Un reciente estudio de Futurenautics reveló que las compañías navieras aún no están protegidas de posibles ciberataques, incluso tras el ransomware que dejó a Maersk en una delicada situación el pasado verano. En Fieras de la Ingeniería examinaremos en este artículo el estado actual de la protección de buques frente a las amenazas cibernéticas y descubriremos qué se está haciendo tanto desde el punto de vista tecnológico, como desde el punto de vista normativo.
En los últimos años las compañías navieras dependen cada vez más de la interconectividad entre los sistemas de IT y OT (tecnología operativa) para automatizar las operaciones en los buques. Sin embargo, la cada vez mayor cantidad de sistemas conectados a internet ha incrementado el riesgo de ciberataques, cuyos efectos pueden ser devastadores.
Tal y como citábamos al principio, el pasado junio la compañía danesa de transporte marítimo Maersk fue una de las muchas empresas bloqueadas por el ataque del ransomware ‘Petya’. Las operaciones de transporte de contenedores, remolcadores y petroleros de la compañía quedaron paralizadas por el bloqueo de sus equipos informáticos, que supuestamente recortaron las ganancias de la compañía hasta un valor estimado en 300 millones de dólares.
Con desastres de esta magnitud que agolpan los titulares en los medios de comunicación, las compañías navieras están cada vez más preocupadas por la falta de seguridad efectiva en los buques. Un estudio realizado en 2017 por Futurenautics del que hacíamos referencia al inicio de este artículo, ha revelado que el 44% de los operadores de buques creen que las defensas de IT actuales de su empresa no son efectivas para repeler los ciberataques, y que el 39% experimentó un ciberataque en los últimos 12 meses.
“El buque totalmente conectado se está volviendo en algo habitual, así como el uso de sistemas IT y, más importante aún, el OT en los barcos que está empezando a tomar el control”, dice Peter Broadhurst, vicepresidente senior de seguridad y protección de Inmarsat Maritime. “En lo que no hemos sido muy buenos es en asegurar esos servicios y tratar eficazmente la seguridad cibernética como un complemento de lo que ya tenemos, en lugar de conceptualizarlo de manera independiente”.
Buques vulnerables
Muchos buques usan sistemas digitales que hacen el trabajo, pero no se han desarrollado teniendo en cuenta la seguridad y que, a menudo, son demasiados antiguos para mantenerse actualizados con la última tecnología antivirus. “La mentalidad del sector marítimo sigue estando en construir un barco que dura quince o veinte años, en el transcurso de los cuales no necesitas actualizarlo, cuando en realidad desde una perspectiva de IT indica todo lo contrario”, dice Broadhurst. “Tenemos que superar esa mentalidad para que cuando se adquiere sistemas IT y OT, se incluya el correcto servicio de seguridad desde el primer día”.
Otro problema es que los estándares actuales de seguridad cibernética asumen que el soporte es proporcionado por un sólido equipo de IT, pero las tripulaciones de los barcos a menudo carecen de una especializada experiencia en esta área. En octubre, una encuesta del proveedor de comunicaciones por satélite NSSLGLobal informó que el 84% de los encuestados del sector tenía poca o ninguna capacitación en ciberseguridad.
“La tripulación no es necesariamente consciente de los problemas que están presentando, ni de cómo mitigarlos, y no están entrenados en las mejores prácticas”, afirma Broadhurst.
Construyendo defensas
Parte del problema podría resolverse mediante el desarrollo de soluciones especializadas de seguridad cibernética para buques que minimicen los costes y las molestias para los operadores. Como parte de su servicio de banda ancha Fleet Express, Inmarsat lanzó Fleet Secure, el primer servicio completamente administrado de la industria marítima para identificar vulnerabilidades en la tecnología de a bordo y proteger a los barcos de los ciberataques generalizados.
El software Fleet Secure detecta ataques externos a través de la conectividad de banda ancha vía satélite de alta velocidad, al tiempo que protege a los buques del malware introducido a través de dispositivos de la tripulación conectados a redes de área local a bordo. “La mayoría de los problemas se generan a bordo del buque”, dice Broadhurst. “Es el miembro de la tripulación que coloca la memoria USB, va al sitio equivocado o hace clic en el enlace de un correo sospechoso”.
Según Broadhurst, otras ofertas de seguridad cibernética no brindan a los buques un sistema integrado de gestión de amenazas como Fleet Secure. Un equipo de administración se asegura de que el software se actualice y se conecte a un centro de seguridad fuera del ancho de banda del cliente, lo que evita la interrupción de las operaciones diarias del buque. “La mayoría de las veces, los operadores adquieren estos servicios y luego los desconectan porque les preocupa que les cueste una fortuna en tiempo de transmisión. (Con Fleet Secure) no tienen que preocuparse por eso”, dice Broadhurst.
Mantener a las tripulaciones informadas
La disposición de servicios monitorizados con actualizaciones frecuentes podría ayudar a defender a los barcos del malware. Sin embargo, capacitar al personal para que sea más consciente del problema y lograr que los operadores de buques se aseguren de cumplir con las mejores prácticas también será crucial. En octubre, la Liberian Registry lanzó un programa de formación vía telemática que permitirá a las tripulaciones de los barcos aprender más sobre la seguridad de la red, el robo de identidad, la gestión de riesgos y otras amenazas comunes a la seguridad marítima.
Las organizaciones políticas y marítimas también han presentado nueva documentación para ayudar a informar y proporcionar orientación a las compañías navieras. Recientemente, el gobierno del Reino Unido publicó un código integral de prácticas de seguridad cibernética para buques, mientras que la Organización Marítima Internacional (IMO) emitió un conjunto de pautas que, según afirma, ayudarán a “proteger a los buques de las ciberamenazas y vulnerabilidades actuales y emergentes”.
“Creo que el impacto más grande vendrá de la concienciación y del entrenamiento”, afirma Broadhurst. “Una vez que las personas no hacen clic en los enlaces incrustados, no abren correos electrónicos que obviamente no provienen de su jefe, interiorizan el riesgo de las redes sociales y protegen bien sus contraseña, hace que este tipo de comportamientos marque una diferencia significativa”.
Regulación en seguridad cibernética
Sin embargo, las leyes y regulaciones reales para la ciberseguridad serán clave para garantizar que los operadores de buques mejoren sus embarcaciones. Como explica Broadhurst, no es “sí” estas regulaciones se implementarán sino “cuándo”. “Cada país en el mundo está comenzando a adaptar una posición cibernética. El GDPR (Reglamento General de Protección de Datos) para la Unión Europea va a entrar en vigor en mayo de este año, mientras que los Estados Unidos van aplicar nuevas políticas próximamente. En Asia, ya son varios países los que están proponiendo su propia seguridad cibernética. Así que vamos a tener barcos que tengan que cumplir con ciertas regulaciones cibernéticas a medida que van de un puerto a otro”, afirma Broadhurst.
De hecho, la OMI ha adoptado una resolución que le indica a los armadores y gerentes que necesitan incorporar la gestión del riesgo cibernético en sus planes de seguridad de buques para el año 2021, o enfrentarse a la confiscación de sus buques.
Mientras tanto, la International Association of Classification Societies ha formado un nuevo Grupo de Trabajo Conjunto (JWG) para desarrollar una respuesta coordinada al ciberdelito entre las partes interesadas de la industria. Como miembro fundador del JWG, Inmarsat se ha encargado de desarrollar las prácticas industriales estandarizadas adaptadas al sector marítimo. La compañía fichó a Paul Dorey, presidente de la Internet of Things Security Foundation, para ayudar a proporcionar información sobre las mayores amenazas cibernéticas.
“Hemos conservado los servicios del profesor Paul Dorey para tratar de unir a las sociedades de clases y la industria con el fin de crear las pautas correctas, analizar el enfoque de riesgo adecuado que se debe tomar y crear ese conjunto de principios que se moverán hacia una serie de estándares”, dice Broadhurst. “Si la industria quiere regularlo, primero tenemos que llegar a ese nivel de estandarización”.
Los buques de transporte marítimo podrían estar actualmente muy por detrás de otras industrias con respecto a la seguridad cibernética, pero los recientes desarrollos han demostrado que las compañías están pensando en formas de adaptar los sistemas de seguridad para el sector marítimo, y que se está construyendo un camino hacia su regulación.
