Gestión del riesgo cibernético: lo que los profesionales marítimos deben saber ahora

© recogida / Adobe Stock

La fecha límite de la OMI de enero de 2021 para que los intereses de envío incorporen la gestión del riesgo cibernético en sus sistemas de gestión de seguridad existentes se está acercando rápidamente. Es crítico que las partes interesadas entiendan sus vulnerabilidades. La OMI ha emitido directrices MSC-FAL.1 / Circ.3 sobre la gestión del riesgo cibernético marítimo que hace un buen trabajo al describir los muchos sistemas vulnerables dentro de las operaciones marinas, que incluyen:

Sistemas 1.Bridge;

2. Sistemas de manejo y manejo de carga;

3.Propulsión y gestión de maquinaria y sistemas de control de potencia;

4. Sistemas de control de acceso;

5.Servicios de gestión y gestión de pasajeros;

6.Passenger frente a las redes públicas;

7.Sistemas administrativos y de bienestar de la tripulación; y

8. Sistemas de comunicación.

Las Directrices de la OMI también plantean un punto importante para comprender la distinción entre tecnología de la información (TI) y sistema de tecnología operacional (OT). En resumen, TI se enfoca en el uso de datos como información, mientras que OT se enfoca en el uso de datos para controlar o monitorear procesos físicos.

Estas distinciones se vuelven importantes cuando llega el momento de realizar una evaluación de riesgos de sus operaciones.

Las evaluaciones de riesgo deben ser el primer paso al examinar la exposición cibernética de su compañía, terminal o embarcación. Es necesario identificar todas las partes de su negocio que están controladas o respaldadas por sistemas informáticos, y es probable que haya más de lo que cree.

La Guardia Costera de los Estados Unidos tiene una muy buena guía sobre cómo comenzar a comprender e identificar su exposición a la ciberseguridad ( https://homeport.uscg.mil ).

Esta guía incluye información del Equipo de Respuesta de Ciber Emergencia (ICSCERT) de los Sistemas de Control Industrial del Departamento de Seguridad Nacional, que proporciona una amplia gama de información, herramientas y servicios que pueden ayudar a las compañías a evaluar su seguridad, identificar prácticas recomendadas y mejorar su seguridad cibernética. . ( http://ics-cert.us-cert.gov/ )

Esto plantea un punto muy importante en relación con el ciberespacio y el entorno marítimo. A menudo nos enfrentamos a riesgos únicos en el campo marítimo, y si bien la amenaza cibernética en el mar tiene algunas características únicas, la mayoría de las amenazas son las mismas que las que enfrentan las empresas costeras. A la amenaza cibernética no le importa si está en un puerto o en el mar. Mientras esté conectado a Internet, está en riesgo. El Departamento de Seguridad Nacional tiene numerosos consejos y recursos cibernéticos para ayudarlo a educar a sus cuadrillas y al personal de apoyo en tierra. Esto incluye el Stop. Pensar. Conectar. Campaña. La información simple como esta debe incluirse como una parte regular de la capacitación de la tripulación a bordo.

El Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) ha desarrollado un programa más completo. El equipo de su sistema de control industrial (ICS) ha desarrollado una guía para ayudar a los propietarios a preparar sus negocios y redes para manejar y analizar un incidente cibernético. ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf ) Las orientaciones como esta deben incorporarse en las secciones de Cyber Risk Management de Safety Management Systems según lo exige el OMI.

Los preparativos para prevenir o minimizar un incidente cibernético son su primera línea de defensa, sin embargo, las compañías todavía necesitan tener un plan de respuesta establecido que describa cómo responder cuando ocurre un incidente cibernético. Una parte importante de este plan es trabajar con su corredor de seguros y suscriptores para entender cómo administrar adecuadamente su riesgo con una cobertura de seguro adecuada.

La clave aquí es identificar lo que está y no está cubierto actualmente. Las grandes incógnitas son las denominadas exposiciones cibernéticas "silenciosas" en la mayoría de las pólizas de seguro tradicionales, que se diseñaron cuando el ciberespacio aún no era un riesgo importante y no lo consideran explícitamente. Esto puede crear incertidumbre para las empresas, corredores y aseguradores sobre qué escenarios de pérdida están cubiertos. En todo el grupo, Allianz está revisando los riesgos cibernéticos en las pólizas de propiedad y accidentes (P / C) en sus segmentos de seguros comerciales, corporativos y de especialidades y ha desarrollado una nueva estrategia de suscripción para abordar las exposiciones cibernéticas "silenciosas", asegurando que todas las políticas de P / C Se actualizará y aclarará con respecto a los riesgos cibernéticos. Queremos eliminar la incertidumbre de la cobertura para nuestros clientes comerciales.

A menudo les digo a mis clientes que la seguridad cibernética es una carrera sin final. La OMI le ha dado a la industria marítima un plazo para poner en orden sus prácticas de riesgo cibernético para enero de 2021. Está claro que el trabajo no terminará allí. Las amenazas cibernéticas continuarán evolucionando en frecuencia y gravedad a medida que dependamos más de la tecnología. La tecnología será positiva tanto para aumentar la seguridad de la embarcación como para reducir el riesgo, sin embargo, requiere estar atento a las amenazas nuevas y emergentes. Esta vigilancia es esencial para el futuro de la industria porque la complacencia no es una opción.

Sobre el autor: Capitán Andrew Kinsey, Consultor Senior de Riesgos Marinos, Allianz Global Corporate & Specialty