Ciberseguridad marítima: se necesita un nuevo enfoque

© stepheng101 / Adobe Stock

Es hora de avanzar hacia un enfoque cuantitativo que proporcione una comprensión más profunda de los elementos de riesgo individuales observados en los sistemas operativos marinos.

El aumento de la conectividad en sistemas operativos marítimos complejos está intensificando el impacto potencial de los incidentes relacionados con la cibercomunicación y complicando la tarea de defenderse contra ellos. Los métodos tradicionales para evaluar el riesgo cibernético proporcionan una orientación inadecuada para la aplicación de recursos de seguridad limitados.

Actualmente, los métodos de evaluación de riesgos disponibles son en gran medida cualitativos. Aun así, estos métodos proporcionan la base actual para los planes de gestión de riesgos, en los que los propietarios y operadores basan los programas para identificar, proteger, detectar y recuperarse de las infracciones de ciberseguridad. Sobre la base de ese modelo, es hora de avanzar hacia un enfoque cuantitativo que proporcione una comprensión más profunda de los elementos de riesgo individuales que se observan en los sistemas operativos marinos, y proporciona a los propietarios "perillas de ingeniería" para reducirlos.

La ecuación más común utilizada para representar el riesgo cibernético es: Riesgo = Amenaza x Vulnerabilidad x Consecuencia. Esta ecuación ha demostrado ser útil para los profesionales en la medida en que ha ayudado a los analistas a entender intuitivamente que el riesgo tiene tres elementos constitutivos, e infiere que al eliminar uno de estos elementos, el riesgo puede reducirse. Pero esta fórmula es menos una ecuación, en un sentido matemático, que un modelo de referencia para comprender la naturaleza del riesgo de ciberseguridad. Sus tres elementos en gran medida son difíciles de medir y son problemáticos cuando se trata de diseñar y / o calcular una solución de ciberseguridad. Para el practicante de riesgo marítimo moderno, el desafío principal es crear un modelo que defina el riesgo cibernético para que pueda ser contado, medido, computado y modelado para los sistemas operativos marítimos.

ABS recientemente colaboró ​​con Stevens Institute para investigar este problema para el sector marítimo y redefinir la ecuación en términos que son contables, observables y de fácil comprensión. Una de las cosas que nuestra investigación con el Stevens Institute descubrió fue que la naturaleza del riesgo marítimo dentro de la ciberseguridad no está bien definida ni entendida. Tampoco está particularmente bien administrado.

El resultado es un nuevo modelo que ayuda a los propietarios a obtener un control proactivo sobre los riesgos de ciberseguridad.

Estos riesgos a su vez impulsan requisitos específicos, decisiones de ingeniería y compromisos de recursos. El modelo se enfoca en la identificación de soluciones que son computacionalmente diseñadas, altamente detalladas y en contexto con los riesgos a ser gestionados.

Efectivamente, vuelve a colocar los controles para responder a los riesgos cibernéticos en manos del propietario del activo.

Cambiar las prácticas de riesgos cibernéticos de la industria de métodos de defensa más tradicionales a un proceso medible requerirá que la industria cambie la conversación, pero lo más importante es que también requerirá un cambio en la forma en que los profesionales del riesgo piensan sobre el riesgo.

Para representar 'Consecuencia, Vulnerabilidad y Amenaza' como elementos calculables de una ecuación de riesgo para la tecnología operativa, los reemplazamos con los conceptos de 'Funciones, Conexiones e Identidades' (FCI), respectivamente.

Las "funciones" permiten a la tripulación maniobrar el buque o llevar a cabo su misión, que puede ser desde perforar petróleo hasta transportar personas y carga, o combinaciones de cada uno. En la ecuación de riesgo de FCI, representan los sistemas que un atacante cibernético trataría de controlar o derrotar: dirección, monitores de ubicación, sistemas de propulsión, comunicaciones, cualquier cosa que sirva a su propósito.

Las 'conexiones' representan, en relación con la tecnología operativa marítima, la forma en que las funciones se comunican entre sí, con la costa, con los satélites, con Internet, etc.

Dentro de cada conexión hay un 'nodo', el punto a través del cual una incursión cibernética obtiene acceso.

Las "identidades" son un dispositivo humano o digital. Reemplazar Amenaza con Identidad permite contar las amenazas, un concepto innovador para avanzar en el cálculo del riesgo marítimo.

En el contexto del modelo de FCI, una amenaza debe tener una agenda. Estos pueden ir desde la falta de conocimiento de los riesgos cibernéticos a los comportamientos involuntarios: "No voy a cumplir las normas de la compañía y realizar mis tareas de forma segura" o acciones como el secuestro de sistemas de navegación para robar o destruir un buque. u otros actos perjudiciales para las operaciones normales, generalmente con fines de ganancia monetaria.

Los datos cuantitativos de las funciones, conexiones e identidades se cuentan y se usan para completar una hoja de trabajo que genera un índice de riesgo para demostrar cómo modificaciones específicas de FCI cambiarían el riesgo relativo de la configuración de cada sistema.

El proceso aquí descrito se simplifica, pero el Índice de Riesgo en última instancia proporciona una visión cuantitativa del riesgo relativo asociado con el diseño arquitectónico de los sistemas individuales a bordo del buque. Eso es algo que ha faltado en el espacio de ciberseguridad marítima.

El método FCI determina si los nodos de conexión (los puntos de acceso) están adecuadamente protegidos, y si el propietario del activo ha controlado o no las identidades de aquellos a quienes se les ha proporcionado acceso a nodos y áreas restringidas dentro de la arquitectura del sistema de control de buques.

El índice ilustra la contribución de cada componente al riesgo general. Con base en esas contribuciones de riesgo individuales, por ejemplo, el propietario puede rediseñar una arquitectura de red para rediseñar cómo se accede al sistema, ya sea a través de interfaces hombre-máquina, teléfonos celulares, memorias USB o conexiones a Internet.

Este nuevo enfoque permite al propietario tomar una vista amplia de la flota para determinar el riesgo relativo asociado a cada buque en función de la forma en que se diseña su sistema digital, la forma en que las personas pueden acceder a él y la forma en que los nodos o puntos de acceso , están protegidos.

ABS entrega un índice de riesgo calculado a través del enfoque FCI, que es un número que representa el nivel relativo de riesgo inherente en el diseño y operación del sistema digital en el buque. Ayuda a los propietarios a decidir dónde desplegar sus recursos de ciberdefensa a menudo limitados.

Hay un viejo adagio en la industria: no puedes administrar lo que no se mide. A medida que la industria marítima continúa su marcha hacia la auto automación, las compañías que pueden medir y gestionar el riesgo cibernético estarán mejor posicionadas para enfrentar los desafíos en la nueva era digital.

Como industria, la capacidad de medir el riesgo cibernético se convertirá en una base fundamental para la eficiencia y la seguridad operacional.

(Según lo publicado en la edición de abril de 2018 de Maritime Reporter & Engineering News )