La alerta de seguridad marina de la Guardia Costera de los Estados Unidos 06-19 (USCG MSA 06-19) describe un incidente de febrero de 2019 a bordo de un barco comercial de gran calado que visitó el puerto de Nueva York / Nueva Jersey después de experimentar un incidente cibernético significativo que impactó su a bordo. red.
La alerta de seguridad declaró en parte:
“Un equipo interinstitucional de expertos cibernéticos, dirigido por la Guardia Costera, respondió y realizó un análisis de la red de la embarcación y los sistemas de control esenciales. El equipo concluyó que aunque el malware degradaba significativamente la funcionalidad del sistema informático a bordo, los sistemas esenciales de control de embarcaciones no se habían visto afectados. Sin embargo, la respuesta entre agencias encontró que el barco estaba operando sin medidas efectivas de ciberseguridad, exponiendo los sistemas críticos de control del barco a vulnerabilidades significativas ".
Este incidente proporciona una valiosa orientación sobre cómo debemos evaluar la disponibilidad de seguridad de terminales, embarcaciones y la infraestructura asociada. También destaca la importancia de cómo se deben desarrollar y llevar a cabo simulacros de seguridad y capacitación de la tripulación. Una de las claves del USCG MSA 06-19 es que la Guardia Costera alienta firmemente a todos los propietarios y operadores de embarcaciones e instalaciones a realizar evaluaciones de ciberseguridad para comprender mejor el alcance de sus vulnerabilidades cibernéticas. Esto debe ser una revisión específica de la embarcación y la instalación, ya que cada activo puede tener exposiciones únicas.
La buena noticia es que hay muy buenos activos gratuitos disponibles para ayudar a realizar esta revisión. El sitio web del Departamento de Seguridad Nacional de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) proporciona recursos de ciberseguridad y mejores prácticas para empresas https://www.us-cert.gov/resources . Un recurso que debe estudiarse es la Revisión de Resistencia Cibernética (CRR). La autoevaluación CCR proporciona una medida de las capacidades de resiliencia cibernética de una organización y proporciona una útil Guía del usuario que brinda información sobre cómo realizar autoevaluaciones, evaluar las capacidades de resiliencia cibernética y brindar orientación para actividades de seguimiento.
La Autoevaluación de CRR también permite a una organización evaluar sus capacidades en relación con el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST), y se incluye un documento de cruce que mapea el CRR al CSF de NIST como un componente del Kit de autoevaluación de CRR.
Una autoevaluación de seguridad cibernética es el comienzo, pero es fundamental que se incorporen capacitación y simulacros para ayudar a mantener y mejorar la seguridad de los puertos y embarcaciones. La capacitación en ciberseguridad está disponible en el sitio web de la Administración de Pequeñas Empresas de EE. UU. (Https://www.sba.gov/course/cybersecurity-small-businesses/).
Todos los empleados tienen un papel en la ciberseguridad y el ciber es un componente crítico de la seguridad física general. Las tarjetas de identificación y las tarjetas magnéticas se usan regularmente para acceder a las instalaciones y estos son solo algunos de los muchos sistemas operativos que pueden verse comprometidos en un incidente cibernético. La capacitación debe comenzar con nuevas contrataciones e incluir a todos los empleados. Al igual que con cualquier plan de negocios, es fundamental que la alta dirección se invierta en el éxito de la seguridad operativa. También es importante solicitar y responder a la entrada de rango y archivo. Los mejores procedimientos son aquellos que se desarrollan con una participación y comunicación sólidas, además de estar sujetos a revisiones y evaluaciones periódicas. Un procedimiento no solo debe verse bien en papel; También debe ser funcional y abordar una necesidad real.
También es importante incluir socios comerciales en simulacros de seguridad para ayudar a desarrollar y fortalecer las relaciones y establecer una base sólida de capacitación. Tener comentarios de fuera de una organización es vital para desarrollar y mantener una postura de seguridad sólida. Un plan de respuesta adecuado en caso de un incidente real es crítico, y es importante realizar una capacitación en condiciones del mundo real. Esto significa no solo depender de sistemas basados en TI para responder a un incidente de seguridad, sino también utilizar sistemas de respaldo manuales. También significa que las operaciones deben evaluarse y hacerse planes para reducir las operaciones en caso de que los sistemas automatizados no estén disponibles o no se pueda confiar en ellos.
Como se indicó en nuestra Revisión de seguridad y envío de Allianz Global Corporate & Specialty 2019, la tecnología ahora está muy extendida en la industria marítima y es fundamental para el funcionamiento de barcos, puertos y logística. Se espera que el uso creciente de la tecnología conectada en el sector marítimo sea positivo tanto para la seguridad como para las reclamaciones. Las herramientas de navegación electrónica, las comunicaciones de barco a tierra y el mayor uso de sensores tienen el potencial de mejorar la navegación y ayudar a evitar la conexión a tierra y las colisiones.
En 2017, la Organización Marítima Internacional (OMI) adoptó su resolución de Gestión de riesgos cibernéticos marítimos en sistemas de gestión de seguridad, que requiere que los propietarios y gerentes de buques incorporen la gestión de riesgos cibernéticos en la seguridad de los buques para 2021. Sin embargo, esta es una amenaza actual que debe ser Actuamos ahora, no pospongamos hasta que las regulaciones entren en vigencia. Si bien las nuevas tecnologías y el Internet de las cosas han introducido muchas nuevas exposiciones y amenazas, en muchos sentidos la capacitación en seguridad actual refleja las mismas metas y objetivos que teníamos al navegar en aguas de piratería en la década de 1980; presente un objetivo difícil y tenga un plan que pueda sobrevivir a un golpe en la boca.