Recientemente, el Consejo Marítimo del Báltico e Internacional “Baltic and International Maritime Council” BIMCO publicó la guía sobre ciberseguridad a bordo de buques “The guidelines on Cyber Security onboard ships” (Ref.1).

En este artículo presento un resumen de los puntos principales de la guía BIMCO con mi interpretación y comentarios. Dado que el artículo comenta mi interpretación del texto de la guía BIMCO basada en mi experiencia en ciberseguridad, recomiendo también la lectura de la propia guía original.

La guía BIMCO sigue un enfoque de gestión de riesgos para la identificación y respuesta a las ciberamenazas. Este enfoque está alineado con buenas prácticas de seguridad bien establecidas tales como ISO 27001 y NIST SP 800-30.

La gestión de los ciber riesgos y la ciberseguridad debería ser específica y particularizarse para cada compañía y buque aunque debe estar guiada y basarse en elementos comunes al sector tales como regulaciones, estándares y buenas prácticas de ciberseguridad.

Los planes y procedimientos de la compañía para la gestión de los ciber riesgos deberían ser complementarios y estar alineados con los existentes para la gestión de la seguridad requeridos por los códigos PBIP e IGS.

La guía está diseñada para fomentar la concienciación en ciberseguridad a bordo de buques. Sin embargo, no pretende ser una guía para auditorías de compañías y buques. Aunque en mi opinión futuros criterios de auditorías de ciberseguridad podrían derivarse de esta guía y similares que puedan aparecer.

La ciberseguridad se presenta como un proceso de gestión que contempla las siguientes actividades:

 

1.    Comprender el ciber riesgo

Los ciber riesgos son específicos a cada compañía, buque, operación y tipo de carga. Uno de los problemas con los que nos encontramos para evaluar los ciber riesgos es la falta de información histórica de ciber incidentes en buques y su impacto.

Las amenazas pueden provenir de diferentes grupos que pueden tener motivación e interés en explotar ciber vulnerabilidades en los buques.

Algunos de los grupos y sus motivaciones son:

  • Activistas (incluyendo ex-empleados descontentos): Daño reputacional, bloqueo de operaciones
  • Criminales: beneficio económico, espionaje comercial, espionaje industrial.
  • Naciones, organizaciones financiadas por estados, terroristas: beneficio político o económico, espionaje.

Los ciber ataques pueden ser no dirigidos y dirigidos. Los ataques dirigidos son más sofisticados y están orientados específicamente al objetivo a atacar.

Los usuarios de las Tecnologías de la Información IT y Tecnologías de Operación OT que soportan la navegación y sistemas de control de los buques deberían ser conscientes de los riesgos en ciberseguridad y tener formación específica para su identificación y gestión.

 

2.    Evaluar el ciber riesgo.

Las responsabilidades en ciberseguridad deberían comenzar en los puestos directivos de la compañía e implicar a otras personas tales como el capitán y oficiales del buque incluyendo el oficial de seguridad del buque, tripulación y personal del área IT.

Es necesario tener en cuenta que los controles de ciberseguridad deben comprender aspectos tecnológicos de IT, procesos y personas.

Dado que los controles de ciberseguridad pueden tener un impacto negativo en la eficiencia de los procesos de negocio y las operaciones, el personal directivo debería ser responsable de evaluar y decidir el nivel de riesgo aceptable, contramedidas e implicaciones de las mismas.

La Dirección de la compañía debería decidir primero sobre la estrategia de aplicación de controles de ciberseguridad en los procesos de negocio y operaciones y posteriormente, como consecuencia de lo anterior, sobre su aplicación a los sistemas tecnológicos de la compañía y los buques.

La vulnerabilidad a ciber incidentes depende de varios factores tales como controles existentes, responsabilidades definidas para los sistemas IT y OT, interfaces y comunicaciones del buque con la cadena de suministro, información sensible almacenada a bordo y disponibilidad de sistemas de seguridad que depende de tecnologías de información y control.

La vulnerabilidad de los sistemas estará influenciada por su ubicación como sistema autónomo, conectado a Internet, en una red controlada o en una red no controlada.

Los sistemas del buque que pueden ser comprometidos por un ciber ataque incluyen:

  • Sistemas de navegación en el puente
  • Comunicaciones del buque
  • Gestión de la carga
  • Sistemas de control de propulsión, maquinaria y electricidad.
  • Sistemas de control de accesos
  • Sistemas de gestión del pasaje
  • Redes públicas para el pasaje
  • Sistemas administrativos
  • Redes y sistemas de entretenimiento de la tripulación.

 

El impacto de un ciber incidente potencial debería ser evaluado utilizando las dimensiones de seguridad de la información CID ( Confidencialidad, Integridad y Disponibilidad). En la guía se muestra un ejemplo de categorización de estas dimensiones basado en FIPS 199 (Ref.2)

Las cuatro fases que recomienda la guía para la evaluación de riesgos son:

  • Actividades previas a la evaluación
  • Evaluación en el buque
  • Informe de vulnerabilidades encontradas
  • Informe fabricantes o proveedores (opcional)

El marco de ciberseguridad del NIST (Ref.3) puede aportar indicaciones sobre el nivel de madurez del enfoque de ciberseguridad de la compañía.

 

3.    Reducir el ciber riesgo.

Reducir el ciber riesgo a niveles aceptables debería ser el objetivo principal de la estrategia de ciberseguridad de la compañía.

Dada la variedad de medidas organizativas, procedimentales y técnicas para la gestión del ciber riesgo, la selección e implantación de controles de ciberseguridad debería realizarse utilizando un enfoque de coste-beneficio.

En la guía BIMCO se considera crítico cómo gestionar y delegar las responsabilidades de ciberseguridad en los buques a los capitanes, oficiales y otras partes interesadas como puedan ser el oficial de seguridad de la compañía.

Existen muchas referencias que pueden utilizarse para la selección e implantación de controles tecnológicos. La guía BIMCO menciona entre ellos los Controles Críticos de Ciberseguridad CSC del “Center for Internet Security” CIS (Ref.4).

La guía menciona una selección de controles CSC que considera particularmente relevantes para la ciberseguridad a bordo de buques:

  • Limitación y control de puertos de red, protocolos y servicios.
  • Configuración de dispositivos de red como cortafuegos, enrutadores y conmutadores.
  • Configuración segura de hardware y software
  • Protección de navegación web y correo electrónico.
  • Comunicaciones por satélite y radio.
  • Defensas contra el malware.
  • Capacidad de recuperación de datos.
  • Control de redes inalámbricas.
  • Seguridad en las aplicaciones (gestión de parches).
  • Diseño de red seguro.
  • Seguridad física.
  • Defensas perimetrales.

Los controles procedimentales mencionados en la guía BIMCO que se refieren a los planes y procedimientos para el uso de los sistemas de a bordo por la tripulación. Algunos ejemplos mencionados son:

  • Formación y concienciación.
  • Mantenimiento de software y actualizaciones.
  • Actualizaciones de anti-virus y herramientas anti-malware.
  • Uso de privilegios de administrador
  • Control de medios físicos removibles
  • Disposición de equipos incluyendo la destrucción de datos
  • Soporte de personal de tierra y planes de contingencia

Cuando se evalúen controles ya sea los indicados en la guía BIMCO o de otras referencias, se debería tener en cuenta los requisitos de los sistemas IT y OT del buque tales como requisitos de latencia. Por ejemplo, todos los sistemas IT deberían tener anti-malware instalado. Sin embargo, si este afecta de modo adverso a las prestaciones de los equipos, se tendrían que buscar controles de ciberseguridad alternativos o compensatorios.

Adicionalmente a los controles mencionados en la guía BIMCO, existen varias referencias de controles de ciberseguridad que podrían utilizarse tales como ISO 27002 (Ref. 5) o NIST SP 800-53 (Ref. 6). Para controles en sistemas OT, una guía introductoria bastante útil es la guía del CPNI “Good practice guide for process control and scada security” (Ref. 7).

La guía BIMCO se refiere a la defensa en profundidad como un enfoque recomendado para reducir el riesgo. Este enfoque està basado en el establecimiento de varias líneas de defensa y el posicionamiento de la información sensible en las capas más interiores. De tal modo que un atacante puede comprometer las capas externas pero suponiendo que somos conscientes del ataque y reaccionamos para detener el mismo, no podría comprometer las capas internas.

Los controles de seguridad física del buque probablemente ya contemplen un enfoque de defensa física en profundidad. Dado que un ataque físico podría tener consecuencias en la ciberseguridad y también que un ciber ataque podría deshabilitar controles físicos, se recomienda alinear los controles de ciberseguridad con los procedimientos de seguridad del buque y los requisitos de los códigos IGS y PBIP.

 

4.    Desarrollar planes de contingencia

La compañía debería desarrollar y los buques deberían tener planes de contingencia de sistemas IT y OT de tal modo que puedan responder de modo eficiente a los ciber incidentes.

Según la guía BIMCO, los planes de contingencia deberían contemplar quienes deben tomar decisiones en caso de contingencias, en qué situaciones se debe contactar con personal experto externo y el modo de comunicar.

Los elementos más críticos de los planes de contingencia en buques mencionados en la guía BIMCO son:

  • Procedimientos de respuesta e caso de ataque que implique manipulación o parada de los sistemas de navegación del buque.
  • Procedimientos de respuesta en caso de ataque que implique manipulación o parada de los sistemas de control de propulsión, sistemas auxiliares u otros sistemas críticos.
  • Procedimientos de respuesta para verificar la integridad de los datos en caso de sospecha de ataque.
  • Procedimientos de gestionar los incidentes de secuestro de datos “ransomware”.
  • Procedimientos de contingencia cuando en los buques se pierden datos de tierra.

Cuando se descubre un ciber incidente, es importante que todo el personal relevante sepa cómo actuar y el procedimiento que debe seguir. Es crucial que los planes de contingencia y la información relacionada estén disponibles en formato no electrónico ya que algunos ciber incidentes pueden implicar la destrucción de datos y la parada de sistemas y enlaces de comunicación.

Considero que guías adicionales que deberían ser consultadas para planes de contingencia son el estándar ISO 22301 de continuidad de negocio (Ref. 8) y las buenas prácticas del “Business Continuity Institute” BCI (Ref.9).

 

5.    Conclusion

En mi opinión, la guía BIMCO presenta un enfoque bien estructurado para establecer un programa de ciberseguridad a bordo de los buques. Considero que el enfoque de evaluación y gestión de ciber riesgos utilizado está bien fundamentado y es adecuado.

En particular, creo que el uso del marco de Mejora de la Ciberseguridad de infraestructuras críticas “NIST Cybersecurity Framework ​(Ref. 3) que se menciona en la guía aporta un buen enfoque para la gestión de la ciberseguridad en infraestructuras críticas.

En la guía se apuntan varias opciones para el establecimiento de controles para la reducción del riesgo. Sin embargo, considero que otras referencias relevantes deberían ser consultadas (e.g.: ISO 27002, ISO 22301, NIST SP 800-3, NIST SP800-53, CPNI GPG Scada).

Si está interesado en conocer un ejemplo de la aplicación de la evaluación y gestión de ciber riesgos en el puente de un buque y la aplicación de las dimensiones de seguridad Confidencialidad, Integridad y Disponibilidad CID para evaluar impactos de ciber incidentes, recomiendo la lectura de este artículo del blog:

https://erawat.es/es/analisis-de-riesgos-de-ciberseguridad-en-buques

 

Referencias: