La creciente amenaza de materialización de ciberincidentes marítimos, rapidez de propagación e impacto hacen necesaria la definición e implantación de buenas prácticas de gestión de ciberincidentes que contemplen procesos, recursos y procedimientos específicos.

A continuación presento una metodología basada en cinco procesos que puede ser adaptada a los requisitos del sector marítimo incluyendo los buques:

  1. Preparación
  2. Detección y análisis
  3. Contención
  4. Resolución y recuperación
  5. Acciones posteriores al cierre

La adopción de esta metodología para la gestión de ciberincidentes marítimos permitiría:

  • Responder de modo sistemático ante ciberincidentes.
  • Adoptar medidas de respuesta adecuadas a cada ciberincidente.
  • Favorecer la continuidad del negocio ante ciberincidentes con objeto de minimizar los impactos en la organización.
  • Facilitar la identificación y asignación de presupuestos adecuados para la gestión de ciberincidentes.
  • Utilizar la información y conocimiento obtenido en la gestión de ciberincidentes para establecer métricas y realizar una mejor gestión de futuros ciberincidentes.

 

Gestión ciberincidentes marítimos

Fig.1 Gestión de ciberincidentes marítimos

 

 

Esta metodología podría aplicarse en las compañías navieras, organizaciones designadas para la gestión de la seguridad del código ISM y en los buques.

Dada la limitación de personal especializado en sistemas de información y ciberseguridad en los buques, se entiende que serían apoyados por personal en tierra y por organizaciones especializadas en ciberseguridad tales como equipos de respuesta a ciberincidentes CERT y operaciones de ciberseguridad SOC.

La metodología propuesta está alineada con la guía de gestión de incidentes NIST SP800-61 y la sección 4 de desarrollo de planes de contingencia de la guía BIMCO de ciberseguridad en buques.

En este artículo, cuando se utiliza la palabra “organización” debería entenderse como la compañía responsable de la implantación y operación del código ISM tal como se define en la regla 1 de dicho código.

 

  1. Preparación

Las actividades de preparación deben contemplar tanto el establecimiento de la capacidad de respuesta a ciberincidentes como la prevención de los mismos.

Establecimiento de procedimientos de gestión

Los ciberincidentes se pueden originar y materializar de maneras muy distintas. Se debe desarrollar una política de gestión de ciberincidentes y procedimientos para gestionar los tipos de ciberincidentes con más probabilidad de ocurrencia o mayor impacto previsible en la organización.

Establecimiento de capacidad de respuesta.

Se debe prever la disponibilidad de:

  • Personal (equipo, personas individuales) para la gestión de ciberincidentes: gestores, técnicos, responsabilidades, contactos.
  • Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración.
  • Informes de actividad considerada normal (“baseline”) de redes y sistemas que permitan detectar actividades anómalas.
  • CERTs en los que puede apoyarse la organización y su capacidad de respuesta.

 

  1. Detección y análisis

Las actividades a realizar son la detección de signos indicadores y precursores de ciberincidentes y su análisis, clasificación, priorización y notificación terminando con la documentación de los ciberincidentes una vez han sido resueltos.

Los signos de un ciberincidente pueden ser de dos tipos:

  • Signos indicadores: signos de que un ciberincidente ha ocurrido o puede estar ocurriendo; e.g.: alerta de un sensor avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un servidor, accesos lentos y generalizados a servicios o sistemas, etc.
  • Signos precursores: signos de que un ciberincidente puede ocurrir en el futuro; e.g.; barrido de puertos de red, anuncio de “exploits” que pueden aprovechar vulnerabilidades existentes en la organización, amenazas de ataque dirigidas a la organización anunciadas por hackers, etc.

La detección de signos indicadores debería poner en marcha las acciones de respuesta previstas por la organización.

La detección de signos precursores debería poner en marcha la implantación de controles y acciones preventivas.

Algunas fuentes de signos precursores e indicadores que la organización debe considerar son:

  • Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de monitorización de servicios.
  • Logs de sistemas operativos, dispositivos de red y aplicaciones.
  • Información pública: nuevas vulnerabilidades y “exploits”, sitios web y listas de correo de profesionales donde se comparten experiencias de ciberincidentes en distintas organizaciones.
  • Personal: personas de la organización y de otras organizaciones informando de la materialización de posibles ciberincidentes.
  • CERT/SOC: organismos de información y apoyo para la respuesta ciberincidentes de seguridad.

Para detectar cambios que puedan ser indicadores o precursores de ciberincidentes es necesario conocer el perfil y actividad de nuestras redes y sistemas así como establecer las características de la actividad normal de las mismas.

Para ello, se recomienda establecer uno o más servidores de la organización donde se puedan consolidar, correlacionar y conservar copias de los ficheros de logs de  los distintos sistemas de la organización como cortafuegos, dispositivos de comunicaciones, servidores y sistemas de detección o prevención  de intrusiones.

En el caso de buques, la información de logs se mantendría en el propio buque donde se podría correlacionar y alertar automáticamente al oficial de ciberseguridad del buque y a los especialistas en tierra en caso de posibles ciberincidentes

Una vez detectado un ciberincidente, se clasifica en uno de los tipos de ciberincidentes contemplados en los procedimientos de gestión. Si el ciberincidente no se puede clasificar se realizará  el tratamiento mediante un procedimiento genérico de gestión de ciberincidentes.

Las características del ciberincidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible para la organización y el orden de prioridad en el tratamiento de los ciberincidentes caso de presentarse más de uno simultáneamente.

 

  1. Contención

Las estrategias de contención de ciberincidentes varían dependiendo del tipo de ciberincidente e impacto previsible en la organización.

En los buques, en caso de ciberincidente confirmado por el personal de tierra se avisaría al oficial de ciberseguridad designado en el buque para adoptar las medidas necesarias.

Puede ser necesario realizar acciones como deshabilitar servicios, apagar ó desconectar sistemas y equipos de la red de modo controlado antes de que el impacto pueda extenderse a la organización o en el caso de buques a otros sistemas del buque.

Las acciones se pueden agilizar y ser más efectivas si los procedimientos para contener los distintos tipos de ciberincidentes han sido determinadas previamente.

La organización debería analizar los impactos previsibles para cada tipo de ciberincidente y definir estrategias de contención en función del nivel de riesgo considerado como aceptable. En el caso de buques el impacto dependerá de los sistemas afectados, grado de afectación y las condiciones actuales de navegación del buque.

Se deben recoger evidencias de los ciberincidentes para su utilización con fines de análisis forense y como posibles pruebas caso de ser requerido el inicio de  acciones legales. Las evidencias pueden tomarse de los sistemas de información (ficheros, imágenes de discos, equipos, …) y otras que se consideren relevantes para el análisis del ciberincidente o para inicio de procedimientos legales tales como el manual y procedimientos del sistema de gestión de seguridad SMS.

En el caso de buques la recogida y preservación de evidencias puede ser más compleja dada la falta de personal especializado a bordo. En ese caso, se deberían seguir las recomendaciones de personal de tierra y empresas especializadas.

Así mismo, la formación de los oficiales del buque en la gestión de ciberincidentes podría ayudar a la gestión de los mismos y la preservación de evidencias.

 

  1. Resolución y recuperación

Una vez ha sido realizada la contención del ciberincidente, hay que verificar si es necesario eliminar o limpiar componentes asociados al ciberincidente y proceder a la recuperación de la situación de operación normal en la organización.

En las actividades de resolución se realiza la eliminación de los componentes dañinos asociados al ciberincidente y otras actividades que se consideren adecuadas para resolver el ciberincidente o prevenir futuras ocurrencias.

Actividades habituales de resolución pueden ser la instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red.

Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups, reemplazar componentes afectados con versiones desinfectadas,  instalar actualizaciones de software, cambiar contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos.

En el caso de buques se entiende que se podría hacer la resolución y recuperación de sistemas según instrucciones de personal especializado en tierra aunque posiblemente la misma sea limitada. En ese caso, posiblemente se tendría que navegar con los sistemas afectados apagados o desconectados. Si entre los mismos están ambos ECDIS y sistemas GNSS se tendrían que utilizar técnicas de navegación tradicional.

 

  1. Acciones posteriores al cierre

Una vez el ciberincidente ha sido cerrado, es necesario recapitular y obtener lecciones aprendidas.

La organización debe hacer un estudio de recapitulación analizando las características de los ciberincidentes, impacto y acciones emprendidas para la detección, análisis y recuperación.

Se recomienda completar un documento con los datos anteriores e incluya origen y persona que detecta el ciberincidente, servicios y sistemas afectados, fecha/hora de inicio y cierre, responsable de la gestión del ciberincidente y acciones tomadas para resolución.

Periódicamente se deben analizar las actividades realizadas y estudiar posibles mejoras o cambios que deban realizarse ante futuros ciberincidentes.

Se recomienda recoger y analizar métricas sobre los tipos y frecuencia de ciberincidentes, impactos (financieros, obligaciones legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de ciberincidentes y acciones correctivas o preventivas

El ciberincidente puede notificarse a otras organizaciones como CERTs, subcontratistas, fabricantes u otras organizaciones de nuestro sector que puedan ser afectados por el ciberincidente.

 

Resumen

Dada la creciente amenaza de ciberincidentes marítimos que pueden afectar a compañías navieras y buques es de capital importancia la definición e implantación de procesos y procedimientos para la detección y gestión de los mismos.

La adopción de una metodología para la gestión de ciberincidentes marítimos que incluya procesos y procedimientos de actuación permitiría responder de modo sistemático ante los mismos y adoptar medidas de respuesta ágiles y eficaces.

Es importante la involucración y participación de personal en tierra y en los buques en la definición y gestión de los procedimientos de gestión de ciberincidentes.

Dada la alta especialización requerida para definir e implantar controles de ciberseguridad efectivos, las compañías navieras deberían considerar el apoyo de compañías especializadas que presten servicios del tipo CERT y SOC.

 

 Referencias: