ¿CUÁLES SON LAS CAUSAS DEL tes del buque, como los de navegación o
de los sistemas IT/ OT instalados a bordo. INCREMENTO DE LOS CIBERATAQUES? propulsión, que permiten el intercambio
Durante los últimos 4 años hemos Las razones principales del aumento de de información a través de redes TCP/IP,
visto como algunas de las navieras más los ciberataques son la evolución tecno- la configuración y control a través de apli-
grandes como MAERSK, COSCO o CMA lógica y la digitalización de los procesos caciones de software o el seguimiento de
CGM eran atacadas, produciendo, en al- de a bordo. su operación desde consolas externas
gunos casos, pérdidas millonarias que, Hoy en día se han abaratado las co- dentro y fuera del buque.
sin duda, hubieran llevado a la quiebra a municaciones buque / tierra, lo que per-
empresas más pequeñas del sector. mite a las empresas adoptar sistemas de LA RESOLUCIÓN MSC.428(98)
DE LA OMI
El aumento de los ciberataques ha des-
pertado a una parte sector. Muchas na-
vieras llevan tiempo aplicando guías de
buenas prácticas, creando y mejorando
procedimientos de seguridad de la infor-
mación y concienciando a sus tripulantes
sobre las amenazas, los riesgos y la co-
20 // ABRIL 2021 // ASOCIACIÓN DE NAVIEROS ESPAÑOLES
rrecta utilización de los equipos IT y OT
de los buques.
La OMI, por su parte, consciente de
la nueva realidad del sector, ha adoptado
la Resolución MSC.428 (98) que persigue
que todas las navieras desarrollen al me-
nos un plan de ciberseguridad y de res-
puesta frente a ciberamenazas, como
parte del Manual de Gestión de la Segu-
ridad (Código ISM) de cada buque.
La normativa ha entrado en vigor el 1
de enero de este año, y obliga a las em-
presas a auditar este nuevo plan de se-
guridad, a más tardar, en la primera ve-
rificación anual del Documento de Cum-
plimiento de la compañía después del 1
de enero de 2021.
PERO ¿ES ESTO SUFICIENTE PARA QUE
LOS BUQUES SEAN RESILIENTES?
Lamentablemente la respuesta es no. Se-
guir la recomendación de la OMI, como
hemos mencionado anteriormente, nos penden del buque, a la seguridad de las
permitirá establecer los procedimientos personas, el medio ambiente y los bienes
necesarios para conocer los activos que materiales (el propio buque y su carga).
tenemos que proteger, cuáles son sus La gran heterogeneidad del sector
vulnerabilidades y las amenazas a las que marítimo hace recomendable que estos
están expuestos, e instruir a los tripulan- análisis se efectúen de forma individua-
tes sobre cómo proceder en cada caso, lizada, requiriendo incluso la realización
propiciando de esta manera una cultura de pruebas de carácter técnico a bordo.
de ciberseguridad en la flota. En este tipo de análisis se identifican, tí-
Si lo que queremos es proteger nues- picamente, debilidades asociadas al ac-
tro negocio, deberemos implantar una ceso físico a los equipos o sistemas, erro-
serie de medidas de seguridad que se res de configuración, de gestión de acce-
definirán después de un análisis exhaus- sos, arquitecturas deficientes o prácticas
tivo de cada instalación. de mantenimiento u operación inseguras
(incluyendo el trabajo de empleados pro-
IMPLANTANDO MEDIDAS DE pios o terceros externos), gestión defi-
SEGURIDAD EN LOS BUQUES ciente de conexiones remotas o accesos
Uno de los primeros aspectos que se locales, etc.
debe tener en cuenta a la hora de traba- Estos análisis técnicos, incluyan o no
jar en la seguridad de un buque o una un test de intrusión, deben llevarse a
flota es que la seguridad es un proceso y cabo con las adecuadas garantías para
que, por tanto, constituye una tarea que Incidentes relacionados con la no causar daños en los sistemas evalua-
debe incorporarse a las actividades pro- ciberseguridad. Fuente: Centro Criptológico dos. Debe conseguirse un equilibrio entre
pias de cada compañía, para garantizar Nacional, CCN-CERT. la necesidad de realizar hacer y los ries-
su continuidad en el tiempo. gos implicados en su ejecución. Un buen
No existe ningún sistema del que tema complejo que depende para su plan de pruebas es fundamental para ga-
pueda decirse que es completamente se- operación de multitud de subsistemas, rantizar este equilibrio.
guro o que no pueda tener vulnerabili- algunos típicamente industriales (gene- Sin embargo, la adopción de medidas
dades no conocidas. Por otra parte, la ración de energía, propulsión, sistemas a posteriori siempre dificulta su aplica-
tecnología y la forma en la que se utiliza eléctricos, antiincendios, etc.) y otros es- ción y limita su eficacia, por lo que lo ideal
cambia. Por esta razón, lo primero es pecíficos como la navegación, la gestión es integrar la ciberseguridad en el ciclo
adaptar la organización a esta nueva re- del pasaje o carga, etc. de vida completo del buque, comen-
alidad: la ciberseguridad no es algo que El objetivo es identificar situaciones zando por la definición de especificacio-
se compra una vez y se tiene, sino un de riesgo que, de materializarse, podrían nes de ciberseguridad de aplicación du-
proceso continuo. afectar a los procesos de negocio que de- rante el proyecto, la construcción, la com-
A partir de aquí, la primera línea de
trabajo debe ser necesariamente llevar
a cabo un análisis que permita obtener
una imagen del estado de protección
del buque.
Para ello es preciso aunar conoci-
mientos especializados del sector marí-
timo con los conocimientos específicos
de ciberseguridad: un buque es un sis-
ASOCIACIÓN DE NAVIEROS ESPAÑOLES // ABRIL 2021 // 21
TRIBUNA PROFESIONAL
39% 37% 27% 21% 21% 20% 17% 15% 13% 11%
Ciber Interrupción Cambios Catástrofes Evolución Incendio o Cambio Pérdida de Nuevas Evolución
incidentes comercial legislativos y naturales del mercado explosión climático reputación tecnologías macroeconómica
normativos
Principales riesgos a los que se enfrenta la industria internacional. Fuente: Allianz Risk Barometer 2020
pra de equipos, la contratación de servi- • El modelo elegido para la atención de Por último, y en línea con lo indicado
cios, etc. las alertas de ciberseguridad en fun- más arriba, es imprescindible integrar
A posteriori, en la fase de proyecto y ción de las opciones de comunicación: las evaluaciones periódicas de ciberse-
construcción, hay que garantizar que las online, en tiempo real u offline, guridad en los procesos de auditoría
especificaciones de ciberseguridad defi- cuando la conectividad lo permita. para garantizar que los controles implan-
nidas son efectivamente implantadas, • La propia definición de las alertas, que tados, tanto técnicos como procedimen-
pudiendo incorporarse análisis específi- debe permitir la toma de decisiones tales, son operativos, adecuados a las
cos como parte de las pruebas del bu- por parte de la tripulación. Hay que amenazas existentes y se aplican correc-
que. tener en cuenta que este personal no tamente.
Otro elemento fundamental es la tiene, por lo general, conocimientos
monitorización de actividad anómala avanzados de ciberseguridad y por lo EL COSTE DE LA NO-SEGURIDAD
tanto en el uso de los equipos de a bordo tanto la caracterización de la amenaza El proceso de análisis e implementación
como en las redes de comunicaciones in- y el posible impacto deben definirse de medidas descrito anteriormente tiene
ternas y externas. El diseño, despliegue claramente. Lo mismo se aplica a la un coste, debe incluir toda la estructura
y operación de estos sistemas de moni- comunicación con el personal que IT / OT de cada buque, y ser revisado
torización de la ciberseguridad en bu- pueda apoyar desde tierra y que, ne- constantemente para que sea efectivo,
ques tienen aspectos comunes con otros cesariamente, tendrá que comuni- reduzca el riesgo de ataque a lo largo de
sectores. carse con la tripulación. toda la vida operativa del buque y mini-
Aun así, deben adaptarse a los aspec- Este tipo de aproximación basada en mice las consecuencias en caso de pro-
tos específicos de este entorno a la hora el conocimiento específico de los siste- ducirse.
de afrontar asuntos como: mas que se quieren proteger permite ga- No obstante, para analizar la rentabi-
• La elección de los sistemas a monito- rantizar el éxito de las inversiones, evi- lidad o no de tener una flota resiliente,
rizar: perímetros, redes, equipos, etc. tando situaciones que se están produ- debemos estudiar cuáles son las conse-
• La posibilidad de instalar equipa- ciendo en otros sectores: cada vez es más cuencias económicas para nuestro nego-
miento de ciberseguridad a bordo, te- habitual encontrar casos en los que un cio en caso de que se produzca un ataque
niendo en cuenta limitaciones de es- planteamiento basado en el despliegue que afecte a nuestra actividad.
pacio, electrónica de red, etc. No es de equipamiento estándar no alcanza los Actualmente nos encontramos ante
raro tener que hacer modificaciones objetivos deseados. un escenario de alto riesgo. El incre-
en la infraestructura para permitir es- En este sentido, la puesta en marcha mento en la conectividad entre sistemas,
tos despliegues. de proyectos piloto permite adquirir ex- personas e incluso equipamiento indus-
• La definición de un conjunto acotado periencia en el proceso, poner a prueba trial está acrecentando el perímetro de
de situaciones de riesgo potencial, es- la tecnología y obtener información para defensa, aumentando la posibilidad de
pecíficas, que tengan sentido en el el diseño de procesos de despliegue de sufrir un incidente de ciberseguridad.
contexto concreto del buque monito- tecnologías de monitorización a una es- Además, la creciente interrelación entre
rizado. cala mayor. sectores, negocios y cadenas de valor ha-
cen que eventos que a priori tienen un
impacto limitado, puedan propagarse y
acabar impactando sobre las operaciones
de una gran compañía.
Esta situación se refleja perfecta-
mente en las cifras de incidentes gestio-
nados por el Centro Criptológico Nacio-
nal, CCN-CERT. Según se recoge en su In-
22 // ABRIL 2021 // ASOCIACIÓN DE NAVIEROS ESPAÑOLESforme Anual de Amenazas y Tendencias • ¿Qué pierde mi empresa por cada día CONCLUSIONES
2020(1), en 2019, el CCN-CERT gestionó de inoperatividad total de uno de mis En definitiva, nos encontramos ante un
42.997 ciberincidentes, con un aumento buques? ¿Y de toda la flota? nuevo escenario en el que el riesgo cre-
superior al 11 % con respecto al año an- • ¿Cuáles son los riesgos personales a ciente de sufrir un ciberataque y su im-
terior, de los cuales casi un 7,5 % fueron los que se enfrentan las tripulaciones pacto potencial en el negocio no puede
de peligrosidad muy alta o crítica. en el caso de que un ciberataque de ser ignorado. Tanto la realidad constatada
El sector empresarial percibe el riesgo lugar a un accidente en uno de mis en los ataques sufridos por empresas na-
creciente asociado a los ciberincidentes, buques? vieras y otros organismos del sector,
que ha crecido en los últimos años hasta • ¿Cómo afectaría la perdida de siste- como los avances normativos comenta-
convertirse en la principal preocupación. mas IT como software de carga y des- dos anteriormente, fijan el horizonte para
Así lo identifica Allianz en su Informe carga, plataformas de reservas, siste- todos los participantes del sector.
Anual(2) sobre los principales riesgos a mas de control de viajes o ERPs en el Las medidas a nuestro alcance son de
los que se enfrenta la industria interna- día a día de la compañía? distinta índole, y van desde la adopción
cional, que sitúa los problemas derivados • ¿En el caso de que suframos un ata- de soluciones tecnológicas hasta el au-
de ciberincidentes como el principal que, cual es la inversión necesaria mento de las habilidades de las tripula-
riesgo a gestionar. para volver a la normalidad? ciones.
En lo relacionado específicamente con En nuestra opinión, las medidas de la En cualquier caso, la ciberseguridad
el sector marítimo, todo el mundo re- seguridad de la información de cada uno debe afrontarse como un elemento más
cuerda el ciberataque sufrido en 2017 de los centros de trabajo de una empresa de las operaciones, integrándola en los
por la naviera Maersk, que obligo a la em- deben formar parte del plan estratégico, procesos de negocio e implementando
presa a paralizar sus operaciones durante de forma que se analice qué procedimien- los cambios organizativos necesarios para
semanas y que tuvo un coste económico tos deben de modificarse y qué medidas garantizar la rentabilidad de las inversio-
de entre 250 y 300 millones de dólares. se han de adoptar a corto, medio y largo nes y su efectividad en el tiempo.
Pero este incidente no es un caso ais- plazo para garantizar la estabilidad y la Por último, el coste de la ciberseguri-
lado. En 2018, la naviera COSCO sufrió rentabilidad de la actividad. Por otra dad debe evaluarse contra el impacto eco-
un ataque que afectó a sus operaciones parte, no se debe olvidar que, en este nómico potencial de un solo incidente, re-
en Estados Unidos; en abril de 2020, la contexto de alto riesgo, la ciberseguridad alizando los análisis de riesgos necesarios
naviera MSC vio comprometida su sede puede convertirse en un factor competi- que permitan poner en contexto estas in-
de Ginebra; en septiembre de 2020 CMA tivo fundamental que puede decidir qué versiones y comparándolas con el coste
CGM anunció que un ciberataque había compañías sobreviven y cuáles no. de la no-seguridad.
afectado a sus servidores periféricos; e
incluso la infraestructura IT de OMI ha
sido objeto de un ataque informático el
pasado año.
CIBERATAQUE A.P. MOLLER MAERKS
Los casos de ciberataques crecieron
exponencialmente en 2020 en el sector
(2017)
y, aunque la mayoría de ellos no eran di-
1
rigidos, es decir, eran ataques lanzados Mecanismo: ataque a la cadena de suministro. El malware (Not
para ‘pescar’ a cualquier empresa, tam- Petya) se introdujo en los sistemas de la compañía por medio de un
bién se han detectado ataques dirigidos, software de gestión suministrado por un proveedor especializado.
que tienen como fin deteriorar la imagen,
2
robar información confidencial o causar El ataque afectó a los sistemas de sus terminales portuarias en todo
daño a una empresa concreta. el mundo.
Para evaluar si la implantación de me-
didas de ciberseguridad en una naviera
3
será rentable, tendríamos que contestar Se produjo un impacto generalizado en los sistemas. Todas las
a preguntas como: actividades de sus terminales quedaron paralizadas.
• ¿A cuánto ascendería la pérdida eco-
nómica en el caso que se produzca
4
un robo de información confidencial El impacto económico se estimó entre 250 y 300millones de
de la empresa? dólares.
(1) El informe completo Amenazas y Tendencias 2020
5
del Centro Criptológico Nacional puede
Acciones de recuperación: Volver a instalar todos los servidores y
estaciones de trabajo de la compañía: unos 40.000 ordenadores y
descargarse en este enlace. 4.000 servidores.
(2) El Informe Anual de Allianz puede descargarse en
este enlace.
ANAVE, como editora del Boletín Informativo, no comparte
necesariamente las opiniones y conclusiones vertidas en
los artículos de esta sección, que corresponden exclusiva-
mente a sus firmantes. Se autoriza la reproducción total o
parcial de estos artículos, siempre que se cite a ANAVE
como fuente y el nombre del autor.
ASOCIACIÓN DE NAVIEROS ESPAÑOLES // ABRIL 2021 // 23También puede leer
