Combatir las amenazas de la seguridad cibernética marítima

Vulnerable al pirateo informático Lo que debería preocupar a muchos en la industria marítima es que los principales sistemas de navegación de buques, incluidos GPS, AIS y ECDIS, reciben datos por transmisión de radiofrecuencia en el mar y, como tales, son extremadamente vulnerables al pirateo informático.

El Poder Ejecutivo de EE. UU. Ha declarado que la amenaza cibernética es uno de los desafíos de seguridad económica y nacional más graves que enfrentamos como nación, y que la prosperidad económica de Estados Unidos en el siglo XXI dependerá de una ciberseguridad efectiva. Antes de que la industria marítima emita la señal de peligro, necesita monitorear otras industrias y ramas del gobierno y tomar medidas preventivas proactivas. No hay mejor lugar para preparar a los futuros y actuales marineros para estos desafíos que en los simuladores marítimos.

La seguridad cibernética
La ciberseguridad se refiere a las tecnologías y procesos diseñados para proteger computadoras, redes y datos del acceso no autorizado, vulnerabilidades y ataques entregados a través de Internet por ciberdelincuentes. Con el advenimiento de las computadoras, los dispositivos de red y las telecomunicaciones que hacen que el transporte de datos a través de la frecuencia de radio sea un lugar común, se ha abierto un nuevo mundo de vulnerabilidades a los piratas informáticos para interceptar, robar, destruir o alterar datos. Esto ha llevado a una nueva área de amenazas marítimas potenciales que van mucho más allá de la piratería física como el Maersk Alabama. Con la reciente suplantación GPS de un yate por estudiantes de la Universidad de Texas, el sector marítimo ha entrado en una nueva arena que debe abordarse como la seguridad cibernética marítima.
Estados Unidos, como líder mundial y principal objetivo del terrorismo a principios de 2013, a través del Poder Ejecutivo firmó una orden ejecutiva (EO) 13636 para mejorar la seguridad cibernética (CI) y la Directiva de política presidencial 21 - Infraestructura crítica Seguridad y resiliencia (PPD) -21). Estableció un enfoque All Hazards para la seguridad y la resiliencia de la infraestructura crítica. La EO de seguridad cibernética establece un requisito para que las agencias federales colaboren con sus respectivos sectores industriales para identificar la Infraestructura crítica que puede verse afectada por la actividad cibernética.
Esta incursión inicial del gobierno federal ha llevado a otros departamentos y agencias a dar los primeros pasos para abordar los crecientes problemas de las ciberamenazas.
El Departamento de Transporte, Administración Marítima de los EE. UU. (MARAD) es una de esas organizaciones proactivas que recientemente se asoció con el Programa Cooperativo de Operaciones Navieras (SOCP) para desarrollar cooperativamente Capacitación basada en computadora (CBT) sobre amenazas cibernéticas en el entorno marítimo. . Esta es la primera vez que la comunidad marítima de los EE. UU. Reconoce y toma medidas para ayudar a los propietarios y operadores de embarcaciones a capacitar a los marinos estadounidenses sobre las mejores prácticas para reducir los riesgos y la vulnerabilidad asociados con los sistemas y dispositivos de información.
El entrenamiento cibernético recientemente desarrollado proporcionará a los navegantes una visión general completa de la gama de amenazas a las que están sujetos los sistemas de información y los dispositivos, y las prácticas recomendadas para minimizar esas vulnerabilidades. Las mejores prácticas que se abordan en la capacitación incluyen una amplia gama de temas, desde mantener la seguridad de las redes hasta el uso personal de las computadoras del lugar de trabajo, buenas prácticas de contraseñas y problemas relacionados con el uso de las redes sociales como Facebook y Twitter. Esta capacitación también aborda problemas para los navegantes que trabajan a bordo de embarcaciones, como las políticas de inicio de sesión específicas y las reglas que rodean el trabajo con información confidencial.
El Departamento de Seguridad Nacional (DHS), a través de la Guardia Costera de los Estados Unidos (USCG), también ha desafiado estas crecientes amenazas y ha determinado que los puertos, terminales, refinerías, buques e industrias de apoyo estadounidenses son vitales para la seguridad de la infraestructura del país. , seguridad y nuestra economía
En resumen, existen tantas vías potenciales para el daño cibernético en el sector marítimo como los sistemas cibernéticos. Si bien solo algunos escenarios de ataque cibernético en el sector marítimo podrían conducir a un Incidente de seguridad en el transporte, debemos identificar y priorizar esos riesgos, tomar en serio esta amenaza y trabajar juntos para mejorar las defensas.

Seguridad y supervivencia en el mar
¿El próximo partido de ajedrez pirata tendrá lugar en alta mar con buques petroleros, portacontenedores y otros buques especializados que transportan aproximadamente el 90 por ciento de los productos transportados por todo el mundo?
Muchos dispositivos están conectados en línea, lo que los hace más vulnerables al ataque. A medida que las industrias de la energía marítima y extraterritorial conectan los barcos y las plataformas petrolíferas a las redes informáticas, exponen las debilidades considerables que los hackers pueden explotar. Por ejemplo, se descubrió que piratas frente a las costas de Somalia y otras áreas clave de piratería eligen a mano sus objetivos de envío rastreando en línea la ruta de navegación del buque a través de AIS, ECDIS y radar. En la industria petrolera, los hackers han cometido muchos disturbios incluyendo la inclinación de una plataforma petrolera, lo que provocó su cierre, así como la penetración de los sistemas informáticos en red en otra plataforma con malware que llevó al personal capacitado casi tres semanas para despejar. Otros eventos han incluido el contrabando de piratas informáticos en sistemas en red para poder localizar contenedores con contrabando de drogas y confiscar los medicamentos sin ser detectados. Incluso llegaron a intentar borrar los datos del envío. Si bien los datos sobre el alcance de la exposición de la industria marítima al delito cibernético son difíciles de obtener, un estudio del sector energético relacionado por parte de las compañías de seguros indica recientemente que gran parte de este podría ser asegurable.
Como la industria de la energía y el petróleo ha sido atacada durante algún tiempo, hay estadísticas disponibles que indican que esto ya tiene un impacto de mil millones de dólares en la economía mundial. En la industria marítima, el número de incidentes conocidos parece ser bajo debido a que las empresas no están conscientes de los ciberataques o por el deseo de evitar que esas noticias lleguen a la prensa con el posible impacto comercial perjudicial para la empresa.
Hay pocos informes documentados de que los piratas informáticos hayan comprometido la ciberseguridad marítima. Pero los científicos indican que han determinado áreas en tres sistemas clave que los navegantes usan para navegar: GPS, Sistema de identificación automática (AIS) y el sistema para ver gráficos náuticos digitales Sistema de información y visualización de cartas electrónicas (ECDIS).
Cada vez más, el sector de energía y dominio marítimo ha recurrido a la tecnología para mejorar la producción, el costo y reducir los plazos de entrega. Estos cambios tecnológicos han abierto la puerta a las amenazas y vulnerabilidades emergentes a medida que los equipos se vuelven accesibles para las entidades externas.
A medida que las embarcaciones continúan aumentando de tamaño, la tripulación continúa disminuyendo, con el cambio primordial en las operaciones de los buques, los armadores y los astilleros han añadido cada vez más sistemas de automatización y monitoreo remoto a los buques. Esto ha llevado a un dilema, ya que más sistemas y dispositivos en los barcos pueden mejorar la productividad y la seguridad por un lado, pero por el otro presenta más sistemas para que los piratas informáticos se comprometan y controlen. Es bastante conocido que una proporción significativa de los dispositivos informáticos y de red están conectados a Internet utilizando puertos serie con poca seguridad. Los dispositivos van desde elementos de tráfico simples como la luz de frenada, que se ha comprobado que pueden ser controlados remotamente por piratas informáticos, hasta elementos complejos para la industria del petróleo y el gas que monitorean y controlan las plataformas petrolíferas.
Se ha informado que algunos barcos apagan sus sistemas AIS cuando pasan por aguas donde se sabe que operan piratas, o falsifican los datos para que parezca que están en otro lugar. Algunas compañías navieras ahora toman los riesgos cibernéticos como verdaderas amenazas creíbles y toman las medidas necesarias para reforzar la seguridad de las redes y las telecomunicaciones. Estudios recientes de puertos estadounidenses han determinado que muy pocos han llevado a cabo evaluaciones cibernéticas e incluso menos han desarrollado un plan de respuesta. Se ha asignado muy poco dinero federal a la industria marítima para proyectos de ciberseguridad o capacitación.
Esta falta de preparación de seguridad cibernética por parte de los puertos de EE. UU. Realmente se traslada a las compañías navieras donde se ha descubierto que la mayoría tiene importantes problemas de seguridad. Sin embargo, lo bueno es que la industria marítima ha tenido un compromiso limitado de sus sistemas informáticos y de red. Esto puede estar relacionado con el hecho de que no han sido una alta prioridad y no han estado en la pantalla de radar de los piratas informáticos.
Lo que debería preocupar a muchos en la industria marítima es que los principales sistemas de navegación de buques, incluidos GPS, AIS y ECDIS, reciben datos por transmisión de radiofrecuencia en el mar y, como tales, son extremadamente vulnerables a la piratería. AIS y ECDIS ahora son obligatorios en buques comerciales y de pasajeros más grandes según las recientes Enmiendas de Manila de la OMI de 2010. Este nuevo requisito ha aumentado la necesidad de que las compañías navieras incluyan medidas de seguridad y protocolos para proteger estos dispositivos de la intrusión de fuentes externas.
También se sabe desde hace tiempo que los sistemas ECDIS y las descargas de actualizaciones de software requeridas pueden verse comprometidas por hackers con graves repercusiones. Esto salió a la luz el año pasado con la toma de tierra de un buque de la armada de los EE. UU. En el Océano Pacífico, donde se informó que las cartas del ECDIS eran incorrectas y pudieron haber tenido un impacto en el accidente. Un descubrimiento relacionado ha sido el abuso generalizado de AIS por parte del sector marítimo. Muchos barcos transmiten deliberadamente datos incorrectos de posición AIS atribuibles a razones de seguridad en ciertas partes del mundo, incluso frente a la costa de Somalia, en el Caribe los contrabandistas lo hacen para evitar el rastreo y arresto por parte de las fuerzas del orden e incluso los pescadores lo hacen para obtener ganancias áreas que no están permitidas De suma importancia es la necesidad de que la comunidad marítima comprenda los principios de los sistemas de información y seguridad cibernética y cómo se aplica a los equipos a bordo antes de que puedan implementar cambios y llevar a cabo capacitación para que el personal sea consciente y pueda actuar en consecuencia. Varias áreas que la industria marítima necesitará acelerar son las siguientes:


SPOOFING GPS
Hay muchas historias recientes que presagian la suplantación GPS, incluido el proyecto de junio de 2013 en la Universidad de Texas, donde emplearon la suplantación GPS mientras pirateaban y manipulaban el software para desorientar el sistema de navegación de un yate de lujo. Tras ocultar el dispositivo y transmitir la señal falsa, el yate cambió de rumbo abruptamente cuando recibió la señal falsa. Aunque esto ocurrió porque un sistema vinculado al ECDIS manejaba la dirección y no un timonel, todavía sucedió. Esto abrió un nuevo dilema para el mundo de la navegación sobre cómo verificar la precisión y corrección de las señales de GPS.


eLORAN
El GPS tiene vulnerabilidades que presentan riesgos potenciales. En 2008, en respuesta a la dirección presidencial, el gobierno de EE. UU. Anunció que establecería un sistema terrestre resistente a nivel nacional para aumentar el GPS, y que se llamaría eLoran. Este nuevo sistema construiría y modernizaría el viejo sistema Loran-C, a la vez que sería menos costoso de operar y sería mucho más preciso. EE. UU. No está solo en reconocer las vulnerabilidades de GPS; muchos otros países, incluida la mayoría de Europa, India, Rusia y China, han instalado o instalarán sistemas eLoran. Lamentablemente, el gobierno de los EE. UU. A través del Departamento de Seguridad Nacional había planeado desmantelar los restos de la antigua infraestructura de LORAN-C, aunque es factible usarla para el nuevo eLoran. La buena noticia es que actualmente hay planes para resucitar y mejorar el antiguo sistema y convertirlo en un sistema electrónico terrestre de última generación que complementará y respaldará el GPS.


eATON
Recientemente se informó que se han agregado ayudas importantes para la navegación en el abordaje y dentro del puerto de San Francisco en el sistema electrónico de ayuda a la navegación (eATON). San Francisco se ha convertido en el puerto Beta de EE. UU. Ya que es el primero en comenzar a usar este sistema único.
Este no es un proceso costoso de implementar ya que no requiere que la Guardia Costera de los EE. UU. Instale transmisores electrónicos en las ayudas a la navegación. Debido a que las ayudas a la navegación se encuentran en posiciones fijas en el océano o en tierra o instalaciones como el puente Golden Gate, tienen su propia identificación electrónica asignada a ellas que se agrega al Sistema de identificación automática (AIS). Con el puente Golden Gate, el tramo central está marcado por un RACON, y las torres del puente están marcadas por marcadores digitales eATON.
Este sistema en el área de San Francisco también se usa junto con los puntos de notificación en el Esquema de separación de tráfico (TSS), incluida la boya "SF" de San Francisco que sirve como punto de embarque para los Bar Pilots.
El USCG informó que los eATONs no reemplazarán las ayudas de navegación físicas reales, sino que complementarán la tecnología existente y agregarán una capa virtual de ayudas a la navegación en áreas que anteriormente eran físicamente imposibles de hacer o poco prácticas en la naturaleza. Esto ahora permite que USCG coloque un eATON en el TSS donde era demasiado profundo antes de hacerlo y marque una torre de puente que prácticamente era más necesaria en visibilidad reducida, no a la luz del día.
Con el tiempo, esta tecnología permitirá al USCG instalar transmisores en boyas para que el marinero prudente pueda rastrear dónde está la boya en realidad, en lugar de dónde debería estar por cada carta náutica.
En una declaración contradictoria, también se informó recientemente que ciertas ayudas a la navegación se eliminarán de la costa de California. Esta decisión se vinculó a la presunción de que todos los barcos están equipados con el Sistema de identificación e identificación de cartas electrónicas (ECDIS) que han sido requeridas por las Enmiendas de Manila 2010 de la OMI que se instalarán en la mayoría de los buques (por clase y tamaño) durante un período de seis años comenzando en 2012.
Esto podría tener consecuencias desastrosas porque no se requiere que un segmento importante de la industria marítima, incluidos el remolque, la pesca y el recreativo, esté equipado con ECDIS. Además, incluso para la flota comercial internacional de blue water, la dependencia de ECDIS y GPS por sí sola puede ser peligrosa, especialmente a la luz del reciente fenómeno de suplantación GPS. La prudencia y la conciencia situacional dictan que el marinero profesional necesita contar con ayudas visuales para la navegación a la vista de la tierra. Además, ¿qué sucede cuando tiene un fallo de la electrónica y pierde un ECDIS o ambos en un buque comercial?

ECDIS
Se cree que el ECDIS tiene algunas vulnerabilidades de seguridad del software subyacentes que podrían conducir a resultados desastrosos para los buques en el mar.
La base de ECDIS es un sistema de gráficos basado en la navegación que utiliza un sistema informático para mostrar digitalmente las cartas náuticas junto con la ubicación exacta y la ruta del barco propio. Esta es una alternativa dramática y la mejora de los gráficos en papel y el sistema actual de posiciones de trazado a mano. Los ECDIS están instalados en el puente de un buque y se requiere que los buques más grandes tengan dos, uno como respaldo. Cuando se utilizan adecuadamente con una tabla ENC, pueden tomar el lugar de las cartas náuticas de papel. Esta es una tendencia creciente en la industria marítima. Donde surgen los problemas no es cuando los ECDIS están en modo independiente, sino cuando están conectados en red y cuando los datos se descargan a través de una fuente externa, ya sea a través de un puerto USB a través de una tarjeta de memoria oa través de la red. A través del IMO 2010 recientemente publicado se implementaron las enmiendas de Manila que ahora requieren que se instale EDCIS en todos los buques comerciales de un cierto tamaño. Esto eliminará lentamente la dependencia de los gráficos en papel y llevará a la industria marítima en un viaje al mundo electrónico donde la próxima evolución será el uso de dispositivos inteligentes portátiles por parte de los navegantes. Se deben implementar protecciones seguras para las actualizaciones de datos de ECDIS, así como para las infracciones de seguridad externas cuando se operan en una configuración de red.

AIS
Cuando AIS se opera según lo previsto, es una ayuda de navegación útil que puede ser instrumental en la prevención de colisiones. Como se ha publicado debido a la configuración del sistema, gran parte de los datos transmitidos se pueden manipular o distorsionar. Esto ha sido confirmado recientemente por varias fuentes, incluida la israelí. Han notado que los barcos que transmiten señales espurias AIS no estaban en ninguna parte cerca de su ubicación real y en otras ocasiones también aparecieron barcos fantasmas que no pudieron ser encontrados. Este sistema, junto con el GPS y el reciente episodio de suplantación, deben mejorarse para incluir algún tipo de proceso de autenticación de señal, de modo que no se muestren señales erróneas.

Barcos inteligentes
Las naves inteligentes están en el horizonte y se ha pronosticado que entre 2020 y 2030 veremos que un barco de este tipo realiza sus actividades normales en el mar sin tripulación y se lo controla totalmente desde la costa. Los astilleros ya están construyendo embarcaciones que están completamente sensorizadas para que puedan ser monitoreadas después de que se entreguen y mientras están en el mar para mantenimiento y servicio. Estos buques pueden tomar dos formas, ya sean autónomos o no tripulados. Autónomo se define como un buque guiado principalmente por sistemas automáticos de toma de decisión a bordo, pero controlado por un operador remoto en una instalación de control en tierra. Unmanned está un paso más allá de autónomo y está totalmente controlado desde una estación de control en tierra. Las características clave serían la política marítima estándar de tener sistemas redundantes y copias de seguridad de emergencia a bordo. ¿A dónde nos lleva esta nueva tecnología en el mundo de la simulación marítima? Posiblemente como se hace con la Fuerza Aérea de los Estados Unidos, tendremos entrenamiento y certificación de drones de barco. Esto podría vincularse al escenario con un conjunto de navegación completamente integrado de GPS, eLORAN, EATON y un sistema de sensor visual digital que se puede controlar y controlar completamente las 24 horas, todos los días de la semana.

Simulación marina
La simulación marítima es importante ya que imita el funcionamiento de un buque real en un entorno seguro. El acto de simular ciberamenazas y escenarios nos permitirá enfocarnos en estos nuevos casos de spoofing y jamming a través de la gran dependencia del navegante en las transmisiones de radiofrecuencia (RF) que potencialmente pueden abarcar. La simulación puede usarse para mostrar los efectos reales eventuales de condiciones y cursos de acción alternativos en el buque. La simulación es de suma importancia, específicamente cuando necesitamos interactuar en vías fluviales congestionadas, canales estrechos, tráfico denso y muchas otras restricciones, incluidas cargas peligrosas. Lo que la simulación nos permitirá hacer es introducir muchas de estas amenazas cibernéticas potenciales en un entorno de vida real y permitir que el navegante interactúe con el ejercicio y responda en tiempo real. Al desarrollar la próxima ola de educación marítima, es una evolución lógica ir más allá del Oficial de Seguridad del Buque (VSO) y crear un nuevo rol para un Oficial de Seguridad Cibernética del Barco (VCSO) en un programa de Seguridad Cibernética Marítima (MCS). Esta posición podría ser una extensión del VSO o una nueva certificación. En cualquier dirección, es necesario tener miembros de la tripulación con estos conjuntos de habilidades que puedan actuar como los oficiales responsables en cada barco. Al ir al personal, serían responsables de todos los niveles y detalles de la ciberseguridad y defensa. A través de las enmiendas STCW 2010 recientemente lanzadas, IMO ya ha avanzado proactivamente con la presentación del Oficial Electro Técnico (ETO) y una Calificación Electro Técnica (ETR).
¿Cómo avanza la industria y llega a ese nivel lógico de capacitación y preparación? Primero, debe revisar la simulación marítima existente para determinar el equipo y los sistemas que estamos utilizando. El siguiente paso es determinar cómo se integran, así como la seguridad incorporada en su lugar. A partir de esto podemos comenzar el camino para determinar cómo las amenazas cibernéticas podrían atacar, destruir o deshabilitar el equipo ... o en el peor de los casos ... tomar el mando. Al final, es a través de la capacitación y educación de la conciencia que los navegantes podrán frustrar estas infiltraciones.
Otra fuente de conocimiento y capacitación de marineros debe ser el uso de internet y la descarga de datos potencialmente corruptos a través de virus, gusanos, phishing, spoofing y piratería. Esto puede suceder debido a una capacitación inadecuada o no, o en algunas circunstancias a un descuido debido a la fatiga, pero sin embargo debe evitarse. Un camino similar se aplica al uso del correo electrónico del barco y la amenaza de recibir correos electrónicos de spear phishing supuestamente de fuentes confiables con enlaces que hacen clic en sitios web que son fraudulentos y que tomarán el control de la puerta trasera de su computadora o instalarán un virus.
En resumen, a medida que avanzamos necesitamos incorporar en los planes de estudio de todos los cursos de simulación marítima los principios básicos de la Seguridad Cibernética Marítima (MCS) tal como es y la amenaza siempre presente que no desaparecerá. Solo a través de la diligencia y el entrenamiento adecuado y la conciencia de que los navegantes marinos estarán preparados y listos para tomar las medidas apropiadas cuando sea necesario.

El autor
Emil Muccin ocupa el puesto actual de Jefe Adjunto de Departamento de la División de Comercio Marítimo del Departamento de Transporte Marítimo y también es Profesor Asociado de Ciencias Náuticas en la Academia de la Marina Mercante de los Estados Unidos. Anteriormente fue coordinador de STCW del Departamento de Transporte Marítimo. Además, es el consejero docente de Cyber ​​Defence and Propeller Clubs. Emil se graduó de la USMMA con una licenciatura en Ciencias Náuticas y de la Universidad de Pace con un MBA en Sistemas de Información. Navegó durante muchos años como el maestro de ruedas de paletas en el río Hudson.

(Según se publicó en la edición de junio de 2015 de Maritime Reporter & Engineering News - http://magazines.marinelink.com/Magazines/MaritimeReporter )