Simposio ʺCiberseguridad y resiliencia en el sector marítimo" de la OMI y la Universidad de Plymouth, el 1 y 2 de noviembre de 2023
Un simposio estudia cómo aumentar la resiliencia cibernética en la cadena de suministro marítima internacional.
A medida que el sector del transporte marítimo mundial se digitaliza cada vez más, los ciberatacantes buscan explotar las vulnerabilidades de la cadena de suministro marítima. Representantes del sector, académicos y ONG examinaron los tipos de posibles ataques cibernéticos y cómo protegerse contra ellos en el tercer Simposio de la Universidad de Plymouth (Cyber-SHIP Lab) anual, organizado conjuntamente con la Organización Marítima Internacional (OMI).
La primera jornada del simposio se centró en el nivel y la variedad de las amenazas cibernéticas. En la segunda jornada se analizaron posibles soluciones tecnológicas, políticas y normativas.
Una cuestión que se planteó varias veces a lo largo del evento fue la de persuadir a las víctimas de ataques cibernéticos marítimos para que compartan información que permita aprender y reforzar la resiliencia en todo el sector.
Al inaugurar el simposio en nombre del Secretario General de la OMI, el Sr. Joseph Westwood-Booth, Director adjunto superior, División de seguridad marítima, dejó claro el compromiso de la OMI de mejorar las capacidades de ciberseguridad marítima de los Estados Miembros y promover una cultura de ciberseguridad:
"La OMI, en consonancia con su papel de regulador mundial que facilita el transporte marítimo moderno, debe seguir promoviendo la cooperación con los asociados internacionales, el mundo académico y el sector para hacer frente a las crecientes amenazas cibernéticas y sus repercusiones en el ámbito marítimo", afirmó.
¿Qué aspecto puede tener un ataque cibernético o ciberataque?
El Sr. Kevin Jones, investigador principal del laboratorio Cyber-SHIP y decano ejecutivo de la Facultad de Ciencias e Ingeniería de la Universidad de Plymouth, utilizó ejemplos reales anónimos para resumir los tipos de ciberataques que podrían organizarse, sus posibles consecuencias y cómo mitigarlos:
Un ataque "interno", por ejemplo, a los sistemas del puente de mando de un buque, o a las vulnerabilidades de sus sistemas de motor. La forma de evitarlo es, según él, la "ciberseguridad clásica", por ejemplo segregando las redes.
Un sofisticado "ciberataque físico" contra la cadena de suministro marítima que utiliza un conocimiento detallado de los proveedores y las operaciones. Entre las posibles medidas paliativas figuran la seguridad por proyecto, la seguridad de la cadena de suministro y la capacitación y formación del personal.
Un ataque "interactivo" que utilice una tecnología novedosa, como una conexión 5G entre activos, por ejemplo, un atacante con conocimiento de la ubicación de los buques que actúe en tiempo real para aprovechar los puntos débiles. La mitigación no es fácil, pero incluye seguridad física, investigación e inspecciones, y seguridad de las redes.
Según el Sr. Jones, las motivaciones de los atacantes pueden ser económicas o de "hacktivismo" (uso de técnicas digitales para manifestarse a favor o en contra de una causa social o política). Además de abordar las cuestiones técnicas y culturales, la legislación, la reglamentación y la existencia de políticas y procedimientos adecuados pueden ser de gran ayuda.
Entre las cuestiones planteadas por los asistentes cabe citar la falta de intercambio de información en el sector marítimo, el modo en que la digitalización aumenta la "superficie de ataque" y los distintos enfoques políticos adoptados por los países, por ejemplo la disposición a pagar o no rescates.
El valor de las métricas de notificación de incidentes cibernéticos
El Sr. Adam B Morrison, Jefe del Destacamento del Mando Cibernético de la Guardia Costera de Estados Unidos (USCG), describió la amenaza de los ciberataques marítimos como un problema compartido a escala mundial e hizo un llamamiento a la vigilancia colectiva de los gobiernos y el sector del transporte marítimo para garantizar la "ciberhigiene".
Aunque los incidentes cibernéticos ocurren todos los días, en general no se informa de ellos, según el Sr. Morrison. De hecho, algunos cuestionan la viabilidad de informar porque significa admitir vulnerabilidades. Citó cifras de la USCG que indican que la mayoría de los incidentes se deben a puntos débiles, como contraseñas fáciles de descifrar.
A continuación se celebró una mesa redonda sobre "Orientaciones actuales y futuras en materia de ciberseguridad marítima". El Sr. Gary Kessler, académico independiente, consultor y profesional de protección marítima, habló de las repercusiones en el ámbito de la ciberseguridad de la inteligencia artificial (IA) y de la importancia de desarrollar entre la mano de obra marítima una cultura de ciberseguridad comparable a la de la seguridad.
El Sr. Adam Sobey, de la Universidad de Southampton y el Instituto Alan Turing, expuso la utilidad de medir lo que ocurre y destacó las vulnerabilidades presentes en las cadenas de suministro. Las naciones deben trabajar juntas para encontrar soluciones transnacionales, afirmó.
Preguntada por el "potencial alarmantemente claro" de ciberataques a medida que aumenta la investigación y el desarrollo de buques no tripulados, o buques marítimos autónomos de superficie (MASS, por sus siglas en inglés), la Sra. Kimberly Tam, directora académica del Cyber-SHIP Lab, afirmó que la mayor parte de las preocupaciones en este ámbito se centran en la necesidad de cambiar el estatus de un buque entre tripulado y no tripulado.
Muhammed Erbas, estudiante de segundo año de máster en la Universidad Tecnológica de Tallin, habló de su investigación sobre el aumento de los riesgos de ciberseguridad provocado por los sistemas de navegación cada vez más interconectados de los buques autónomos, y Eva Szewczyk, Asesora Principal de Políticas del Departamento de Empresa y Comercio del Reino Unido, hizo una presentación sobre la relación entre el sector de los seguros marítimos y los riesgos cibernéticos. Aunque algunas compañías especializadas ofrecen cobertura contra ciberataques, la disponibilidad es limitada, afirmó.
Jungo Shibata, del Monohakobi Technology Institute, filial de I+D de la compañía naviera NYK, explicó a los delegados el desarrollo por parte de NYK de un sistema de gestión de la información a bordo de los buques para recopilar datos que se controlan y analizan en tierra.
Investigación y capacidades
La Sra. Kimberly Tam y Avanthika Vineetha Harish, del Cyber-SHIP Lab, detallaron el tipo de trabajo que se realiza en sus instalaciones. La plataforma de investigación sobre ciberseguridad del Cyber-SHIP Lab utiliza hardware real en lugar de simulaciones, lo que, según afirmaron, proporciona unas capacidades únicas para la comprobación de los sistemas de los buques. El Sr. Tam declaró que el equipo del Cyber-SHIP Lab estaba deseoso de colaborar con el sector en la investigación y la elaboración de hipótesis.
Allan Nganga, de la Universidad de Ciencias Aplicadas de Noruega Occidental, analizó la situación de los Centros de Operaciones de Seguridad marítimos. Su investigación mostró que la gestión de incidentes era la principal preocupación. Entre los factores que influyen en la gestión de incidentes se encuentran la concienciación cibernética, incluyendo entre las tripulaciones, la comunicación de incidentes, el proceso de análisis de incidentes, incluido el impacto de la escasez de personal, y la recopilación e intercambio de información.
Concluyó haciendo un llamamiento para mejorar el intercambio de información y la colaboración entre las partes interesadas en la ciberresiliencia de los buques.
Adaptarse y desarrollarse en un mundo interconectado
En un mensaje grabado en video de la Ministra de aviación, asuntos marítimos y protección del Reino Unido de Gran Bretaña e Irlanda del Norte, Sra. Vere. Dijo que el sector marítimo, en la era digital, debe adaptarse:
"Tendremos que mantener y desarrollar planteamientos seguros y garantizar que los trabajadores puedan operar dentro de estos sistemas. Incluidas en las ciberamenazas están la amenaza al comercio y la economía mundiales... Nosotros [el Gobierno del Reino Unido] seguiremos trabajando por la protección marítima".
El Sr. James Parkin, Director de la Dirección de Desarrollo de la Marina Real Británica, que supervisa las capacidades futuras de la Armada, se unió al simposio a distancia para pronunciar su discurso de apertura y habló de las similitudes entre la arquitectura de redes digitales de los sectores marítimo militar y civil. La ciberseguridad es uno de los retos más críticos de la Armada, afirmó, y destacó la importancia de que cualquier amenaza a la tecnología de la información y los sistemas OT no ponga en riesgo la tecnología de combate de la flota.
El Sr. Parkin continuó:
"No podemos hacerlo solos. Somos un mundo interconectado y estamos conectando con nuestros aliados y asociados... El reto es que nuestros adversarios son impredecibles e invisibles, y cuentan con más recursos que nosotros".
Una ciberamenaza marítima real: la cadena de suministro de software
Thomas Scriven, consultor principal de Mandiant, trabaja con clientes comerciales y gubernamentales en inteligencia sobre ciberamenazas y respuesta a incidentes, lo que le permite saber qué hacen los atacantes, cuándo alcanzan sus objetivos y lo que él denomina su tiempo de permanencia.
Para ilustrar el riesgo de un ataque a todo el sector centrado en la cadena de suministro, utilizó un escenario geopolítico ficticio que implicaba múltiples detecciones de inteligencia extranjera de un actor estatal que realizaba un reconocimiento cibernético, típico del tipo de amenaza cibernética que encuentra Mandiant.
Andy Howell, consultor principal de ciberseguridad de BMT, una consultora de diseño de ingeniería que trabaja principalmente con el sector marítimo, subrayó cómo la creciente automatización, con datos que se comparten interna y externamente, aumenta la vulnerabilidad ante un ciberataque. El BMT se centra en definir lo que sería una pérdida de misión inaceptable para un buque y en crear ciberresiliencia en torno a sus sistemas críticos para que pueda seguir funcionando.
Desarrollo de un marco de ciberseguridad marítima
Matthew Parker, Jefe de Estrategia de protección marítima, amenazas y riesgos del Departamento de transporte del Reino Unido de Gran Bretaña e Irlanda del Norte, habló en el simposio sobre el Marco estratégico cibernético marítimo del Reino Unido.
El Marco se divide en tres áreas: infraestructura y equipamiento; compromiso y habilidades; y desarrollo de políticas. Establece el ámbito del ecosistema marítimo: las infraestructuras portuarias; sistemas de los buques; comunicaciones y sistemas de información; apoyo operacional marítimo; la infraestructura mar adentro y submarina. sistemas de seguridad y vigilancia; y las personas, y el trabajo necesario para hacer frente a las amenazas y vulnerabilidades conocidas. También incluye un plan de implantación para apoyar al sector.
Análisis de los incidentes cibernéticos marítimos notificados públicamente
Jeroen Pijpker y el Sr. Stephen McCombie, especializados respectivamente en ciberseguridad y seguridad informática en la Universidad de Ciencias Aplicadas NHL Stenden, explicaron sus investigaciones sobre las ciberamenazas al sistema de transporte marítimo. Su trabajo ha dado lugar a la creación de la Base de Datos de Ciberataques Marítimos, que detalla los incidentes cibernéticos marítimos. Sus datos se basan en información de fuentes abiertas británicas y están disponibles en línea y en forma de aplicación para ayudar a aumentar la concienciación sobre la prevalencia y los tipos de ataques que se producen y proporcionar una base para futuras investigaciones.
La base de datos registra el número de incidentes cibernéticos por país atacante 2001-2023 como la Federación de Rusia 37, China 18, la República Islámica del Irán 9, la República Popular Democrática de Corea 9, los Estados Unidos de América 6, e Israel 3. Estados Unidos de América es el país que más veces ha sido víctima durante ese periodo, con 27 incidentes conocidos, y el Reino Unido de Gran Bretaña e Irlanda del Norte, 13. La base de datos registra 46 ataques contra buques y 37 contra puertos.
Según las investigaciones de los académicos, entre las tendencias recientes en materia de ciberataques figura el creciente uso de la tecnología, por ejemplo, por parte de los piratas para localizar buques u ocultar su ubicación. Se destacó la prevalencia de las interferencias, la piratería informática de los sistemas de carga y los ataques que ponen en peligro los sistemas de navegación, junto con la suplantación de GPS y AIS, y los programas maliciosos que afectan a los sistemas de puente de los buques.
Aumentar la ciberresiliencia
Para explorar cómo puede reforzarse la resistencia del sector marítimo frente a las ciberamenazas, Makiko Tani, Jefe Adjunto de Ciberseguridad de ClassNK, una sociedad de clasificación de buques, expuso a los delegados las Directrices de su organización y su sistema de gestión de la ciberseguridad.
A continuación, Svante Einarsson, Director de Ciberseguridad Marítima de DNV, destacó las conclusiones del Informe de Investigación sobre Ciberseguridad Marítima 2023 de DNV.
La encuesta, realizada a 800 personas de los sectores del transporte de pasajeros y mercancías, los servicios industriales y las funciones en alta mar, reveló que el 79% de los encuestados considera que los riesgos de ciberseguridad en el sector marítimo son cada vez más importantes, al igual que los riesgos para la salud y la seguridad. Algo más de la mitad, el 59%, afirma que la ciberseguridad es una prioridad para la alta dirección de su organización, pero sólo el 32% considera que su organización está muy bien preparada para prevenir un ciberataque directo contra sus sistemas.
Gobernanza y regulación
El papel de la reglamentación en la defensa de buques y puertos contra la amenaza de un ciberataque fue analizado por ponentes de BIMCO y la IAPH.
En representación de los propietarios de los buques, Jakob Larson, Jefe de Seguridad Marítima de BIMCO, afirmó que las últimas directrices se basan ahora más en el riesgo que las versiones anteriores y que el sector ha mejorado en la gestión del riesgo cibernético. Pero advirtió que las directrices deben evolucionar para evitar que se queden obsoletas.
Tras señalar que la ciberseguridad figura en el orden del día de la OMI para su debate en la primavera de 2024, esbozó lo que BIMCO esperaba ver en el futuro: normas basadas en objetivos para el sector, un enfoque centrado en la seguridad y el riesgo, y la priorización de entidades críticas dentro de la cadena de suministro, por ejemplo, un gran puerto en lugar de un buque individual. También subrayó el debate en torno a la confidencialidad comercial y qué información debe compartirse.
En nombre de los puertos, Frans van Zoelen, de la IAPH, abordó las posibles repercusiones de la ventanilla única marítima para el intercambio de datos, que será obligatoria a partir de enero de 2024. Repasó los instrumentos normativos pertinentes en materia de ciberseguridad, incluidas las Directrices de la OMI sobre la gestión de los riesgos cibernéticos marítimos, las directrices no obligatorias del sector de ENISA, BIMCO e IAPH, y el Código PBIP obligatorio para las instalaciones portuarias.
A nivel nacional, el Sr. van Zoelen subrayó la importancia de preparar la legislación para el futuro incorporando flexibilidad en la misma.
Scott Dickerson, Director Ejecutivo del Centro de Análisis e Intercambio de Información del Sistema de Transporte Marítimo (MTS-ISAC), que promueve y facilita el intercambio de información sobre ciberseguridad entre las partes interesadas de los sectores público y privado, habló de los retos que plantea el carácter internacional del sector del transporte marítimo, en el que los países tienen sus propias formas de abordar el problema, incluidos los distintos enfoques de la aplicación de la ley y los requisitos de presentación de informes.
Consecuencias y respuestas cibernéticas
En una presentación sobre la mejora de la ciberresiliencia de los buques de la Armada, el Sr. William van der Geest, de la Marina Real de los Países Bajos, habló de los singulares retos de ciberseguridad a los que se enfrentan los buques de la Armada.
A falta de expertos en ciberseguridad a bordo, es necesario, dijo, incorporar la cibernética como parte de la respuesta de reparación de emergencia en combate de un buque de la Armada. En su opinión, es posible que haya que improvisar para devolver a los sistemas afectados un nivel de servicio suficiente, ya que en un entorno de combate no se dispone del lujo de tiempo necesario para una búsqueda exhaustiva de averías.
Un actor clave en caso de ciberataque es el sector de los seguros. Kelly Malynn es jefa de producto y suscriptora de daños físicos cibernéticos en Beazley, que asegura el 25% de la flota marítima mundial. Está especializada en la identificación y cuantificación de riesgos complejos e intervino en el simposio sobre lo que, en caso de violación de la ciberseguridad, es técnicamente plausible para las aseguradoras.
Expuso los tipos de ciberamenazas a los que se enfrenta el sector marítimo: cibernética de buques, por ejemplo, daños físicos a los buques, cibernética de compañías, por ejemplo, "bricking" (cuando el hardware informático queda inutilizado, quizá como consecuencia de un ataque informático), e interrupción de la actividad empresarial.
El tipo de incidentes cibernéticos para los que existe cobertura de seguro incluye el ataque a sistemas eléctricos, programa malicioso secuestrador genérico, el sistema de información y visualización de cartas electrónicas de un buque, y los sistemas de correo electrónico y reservas, explicó la Sra. Malynn.
En las pruebas de buques multisistema en el mundo real, sí identificó vulnerabilidades. Sin embargo, afirmó que la complejidad de los sistemas de los buques era complicada de sortear para un posible ciberatacante. Atravesar las defensas y ponerlas en peligro exigiría una inversión considerable, lo que plantea la cuestión de si la recompensa merecería la pena.
Puede encontrar más información sobre el Simposio ʺCiberseguridad y resiliencia en el sector marítimo" de la OMI y la Universidad de Plymouth aquí.