Barco lento de la industria marítima hacia la seguridad cibernética

© vectorfusionart / AdobeStock

Puertos que recuperan el tiempo perdido

A pesar del papel crítico que desempeña el sistema de transporte marítimo en la salud económica de los Estados Unidos, ya pesar de su reciente adopción de todo lo automatizado (grúas, vehículos, vigilancia e incluso buques), el sector ha tardado en adaptarse a la necesidad de proteger sus sistemas y activos digitales.

Después del 11/9, las preocupaciones de seguridad sobre las fronteras nacionales, el espacio aéreo y la infraestructura, incluidos los puertos, se movieron por un breve momento antes de otras preocupaciones, como la búsqueda de víctimas y perpetradores, la limpieza del sitio y la ciudad, y el debate sobre las necesidades de seguridad nacional frente a los derechos ciudadanos de larga data, empujó la infraestructura a un segundo plano.

Aún así, los críticos mantuvieron un ritmo constante de preocupación por la seguridad de los puertos de la nación. En los años siguientes, a medida que crecía la automatización de puertos, la seguridad física se mejoró y se redujo, gracias en parte al programa de Subvención de Seguridad Portuaria del gobierno.

Sobre todo hablar de seguridad cibernética recorrió por debajo del radar hasta la publicación de dos informes condenatorios que tomaron los puertos del país, la Guardia Costera de los EE. UU. Y el Departamento de Seguridad Interna a la tarea de abordar de manera no agresiva o adecuada las vulnerabilidades cibernéticas del puerto.

Publicado en 2013, la "Brecha de Infraestructura Crítica: Instalaciones Portuarias de los EE. UU. Y vulnerabilidades cibernéticas" de la Institución Brookings aún se considera válida en la actualidad. Publicado en 2014 por la Oficina de Contabilidad General de los EE. UU., "Protección de Infraestructura Crítica Marítima" (GAO-14-459), dirigió su crítica principalmente a la Guardia Costera de los EE. UU., Que dijo no había realizado una evaluación de riesgos que "abordara completamente las amenazas cibernéticas, vulnerabilidades y consecuencias ". La GAO también se quejó de que los planes de seguridad marítima exigidos por la ley y la reglamentación en general tampoco identificaban ni abordaban esos mismos problemas.

"... Dos si por mar"
Tal vez impulsado por esos dos informes, la preocupación por la laxitud de la seguridad cibernética del puerto estalló en 2015, cuando la alarma sonó fuerte una tras otra por una serie de organizaciones de la industria, agencias gubernamentales aquí y en el extranjero, academia, compañías de seguros, grupos de estándares, think tanks e investigadores. Casi simultáneos, juntos lanzaron una ola de informes, seminarios, libros blancos, cartillas, planes estratégicos, directivas, resoluciones e incluso algunos llamamientos legislativos para evaluar e intercambiar información, todos abordando lo que ellos consideraban una preocupación profundamente preocupante, preocupación y acciones que abordan las vulnerabilidades de seguridad cibernética de los puertos de la nación.

Particularmente alarmados fueron los participantes en un Simposio de Seguridad Cibernética Marítima organizado en 2015 por el Centro de Comando, Control e Interoperabilidad para Análisis Avanzado de Datos (CCICADA), donde los oradores advirtieron que "los ataques cibernéticos marítimos ocurren en un mundo de 'Rápido y muerto' y que "los ataques cibernéticos en puertos y barcos podrían ser catastróficos".

Los ejecutivos marítimos también fueron criticados por no haber tomado la iniciativa al hacer de la ciberseguridad una prioridad, mientras que la descuidada seguridad cibernética de los empleados en primera línea los ha catalogado como el eslabón más débil.

Donde sea que miraras, independientemente de la fuente, el mensaje era alto y claro: haz algo con respecto a la seguridad cibernética o enfrenta serias consecuencias comerciales. ¡Incluso la regulación!

Para el año 2016, la atención se centró en la educación, especialmente en la tripulación, y concientizó que la ciberseguridad era un peligro real y acuciante y que era necesario un cambio cultural, colocando la ciberseguridad en el mismo plano que la gestión de seguridad.

Ahora, dos tercios del 2018, gran parte de los 2,5 años anteriores también se han dedicado a publicar guías y listas de seguridad cibernéticas, fortalecer las directivas regulatorias, completar planes de seguridad de cinco años, realizar evaluaciones de riesgo cibernético, desplegar esfuerzos de mitigación y construir relaciones en la comunidad portuaria remota, altamente compleja y competitiva a través de la participación, en parte, en los Comités de Seguridad Marítima del Área de la USCG (AMSC) y sus subcomités cibernéticos, que se pueden encontrar en la mayoría de las áreas portuarias clave. Los ASMC están compuestos por representantes de USCG, agencias gubernamentales, organismos encargados de hacer cumplir la ley, embarcadores, autoridades portuarias, operadores de terminales, embarcaciones portuarias e incluso algunos clientes, todos trabajando para identificar y abordar problemas de seguridad, así como para compartir información y crear mejores prácticas, en sus áreas de operación.
Algunos de los cambios que veremos este año en el siguiente es un énfasis mucho mayor en la gestión del riesgo cibernético, la resiliencia y la colaboración, ya que la comunidad de seguridad cibernética intenta defenderse de la complacencia (incluso los mejores esfuerzos de seguridad recibirán un golpe en algún momento) logrando que las compañías marítimas y los puertos creen planes de contingencia que les permitan recuperarse lo más fácilmente posible de un ataque exitoso, y alentarlos a trabajar en colaboración para construir mejores prácticas y compartir información sobre intentos y ciberataques exitosos.