Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Estándares de ciberseguridad en el mar

Fecha de publicación 11/07/2019
Autor
INCIBE (INCIBE)
Barco

El sector marítimo tiene una importancia crucial en la sociedad moderna, ya que es esencial, tanto en el desarrollo económico y social, como en la creación de oportunidades de empleo y desarrollo profesional. Desde hace muchos años es el medio de transporte más utilizado, así como un enlace de comunicación esencial entre ciudades costeras, países y continentes, siendo, además, junto con el transporte ferroviario, el más eficiente a nivel económico y medioambiental para el transporte de mercancías y pasajeros.

Actualmente, el sector marítimo global depende cada vez más de la digitalización, la integración de las operaciones y la automatización en los procesos. Mientras la tecnología sigue avanzando, las redes TI y TO presentes en las embarcaciones están empezando a ser conectadas entre ellas y, frecuentemente, también a Internet. Esto trae consigo un objetivo nuevo y urgente: mantener la seguridad operacional de dichos sistemas críticos.

Estado del arte de la ciberseguridad en el sector marítimo

Con el fin de mitigar las potenciales consecuencias de seguridad, medioambientales y comerciales que un incidente de ciberseguridad puede provocar, un grupo de organizaciones del ámbito marítimo, junto con el apoyo de un gran número de compañías involucradas, han unido esfuerzos para hacer frente a este problema.

IMO

Esta iniciativa se encuentra liderada principalmente por la IMO (International Maritime Organization), una agencia especial, perteneciente a las Naciones Unidas, que genera  estándares a nivel global y que ha creado un marco de referencia para la industria naval, velando por la seguridad y el mantenimiento del medio ambiente en las navegaciones, para que sea adoptada e implementada de forma universal.

En la actualidad, ni la IMO, ni ninguna autoridad nacional, ha llevado a cabo una regulación de la ciberseguridad específica para el sector marítimo. Sin embargo, en los últimos años se han realizado numerosos esfuerzos por parte de varias organizaciones, como la propia IMO, que publicó una guía de ciberseguridad para barcos, aportando recomendaciones a alto nivel para la protección del sector marítimo, así como para ayudar en la reducción del número de vulnerabilidades relacionadas con dichas amenazas. Estas recomendaciones fueron compuestas y aprobadas por varias asociaciones líderes a nivel internacional en la industria marítima. En la última versión del documento se incluyen aspectos importantes relacionados con los nuevos riesgos y amenazas a los que se enfrenta la industria, como por ejemplo:

  • La incorporación de nuevos ciberriesgos al SMS (Safety Management Systems – sistemas de gestión de la seguridad) de cada embarcación.
  • Mejoras en las recomendaciones sobre la evaluación de riesgos en el entorno TO, incluyendo sistemas de navegación y control de los motores.
  • Recomendaciones adicionales acerca de la gestión de riesgos asociados a terceros proveedores y vendedores.

Para que dichos esfuerzos sean efectivos, es necesario que se apliquen en todos los aspectos de las operaciones y demás actividades que se desarrollan en una compañía marítima. Por ello, tal y como se hizo en su momento con la inclusión de la cultura safety, la IMO decidió incluir requisitos de ciberseguridad en el ISM Code (International Safety Management Code) obligatorios para todos los dueños de naves, operadores y compañías implicadas del sector. Dicho código tiene como finalidad proveer un estándar internacional para la gestión y operación seguras de embarcaciones y la prevención de la polución en los mares. Algunos de estos requisitos son:

  • Evaluación de riesgos de todos los dispositivos TI y TO, tanto a bordo como en tierra.
  • Políticas de seguridad relacionadas con el uso de dispositivos de almacenamiento externo.
  • Políticas y procedimientos sobre el uso de las redes y comunicaciones por parte de la tripulación.
  • Políticas y procedimientos sobre la monitorización y actualización de sistemas de navegación y comunicación.
  • Políticas sobre los criterios de autorización del uso de conexiones remotas.
  • Inventario de todos los sistemas OT.
  • Políticas de acceso a Internet, estableciendo restricciones cuando se estén desarrollando operaciones a bordo.
  • Elaboración de planes de contingencia para respuestas de emergencia.

Estos nuevos requisitos cubren las operaciones de los siguientes buques en operaciones internacionales:

  • Naves de pasajeros, incluidos los de alta velocidad.
  • Buques de transporte de crudo, químicos, gas, buques cargueros y cargueros de alta velocidad de 500 toneladas de registro bruto o superior.
  • Otros buques de carga y unidades móviles de perforación de alta mar de 500 toneladas de registro bruto o superior.

mar

OCIMF

Otra organización que ha reaccionado ante estos cambios y actualizado rápidamente sus guías a las nuevas circunstancias es la OCIMF (Oil Companies International Marine Forum), asociación voluntaria de compañías relacionadas con el transporte marítimo de crudo, petróleo y gas, que tiene como misión ser la principal autoridad en la operación segura y responsable con el medio ambiente en buques de petróleo, terminales y buques de apoyo en alta mar. En enero de 2018 actualizó su programa TMSA (Tanker Management and Self Assessment), que provee a dichas compañías de medios para mejorar y medir sus SMS, incluyendo en él aspectos y requisitos de ciberseguridad aplicables a estos sectores, entre los que se encuentran:

  • Procedimientos sobre la gestión de parches y software.
  • Procesos y guías para la identificación y mitigación de ciberamenazas.
  • Procedimientos para la gestión de contraseñas.
  • Desarrollo de un plan de concienciación y formación en ciberseguridad para todo el personal involucrado.

IMCA

La IMCA (International Maritime Contractors Association), que representa a la mayoría de los contratistas y cadenas de producción asociadas a la industria de construcción marítima en alta mar y cuyo principal objetivo es la de ayudar a las organizaciones a priorizar la defensa contra los ataques actuales más comunes y más dañinos a las infraestructuras TO y TI, también ha actualizado recientemente sus recomendaciones en ciber amenazas, las cuales se encuentran incluidas en su guía Security Measures and Emergency Response Guidance (IMCA SEL 037/M 226), constando principalmente de 20 controles y sub-controles centrados en varias medidas y actividades técnicas. Se incluyen:

  • Gestión activa del inventario de dispositivos y del  software autorizado y no autorizado.
  • Bastionado de dispositivos finales y de red.
  • Evaluación y solución continua de vulnerabilidades.
  • Defensa contra el malware.
  • Control de acceso a redes inalámbricas.
  • Capacidad de recuperación de datos.
  • Evaluación de las habilidades en ciberseguridad del equipo y programa de formación.
  • Control de acceso a los puertos de red.
  • Control del uso de privilegios administrativos.
  • Defensa perimetral.
  • Mantenimiento, monitorización y análisis de logs.
  • Control de acceso basado en el principio de Need to know, donde el usuario solo obtiene acceso a los recursos estrictamente necesarios para su trabajo.
  • Monitorización y control de las cuentas de usuario.
  • Protección de la información.
  • Respuesta y gestión ante incidentes de ciberseguridad.
  • Ingeniería de red segura.
  • Realización de pruebas de penetración para evaluar la fortaleza de las defensas de una organización.

Resumen de la aportación de cada organización

- Resumen de la aportación de cada organización -

Conclusión

El sector marítimo es muy complejo, compuesto por una infinidad de organizaciones, asociaciones de colectivos y empresas del sector, que deben cumplir con estrictos estándares y normativas. Todo esto es debido a su criticidad en cuanto al impacto que supone tanto a nivel económico como medioambiental. La ciberseguridad no podía quedar desatendida y es por ello que estos colectivos están haciendo grandes esfuerzos por incluirla dentro de su cultura de seguridad.

Pese a que aún no está regulada, queda poco tiempo para que las empresas deban incluirla de forma obligatoria dentro de sus sistemas y políticas, puesto que, a partir del 1 de enero de 2021 incluir la ciberseguridad en sus SMS será de obligado cumplimiento. Hasta entonces, gracias al apoyo de organizaciones como la IMO, IMCA u OCIMF, las compañías disponen actualmente de guías detalladas con buenas prácticas que pueden ir adoptando desde ahora para proteger sus infraestructuras marítimas y así cumplir con la normativa que próximamente se hará efectiva.