Actualmente ni la Organización Marítima Internacional ni las administraciones nacionales han regulado sobre la incorporación de controles de ciberseguridad en el sector marítimo.

En este artículo presento algunas ideas para incorporar políticas, procedimientos y controles de ciberseguridad marítima en las operaciones de los buques.

En primer lugar, realizo una breve descripción de los códigos de seguridad PBIP e IGS de la OMI. Posteriormente indico como se podría incorpora la ciberseguridad en los mismos.

 

Código PBIP. Protección de buques y puertos.

Las directrices para prevenir ataques deliberados en buques e instalaciones portuarias vienen definidas en la normativa “International Ship and Port facility Security code ISPS” aprobada por la Organización Marítima Internacional OMI en 2002.

En español esta normativa es conocida como código PBIP “Protección de buques e instalaciones portuarias” y está traspuesta en la legislación nacional en el BOE de 21 de agosto de 2004.

El código PBIP aplica a buques que realicen travesías internacionales incluidos buques de pasaje y buques mercantes mayores de 500GT. Aplica también a los puertos que atienden tráfico internacional de los países firmantes del convenio SOLAS. No aplica a buques militares ni gubernamentales de uso no comercial

El código PBIP consta de una primera parte (A) de disposiciones obligatorias y una segunda parte (B) de disposiciones opcionales que quedan a criterio de las administraciones nacionales.

Para los interesados en los aspectos legales relativos a PBIP en el ámbito europeo comentar que en la Comunidad Europea se han aprobado el reglamento CE 725/2004 por la que se confirman como obligatorios los requisitos de la parte A del código PBIP y se regulan como obligatorios algunos requisitos opcionales de la parte B de dicho código. La directiva 2005/65/CE traspuesta en el RD 1617/2007 confirma y amplía los requisitos de seguridad del CE 725/2004.

Los objetivos del código PBIP son:

  • Establecer un marco internacional que canalice la cooperación entre Gobiernos Contratantes, organismos gubernamentales, administraciones locales y sectores naviero y portuario a fin de detectar las amenazas a la protección y adoptar medidas preventivas contra los sucesos que afecten a la protección de los buques o instalaciones portuarias utilizados para el comercio internacional.
  • Definir las funciones y responsabilidades respectivas de los Gobiernos Contratantes, los organismos gubernamentales, las administraciones locales y los sectores naviero y portuario, a nivel nacional e internacional, con objeto de garantizar la protección marítima.
  • Garantizar que se recopila e intercambia con prontitud y eficacia información relacionada con la protección.
  • Ofrecer una metodología para efectuar evaluaciones de la protección a fin de contar con planes y procedimientos que permitan reaccionar a los cambios en los niveles de protección.
  • Garantizar la confianza de que se cuenta con medidas de protección marítima adecuadas y proporcionadas.

Las amenazas consideradas en el código PBIP son principalmente de tipo físico. Uno de los objetivos del código PBIP es fomentar la colaboración de gobiernos, agencias y la industria para detectar amenazas de seguridad y adoptar medidas preventivas ante incidentes de seguridad.

Se consideran tres niveles de seguridad o alerta que deben implicar la adopción incremental de medidas preventivas de seguridad:

  • Nivel de protección 1: el nivel en el cual deberán mantenerse medidas mínimas adecuadas de protección en todo momento.
  • Nivel de protección 2: el nivel en el cual deberán mantenerse medidas adecuadas de protección adicionales durante un período de tiempo, como resultado de un aumento del riesgo de que ocurra un suceso que afecte a la protección marítima.
  • Nivel de protección 3: el nivel en el cual deberán mantenerse más medidas concretas de protección durante un período de tiempo limitado cuando sea probable o inminente un suceso que afecte a la protección marítima, aunque no sea posible determinar el blanco concreto.

Los gobiernos nacionales que adoptan el PBIP son responsables de lo siguiente:

  • Establecer el nivel aplicable de seguridad en cada momento
  • Aprobar la evaluación de seguridad y el plan de seguridad de los puertos
  • Determinar los puertos que requerirán nombrar un oficial de seguridad
  • Ejercer de supervisor de medidas de cumplimiento
  • Establecer los requerimientos de la declaración de seguridad

Planes de protección en PBIP

Según el código PBIP, la organización y procedimientos de los planes de protección de buques (PPB o Ship Security Plan SSP) deben contemplar:

  • Tareas y las responsabilidades de todo el personal de a bordo con funciones de protección marítima;
  • Procedimientos y salvaguardias necesarios para que estas comunicaciones continuas estén garantizadas en todo momento;
  • Procedimientos necesarios para evaluar la eficacia en todo momento de los procedimientos de protección y de todo equipo y sistema de protección y vigilancia, incluidos los procedimientos para identificar y subsanar cualquier fallo o funcionamiento defectuoso del equipo o los sistemas.
  • Procedimientos y prácticas para salvaguardar la información confidencial sobre protección disponible en papel o en formato electrónico.
  • Características, y las necesidades de mantenimiento, del equipo y los sistemas de protección y vigilancia, si los hay.
  • Procedimientos para presentar y evaluar oportunamente informes sobre posibles fallos o aspectos de protección preocupantes.
  • Procedimientos para elaborar, mantener y actualizar un inventario de las mercancías peligrosas o sustancias potencialmente peligrosas que haya a bordo, y la ubicación de éstas.

El enfoque del PPB tiene una orientación clara hacia la seguridad física. Por ejemplo, su contenido incluirá referencias a responsabilidades de las personas de la compañía en el buque y en tierra, controles físicos de acceso al buque, realización de guardias y patrullas, videovigilancia CCTV así como prevención y actuación ante posibles ataques de piratas.

A continuación se muestra contenido recomendado para el PPB según USCG:

  • Organización de la seguridad del buque
  • Formación de personal
  • Simulacros y ejercicios
  • Registros y la documentación
  • Respuesta a cambios de niveles de seguridad MARSEC
  • Procedimientos para la interfaz con las instalaciones y otras embarcaciones
  • Declaraciones de seguridad (DoS )
  • Comunicaciones
  • Sistemas de seguridad y mantenimiento de los equipos
  • Medidas de seguridad para el control de acceso, incluidas las zonas de acceso de pasajeros y empleados.
  • Medidas de seguridad para zonas restringidas
  • Medidas de seguridad para el manejo de carga
  • Medidas de seguridad para la entrega de las provisiones de los buques y bunkers
  • Medidas de seguridad para la vigilancia
  • Procedimientos de incidentes de seguridad
  • Plan de Auditorías y revisiones del Plan de Protección del Buque (PPB)
  • Informe de Evaluación de la Seguridad del Buque (ESB)

 

Código IGS. Seguridad de operaciones.

La normativa para la seguridad de las operaciones en los buques viene definida en el código “International Safety Management Code ISM” aprobado inicialmente por la Organización Marítima Internacional OMI en 1993 y de obligado cumplimiento desde 1998.

El código IGS aplica a buques de pasaje independientemente de su tonelaje y a buques mercantes mayores de 500GT. No aplica a buques de uso no comercial.

El Código internacional de gestión de la seguridad IGS tiene por objeto garantizar la seguridad marítima y que se eviten tanto las lesiones personales o pérdidas de vidas humanas como los daños al medio ambiente, concretamente al medio marino, y a los bienes. Es decir, trata de seguridad (safety) de las operaciones, las personas y el medioambiente.

En español esta normativa es conocida como código IGS y está traspuesta en la legislación nacional en el BOE de 22 de Mayo de 1998.

Según el código IGS, los objetivos de la gestión de la seguridad de la compañía deben abarcar, entre otras cosas:

  • Establecer prácticas de seguridad en las operaciones del buque y en el medio de trabajo;
  • Tomar precauciones contra todos los riesgos señalados.
  • Mejorar continuamente los conocimientos prácticos del personal de tierra y de a bordo sobre gestión de la seguridad, así como el grado de preparación para hacer frente a situaciones de emergencia que afecten a la seguridad y al medio ambiente.

El sistema de gestión de la seguridad (SGS) debe incluir las siguientes prescripciones de orden funcional:

  • Principios sobre seguridad y protección del medio ambiente;
  • Instrucciones y procedimientos que garanticen la seguridad operacional del buque y la protección del medio ambiente con arreglo a la legislación internacional y del Estado de abanderamiento;
  • Niveles definidos de autoridad y vías de comunicación entre el personal de tierra y de a bordo y en el seno de ambos colectivos;
  • Procedimientos para notificar los accidentes y los casos de incumplimiento de las disposiciones del Código;
  • Procedimientos de preparación para hacer frente a situaciones de emergencia, y
  • Procedimientos para efectuar auditorías internas y evaluaciones de la gestión.

Manual de seguridad en IGS

La operación del SGS debe estar documentada y debe existir a bordo del buque un documento llamado Manual de Gestión de la Seguridad del Buque (Safety Management Manual SMM) que la compañía debe elaborar, aplicar y mantener.

A continuación se muestra un ejemplo de contenido recomendado para el manual SMM tomado del USCG Vessel safety program:

  • Introducción
  • Políticas de Protección del Medio Ambiente y Seguridad
  • La responsabilidad y autoridad de la compañía
  • Personas Designadas
  • Responsabilidad del Capitán
  • Recursos y personal
  • Procedimientos de Operación del Buque
  • Preparación para Emergencias
  • Procedimientos de Información
  • Mantenimiento
  • Documentación
  • Verificación y revisión por la compañía

 

Ciberseguridad marítima en los buques

Algunos modelos de PPB incluyen referencias a seguridad de sistemas de información a bordo. Sin embargo, estas referencias a seguridad de la información o computer security suele ser muy básicas.

Por ejemplo, el PPB hará referencia a medidas de seguridad en los sistemas informáticos de abordo indicando medidas tales como protección de equipos informáticos con contraseñas, realización de copias de seguridad y protección del equipo que contiene el manual del PPB.

El SMM está muy enfocado a seguridad de operaciones, personas y medioambiente. El PPB está orientado a seguridad física. Normalmente, ninguno de ellos contendrá referencias a seguridad de la información o ciberseguridad.

En mi opinión, el Plan de Protección del Buque PPB y el Manual de Gestión de la Seguridad del Buque SMM pueden ser los lugares adecuados para incluir referencias a políticas y controles de ciberseguridad marítima tales como:

  • Realización de análisis de riesgos de sistemas de información
  • Medidas de seguridad preventivas desplegadas para mitigar riesgos de sistemas de información a nivel aceptable.
  • Política de seguridad de accesos Internet indicando tipos de uso y momentos no permitidos.
  • Política de uso de medios de almacenamiento extraíbles tales como pendrives, discos externos, CDs, DVDs.
  • Política de uso y controles de acceso en redes de entretenimiento de la tripulación y redes WiFi.
  • Política y procedimientos de actualización y mantenimiento de sistemas de información y navegación.
  • Niveles y controles de acceso físico y lógico a los distintos sistemas y redes de datos del buque en función de su criticidad.
  • Autorización de conexiones remotas desde la oficina de la compañía para monitorización de sistemas o mantenimiento.
  • Plan de contingencias de sistemas de información.
  • Procedimientos de gestión de ciberincidentes: detección, notificación, evaluación y decisión, respuesta, recuperación, cierre y lecciones aprendidas.
  • Formación y concienciación de capitán, oficiales y tripulación en riesgos y controles de ciberseguridad.

A modo de ejemplo, las políticas de ciberseguridad marítima podrían incluir deshabilitar o limitar los accesos a Internet y conexiones WiFi durante las operaciones sensibles del buque tales como aproximaciones y maniobras en puerto.

Manual y procedimientos de ciberseguridad

Los planes, manuales y procedimientos de ciberseguridad marítima deberían tener entidad y soporte documental propios tomando la forma de un manual de ciberseguridad (MCSEC) que incluiría políticas, procedimientos y listas de control (checklist).

El PPB y SMM harían referencias al MCSEC según se requiera. Algunos ejemplos serían:

  • La existencia de un plan de contingencias de los sistemas de navegación ECDIS debería estar en el SMM. En caso de ser necesaria su activación, los detalles del plan de contingencias de sistemas de información, incluyendo ECDIS, se consultarían en el manual MCSEC.
  • Los controles de acceso físico a las distintas zonas del buque deberían estar indicados en el PPB. Los controles de acceso lógico a los sistemas de información y control de las distintas zonas definidas en el PPB se detallarían en el MCSEC.
  • Las lecturas de posición en el ECDIS no se corresponden con lecturas previas del ECDIS ni con las posiciones obtenidas visualmente sugiriendo un mal funcionamiento del sistema o una interceptación deliberada. Además de seguir los procedimientos del SMM para una navegación segura, se debería consultar el procedimiento de gestión de ciberincidentes del MCSEC para responder al ciberincidente potencial.

Muy importante, no se trata sólo de definir y documentar. Es necesario implantar las políticas y controles de ciberseguridad marítima, realizar pruebas de los mismos y comprobar sus resultados.

A continuación, se muestra una representación de alto nivel indicando la interacción entre acciones necesarias en códigos PBIP e IGS y la ciberseguridad marítima.

Ciberseguridad marítima usando los códigos PBIP e IGS

 

Acrónimos

  • PBIP: Protección de buques e instalaciones portuarias
  • ISPS: International Ship and Port Facility Security
  • IGS: Código internacional de gestión de la seguridad
  • ISM: International Safety Management
  • PPB: Plan de Protección del Buque
  • SMM: Safety Management Manual
  • MARSEC: Maritime Security
  • ECDIS: Electronic Chart Display and Information System
  • MCSEC: Manual de Ciberseguridad

 Referencias: