Con las nuevas reglas sobre ciberseguridad emitidas por la Guardia Costera de los EE. UU., Angeliki Zisimatou, directora de ciberseguridad de ABS, está en una posición única para discutir la ciberseguridad marítima en la ronda, con información sobre lo que ha visto y escuchado en el borrador de las reglas, y asesoramiento sobre lo que podría significar para los propietarios de buques.
La ciberseguridad y todo lo que ella conlleva está subiendo rápidamente en la escala de prioridades en el sector marítimo, ya que la creciente dependencia de la conectividad es un arma de doble filo de promesas y peligros.
Si bien el nivel de preparación en materia de ciberseguridad varía ampliamente en todas las industrias, tal vez la mayor preocupación es que algunas ni siquiera reconocen el riesgo. “Muchas veces durante los últimos ocho años he escuchado que 'la ciberseguridad es un engaño'; lo he escuchado una y otra vez de las tripulaciones, de los operadores, de los propietarios”, dijo Angeliki Zisimatou, directora de ciberseguridad de ABS, ya que creen que sus sistemas de a bordo están "aislados" de la conectividad a bordo, lo que genera una falsa sensación de seguridad.
El primer paso para ABS es informar, educar y demostrar que sí, que la amenaza es real. Basta con preguntarle a AP Moller-Maersk Group , una de las compañías navieras más grandes del mundo, que en 2017 fue víctima del ataque NotPetya , que interrumpió sus operaciones durante 10 días y le costó cientos de millones de dólares en ingresos.
Si bien el sector marítimo en su conjunto ha sido lento en la adopción de medidas de seguridad cibernética, Zisimatou dijo que los grandes propietarios y operadores de flotas se están tomando el riesgo en serio (invirtiendo fuertemente en sus propios centros de operaciones seguros) y que está empezando a ver cambios de actitud en toda la industria, en particular cuando eventos de alto perfil como NotPetya acaparan los titulares e ilustran el alcance potencial del problema. Otro factor que impulsa esto, como es habitual, son las normas emergentes de la Organización Marítima Internacional y la Guardia Costera de los Estados Unidos.
“Creo que para los operadores y propietarios pequeños y medianos la regulación es lo que impulsa sus acciones, por lo que intentan ceñirse al mínimo, haciendo lo que se les ordena o recomienda”, dijo Zisimatou.
Nuevas normas de ciberseguridad de la Guardia Costera de los Estados Unidos
Participe del “Almuerzo y aprendizaje sobre ciberseguridad” en Nueva Orleans el 13 de noviembre de 2024 en el Centro de Convenciones Morial. El evento es un debate moderado sobre las nuevas normas de ciberseguridad de la Guardia Costera de los Estados Unidos y su posible impacto en los propietarios y operadores de buques. Haga clic aquí para registrarse de forma gratuita.
Rellenando los huecos
A medida que se vayan incorporando cada vez más buques conectados y que una nueva generación de marinos (nativos de Internet) vaya tomando cada vez más el control del espacio marítimo, la concienciación y la acción en materia de ciberseguridad irán a la par. Hasta entonces, todavía queda mucho por hacer.
“La falta de conocimiento sobre el tema, [además de] la falta de capacitación y concienciación; eso se aplica a las tripulaciones y al personal en tierra”, es posiblemente la brecha más grande hoy en día, dijo Zisimatou. “Incluso las compañías navieras que saben que necesitan actuar, pueden asignar la tarea a su departamento de TI y, por lo general, el personal de TI tiene [poco o ningún] conocimiento de los sistemas a bordo”, lo que presenta un desafío sobre por dónde empezar.
La antigüedad de los sistemas heredados que funcionan a bordo del tonelaje existente, incluidos Windows NT y otros programas obsoletos, plantea un desafío igualmente grande en términos de vulnerabilidad.
Otro problema potencial en toda la cadena de suministro marítimo es la falta de visibilidad adecuada sobre el mantenimiento y la actualización de los sistemas de a bordo, ya que normalmente los propietarios y administradores de buques hacen que los proveedores acudan físicamente a bordo para acceder a los sistemas y actualizarlos, lo que proporciona poca o ninguna visibilidad sobre lo que realmente se ha actualizado e instalado en los buques. Obtener un control y una visibilidad completos sobre las actualizaciones y el mantenimiento de los sistemas críticos es otra prioridad en la lista de tareas pendientes de un propietario o administrador de buques.
Pero aunque las brechas y los problemas son potencialmente grandes, las soluciones pueden ser fáciles, al menos para empezar.
“Yo empezaría por lo obvio”, afirma Zisimatou. “En primer lugar, hay que tomarlo en serio. Considérelo un riesgo real para sus operaciones y su negocio. Siga lo que se exige o lo que recomienda la OMI, lo que recomienda el NIST, el marco de ciberseguridad. Siga los pasos. Comience con una evaluación de riesgos muy sólida y ponga a las personas adecuadas en la sala; personas del área de operaciones y personas del área de TI. Haga una lluvia de ideas; piense realmente en los riesgos y en cómo mitigarlos. Si su identificación de riesgos es deficiente, los controles que se van a implementar también lo serán”.
Nuevas reglas de la Guardia Costera
A principios de este año, la Guardia Costera publicó una propuesta de norma en el Registro Federal que propone actualizar las normas de seguridad marítima añadiendo normas centradas específicamente en establecer requisitos mínimos de ciberseguridad para los buques con bandera estadounidense, las instalaciones en la Plataforma Continental Exterior y las instalaciones estadounidenses sujetas a las normas de la Ley de Seguridad del Transporte Marítimo de 2002. Se espera que las nuevas normas se finalicen a finales de este año, y quedan muchas preguntas sobre lo que exigirán y cómo afectará en última instancia a los procedimientos y costes de los propietarios/operadores de los buques.
“Le hemos dado algunos comentarios a la Guardia Costera sobre lo que potencialmente falta o lo que podría ser un desafío para los operadores”, dijo Zisimatou. “[En este momento] no sabemos realmente si la nueva regulación se aplicará a los buques de nueva construcción o también a los buques existentes. Eso tendría un gran impacto en los buques con bandera estadounidense”. Dijo que hay algunos requisitos dentro de la norma propuesta que hablan sobre la segmentación de las redes, por ejemplo, y especialmente en los buques existentes, donde las redes suelen ser planas, “eso requeriría un esfuerzo adicional”.
Pero no termina ahí.
“Hay otros puntos, como la realización de simulacros de ciberseguridad cada tres meses, algo que nos parece demasiado frecuente”, afirma Zisimatou. “No hay detalles concretos, ¿qué significa eso, qué es lo que hay que comprobar?”
Dijo que la sociedad de clasificación ha recomendado que la Guardia Costera tome en consideración lo que IACS ha propuesto en cuanto a los buques de nueva construcción, cómo abordar toda la cadena de suministro, desde el diseño, la puesta en servicio, la construcción y la vida operativa de un buque, pero también cómo ha abordado los controles específicos, proporcionando un poco más de claridad sobre lo que la clase debe hacer, lo que el propietario debe hacer, lo que un astillero debe hacer.
“Estoy esperando a ver la reglamentación que se está publicando y estoy seguro de que la Guardia Costera ha recibido muchos comentarios y está trabajando en ello ahora mismo”, dijo Zisimatou. “Estoy ansioso por verla y creo que tendrá un gran impacto, especialmente [más adelante, cuando] surjan más reglamentaciones de otras administraciones de bandera, en función de lo que la Guardia Costera ha establecido”.
Vea la entrevista completa con Angeliki Zisimatou, directora de ciberseguridad de ABS, en Maritime Reporter TV: