Aunque los riesgos de incidentes de seguridad de la información o ciberseguridad en el sector marítimo no se han contemplado hasta fechas recientes, en otros sectores y organizaciones existe preocupación por los mismos y controles para su mitigación desde hace décadas.

Un código de buenas prácticas muy utilizado en seguridad de sistemas de información y comunicaciones es ISO27002. El origen del mismo es el estándar británico BS 7799-1 que fue publicado por primera vez en 1995.

Los dominios de seguridad cubiertos por ISO27002 son los siguientes:

  • Organización de la Seguridad de la Información.
  • Seguridad de los Recursos Humanos.
  • Gestión de los Activos.
  • Control de Accesos.
  • Criptografía.
  • Seguridad Física y Ambiental.
  • Seguridad de las Operaciones: procedimientos y responsabilidades.
  • Seguridad de las Comunicaciones: gestión de la seguridad de la red y gestión de las transferencias de información.
  • Adquisición de sistemas, desarrollo y mantenimiento, seguridad en los procesos de desarrollo y soporte de software.
  • Seguridad de la información en las relaciones con los proveedores, gestión de la entrega de servicios de proveedores.
  • Gestión de Incidencias que afectan a la Seguridad de la Información:
  • Continuidad de la seguridad de la información, continuidad de negocio.
  • Conformidad con requisitos legales y contractuales, revisiones de la seguridad de la información.

Otros códigos de buenas prácticas útiles son los producidos por National Institute of Standards and Technology NIST de Estados Unidos. Por ejemplo, la guía Security and Privacy Controls for Federal Information Systems and Organizations SP 800-53. Aunque esta guía se ha producido para la protección de sistemas de información gubernamentales contiene recomendaciones muy útiles para todo tipo de sectores.

En cuanto a la seguridad de sistemas de control industrial, organismos como NIST  y el Centre for the Protection of National Infrastructure CPNI del Reino Unido han publicado guías con recomendaciones útiles.

Para sistemas industriales, la referencia principal en NIST sería la guía Guide to Industrial Control Systems (ICS) Security SP 800-82.

CPNI ha producido varias guías interesantes. A modo de introducción, se recomienda la guía Good Practice Guide – Process Control and Scada Security. Esta guía ya no está disponible en el CPNI pero puede consultarse traducción en las guías publicadas por el Centro Criptológico Nacional CCN.

En cuanto a ciberseguridad en sistemas de navegación de buques, debido a los requisitos de respuesta en tiempo real de los sistemas actuales (Integrated Brige Systems), su uso de sensores (e.g.: viento, profundidad, posición) y actuadores (e.g.: piloto automático), podrían considerarse dependiendo del caso como sistemas IT de misión crítica o sistemas de control industrial.

El carácter de sistema de control industrial de un buque es muy claro si consideramos la maquinaria, suministros y equipos auxiliares. Por ejemplo, el control de la electricidad, motores y bombas de tanques de lastre es manejado por equipos de control industrial como sistemas PLC y SCADA.

El impacto de un ciberincidente en el que un atacante tomara control de los equipos de navegación ECDIS o bombas de tanques de lastre de un buque podría tener consecuencias muy graves llegando incluso al hundimiento del buque.

A continuación, se muestra un ejemplo de arquitectura de los sistemas de control de la maquinaria distribuida de un buque.

Ship machinery

Fuente imagen: Notional Architecture of a Ship’s Distributed Machinery Control System

https://seagrant.mit.edu/ESRDC_library/Scherer-Evolution-ASNE-2011.pdf

Algunas ideas introductorias para incorporar buenas prácticas de ciberseguridad marítima  en las operaciones de los buques incluyendo políticas, procedimientos y controles se pueden encontrar en este artículo  Ciberseguridad marítima usando los códigos PBIP e IGS.

Referencias recomendadas: