Respuesta a incidentes cibernéticos para la organización resiliente

(Foto de archivo: APM Terminals)

Incluso antes de NotPetya, los organismos reguladores, las aseguradoras, los clubes P & I, las autoridades portuarias y otros segmentos de la industria marítima comenzaron a tomar medidas para minimizar la exposición de la industria a los ataques cibernéticos.

La industria marítima ha tenido un despertar. Nos hemos despertado al hecho de que la digitalización ha tejido sus hilos en toda la industria, y nos hemos beneficiado enormemente de poder operar en un entorno cibernético interconectado. Asimismo, poder transmitir información de diagnóstico de maquinaria a bordo a los centros de operaciones costeros, tener la capacidad de navegar en aguas restringidas utilizando datos de posición y navegación que se originan en el espacio, y poder proporcionar a las tripulaciones el lujo de transmitir video desde la web mientras el mar presenta un riesgo significativo para la industria en general y para los segmentos interconectados de la economía en general. El ataque NotPetya en 2017 fue un momento decisivo que obligó a la industria a evaluar su postura de ciberseguridad. Claramente, si una compañía global como Maersk puede verse significativamente afectada, entonces cualquier otra compañía marítima puede ser atacada. En el mejor de los casos, un ataque dará como resultado una pérdida financiera, en el peor de los casos, un ataque podría forzar a una compañía a cesar sus operaciones indefinidamente.

Incluso antes de NotPetya, los organismos reguladores, las aseguradoras, los clubes P & I, las autoridades portuarias y otros segmentos de la industria marítima comenzaron a tomar medidas para minimizar la exposición de la industria a los ataques cibernéticos. El Servicio de Guardacostas de los EE. UU. Publicó un borrador de la Circular de inspección de buques y embarcaciones 05-17, Directrices para abordar los riesgos cibernéticos en las instalaciones reguladas de la Ley de seguridad marítima del transporte (MTSA), para introducir la idea de crear un marco de ciberriesgos para la industria marítima basado en Instituto de Estándares y Tecnología (NIST) Marco de seguridad cibernética. Las asociaciones navieras como BIMCO y ABS han lanzado sus propias pautas de ciberseguridad, y un sinnúmero de otras organizaciones y grupos han lanzado mejores prácticas para mitigar el riesgo cibernético en la industria marítima. Aunque la industria en general se da cuenta de que "se debe hacer algo", el progreso realizado para mitigar los riesgos cibernéticos dentro de la industria es tan variada como la industria es diversa. La variedad en la mitigación del riesgo cibernético en la industria se basa en los diferentes niveles de recursos disponibles de una organización a otra, los sistemas y tecnologías que se utilizan y las diferencias en los modelos de gobernanza de gestión de riesgos entre organizaciones y empresas. Además, diferencias sutiles pero también significativas en los requisitos de seguridad cibernética y los organismos reguladores entre la industria naviera, operadores de puertos y terminales, autoridades portuarias y otras agencias, empresas y organizaciones que conforman la "industria marítima" agregan una capa adicional de complejidad que puede ralentizar la adopción de planes integrales de gestión del riesgo cibernético en toda la industria.

Acciones posteriores al ataque cibernético. Dada la necesidad inmediata de comprender qué se debe hacer para limitar el daño y proteger los sistemas de un ataque cibernético, la industria marítima también debe responder la pregunta: "¿Qué debemos hacer después de experimentar un ataque cibernético?" Para responder a esta pregunta, lo siguiente se debe preguntar: "¿Qué hacemos para prepararnos para un ciberataque?" En este caso, la industria marítima tiene el pedigrí para abordar esta cuestión y puede aprovechar las regulaciones existentes, las mejores prácticas y las experiencias adquiridas al responder a incidentes físicos como como derrames de petróleo, respuesta de búsqueda y rescate, amenazas terroristas y acciones necesarias para garantizar la continuidad de las operaciones debido a una gran tormenta u otras amenazas físicas.

La respuesta a incidentes cibernéticos y el manejo de incidentes (IR / IH) implica planes de acción predeterminados, ejercicios de mesa y recursos de IR / IH preconfigurados para minimizar el daño a las operaciones marítimas y portuarias. Estas actividades tienen como objetivo minimizar los impactos negativos al comercio, el medio ambiente y la seguridad de la vida en el mar o sobre el agua y sobre ella. Además, no es diferente de una gran respuesta al desastre ambiental, la industria debe estar preparada para abordar todos los aspectos de una respuesta de incidentes cibernéticos, incluido el desarrollo de un plan de compromiso de relaciones con los inversores, las partes interesadas y el público bien pensado.

Planes de acción predeterminados. No es diferente de otros desastres, catástrofes o situaciones de emergencia, las organizaciones prudentes contarán con un plan de respuesta a incidentes cibernéticos para ejercer planes de acción predeterminados cuando se produzca un incidente cibernético. Lamentablemente, un estudio reciente de Ponemon Institute e IBM descubrió que el 77 por ciento de los encuestados no tienen un plan formal de respuesta a incidentes cibernéticos aplicado de manera uniforme en toda su organización. Los planes de respuesta necesitarían, como mínimo, incluir planes de acción que respondan al ransomware, los ataques de Denegación distribuida de servicios (DDOS), la infiltración de una red y la introducción de malware en la red de una organización. Los activos móviles o en curso también deben incluir acciones que tengan en cuenta otros escenarios como pérdida del sistema de posicionamiento global (GPS) u otros sistemas de posición, navegación y cronometraje (PNT), impacto en el sistema de control de la dirección o maquinaria del buque y pérdida o manipulación de sistemas de navegación electrónicos. En la mayoría de estos escenarios en curso, ya existen planes de contingencia para estos escenarios causados ​​por otros medios, pero puede haber requisitos de respuesta adicionales a la naturaleza del ataque.

Una vez desarrollados, estos planes de acción deben ser ejercidos regularmente. Esto no es diferente a otros simulacros requeridos. Muchas organizaciones han incorporado incidentes cibernéticos en ejercicios de mesa o han creado ejercicios de mesa específicos de incidentes cibernéticos para ver qué tan bien funcionan sus planes de acción.

Ataque en progreso. Ser capaz de identificar y comprender que un ataque está en progreso debe ser incorporado en los programas de capacitación de una organización. Del mismo modo, las soluciones de hardware y / o software deberán configurarse o adquirirse para ayudar a los empleados y equipos a determinar si se está produciendo un ataque cibernético. Dependiendo del tipo de ataque, las características del ataque pueden ser obvias, pero no siempre.

La forma en que una organización comunica la naturaleza del ataque y cómo responden de forma externa a un incidente cibernético es tan crítico como las acciones técnicas y de ingeniería tomadas para gestionar un ataque internamente dentro de los sistemas de la organización. Las organizaciones necesitan desarrollar un plan de acción de comunicación y relaciones públicas para garantizar la confianza entre clientes, inversores, socios, otros interesados ​​y el público de que la organización puede responder eficazmente a un incidente cibernético y minimizar las interrupciones en las operaciones y el comercio.

Análisis posterior al incidente Dependiendo de la naturaleza del ataque, una organización puede esperar que las fuerzas del orden público consideren un incidente cibernético como un delito, con lo que los sistemas y redes que fueron atacados son una escena del crimen. Por lo tanto, para identificar los orígenes de un ataque, una organización también debe implementar procedimientos para preservar la evidencia durante y después de un ataque. Esto requiere implementar un procedimiento de cadena de custodia, procedimientos de manejo de evidencia digital, realizar actividades forenses digitales internas y tener un Plan de Continuidad de Operaciones, que puede incluir el uso de un sistema de respaldo durante una investigación.

El análisis posterior al incidente deberá incluir una autopsia para determinar cómo prevenir ataques similares en el futuro. Al igual que implementar salvaguardas de seguridad cibernética, identificar y tomar medidas sobre las lecciones aprendidas de un ataque cibernético debe ser conducido de arriba hacia abajo.

Reconstitución. En la mayoría de los casos, las organizaciones tienen un proceso sistemático para reconstituir las operaciones. Estos procesos deberán extenderse para incluir incidentes posteriores al ataque cibernético. Las organizaciones necesitarán determinar qué tan rápido pueden regresar a la capacidad operativa completa. El liderazgo organizacional debe continuar comunicándose con todos sus grupos de interés qué pasos se están tomando para volver a un estado completamente operativo.

La preparación para un ataque cibernético es un componente crítico para que las organizaciones marítimas garanticen que los impactos ambientales, comerciales y de seguridad se mantengan al mínimo. Afortunadamente, la industria tiene planes de respuesta existentes para otros tipos de eventos catastróficos que pueden usarse como modelo para preparar y responder a los ataques cibernéticos.


(Según lo publicado en la edición de abril de 2018 de Maritime Reporter & Engineering News )