Ciberseguridad en la Industria Marítima

La ciberseguridad en la industria marítima es un tema cada vez más importante debido a la rápida transformación digital del sector en los últimos años. La optimización de las operaciones es un punto clave para este sector, y el uso de soluciones digitales supone una gran ventaja. No obstante, este es un punto crítico, ya que la operatividad del barco depende ello.

A esto se suma la necesidad de protegerse frente a los ciberataques que , con cada vez más frecuencia, están empezando a sufrir las navieras y los puertos, y que pueden producir perdidas millonarias y la desaparición de aquellas empresas que no estén suficientemente preparadas.

Sistemas en los que Aplicar Ciberseguridad

Los sistemas instalados en los buques se pueden clasificar de dos formas: IT (sistemas de información estándar) y OT (sistemas de operación y control).

Los sistemas de IT suelen estar más preparados para la ciberseguridad, sobre todo en tierra. Un ataque a los sistemas de IT de una empresa suele tener un gran impacto Ciberseguridad Ordenadorfinanciero y reputacional que, generalmente, no suele afectar a los sistemas de operación de los barcos para empresas marítimas. Un ejemplo de un sistema IT en un buque sería el sistema de gestión de flota AMOS. Con este tipo de sistema, la tripulación puede obtener:  la lista de tripulantes,  manuales electrónicos, certificados, permisos de trabajos, planes de mantenimiento, gestión y solicitud de activos y piezas, gestión del estandar ISM, etc.

El diseño de los sistemas OT no suele incluir protecciones para la seguridad de la información, a menos que sean de última generación.  Un ciberataque a estos equipos en un buque puede poner en peligro la seguridad de la tripulación, de los pasajeros si los hubiera y de la embarcación. Actualmente, en los astilleros se trabaja para construir y operar buques para cumplir con ciertas guías de ciberseguridad de empresas de certificación.

Algunos de los sistemas OT de un barco podrían ser:  el sistema de navegación, sistema de control de máquinas, el sistema de alarmas centralizado del buque, equipos de carga y descarga, rampas, puertas y puertas estancas, equipos de comunicacion, etc.  Para saber que equipos deben protegerse frente a ataque cibernéticos, se han creado diversas guías de buenas prácticas. Una de las más reputadas el la guía de buenas prácticas emitida por BIMCO.  Esta guía describe los equipos a proteger y los mecanismos que se deberían poner en marcha para tener un Barco Ciberseguro.

Cualquier ataque a estos sistemas «sensibles» supone un grave riesgo, ya que, con la transformación digital, la mayoría de los sistemas dispone de conectividad para análisis,  actualizaciones remotas o diagnóstico. Estas conexiones remotas pueden utilizarse como puertas por las que los ciberdelincuentes pueden acceder estos sistemas.

OMI Toma Cartas en el Asunto

Para intentar establecer un entorno de trabajo seguro para los buques, OMI (Organismo Marítimo Internacional) ha publicado la resolución MSC.428(98) y la circular MSC FAL 1-circular 3.  En estas directrices se establece la obligación de todos los buques mercantes de incluir un plan de ciber resiliencia, como parte del manual ISM de cada buque. Este plan será revisado por las sociedades de clasificación y organismos referentes a partir de enero de 2021.

¿Cómo Podemos Proteger los Buques de nuestra Flota?

El primer paso para crear nuestro plan de ciberseguridad, consiste en la realización de un inventario de los equipos que pueden estar afectados por la seguridad de la información. Es importante que este inventario establezca la criticidad de los activos, que dependerá de la importancia operativa del sistema para el negocio de la empresa. Este listado de equipos puede sacarse de la guía de buenas prácticas de BIMCO.

No se puede realizar una gestión de los riesgos adecuada sin una evaluación previa de los activos de la oficina y de cada uno de los buques de la flota. Esta evaluación nos permita identificar los activos más importantes.

Una vez tenemos nuestro inventario de activos a proteger, es necesario realizar un análisis de riesgos de cada activo. Para eso es necesario hacer una auditoria que permita Astillero Ciberseguridadidentificar y clasificar los riesgos y su vulnerabilidad frente a amenazas. La conclusión del estudio de los riesgos y vulnerabilidades de cada activo, nos permite establecer las acciones necesarias para proteger los sistemas embarcados.

Esta evaluación puede tener aspectos comunes para todos los buques de una compañía, pero se debe particularizar para cada instalación. 

El siguiente paso sería establecer las medidas preventivas a tomar para minimizar su probabilidad e impacto. La gestión debe basarse en el aumento de la resiliencia, su respuesta y recuperación tras un incidente. Se debe aplicar el ciclo de mejora continua asegurando la revisión, evolución en el tiempo y la adaptación a la gestión del cambio constante de los sistemas a bordo.

Las amenazas de ciberseguridad no son  problemas puntuales o temporales que vayan a desaparecer. Estos problemas se irán incrementando y las compañías tienen que aprender a convivir con ellos y tenerlos bajo control.

Servicios de Ciberseguridad Naval

Las empresas S2 Grupo y Aeromarine han firmado un acuerdo para implementar servicios de ciberseguridad en el entorno marítimo. Estos servicios incluyen la realización de inventarios de equipos IT/OT,  consultorías para la evaluación de riesgos y la propuesta de medidas de protección y la vigilancia compartida, que permite a los clientes tener vigilados sus buques de forma activa.

Santiago Antón y Juan Antonio Mojón

Más información- contacta con nosotros