El presente artículo es el segundo de una serie de tres que tratan de analizar las medidas globales que se pueden poner en marcha para securizar todos los centros de trabajo, productivos y no productivos, de una naviera.
En este post nos centraremos en describir como afrontar la protección de los buques, desarrollando unas directrices comunes que garanticen que se aplica la ciberseguridad en los mismos términos, y consiguiendo una estandarización del nivel de ciberseguridad en toda la flota.
Antes de abordar este paso, es necesario que la empresa realice un plan de ciberseguridad global, que incluya las particularidades de cada buque, oficina, etc. Este plan de ciberseguridad ha de ser lo más estándar posible, al menos en cuanto a los procedimientos operativos a desarrollar por los tripulantes y empleados de la naviera.
Para obtener más información sobre este primer nivel pueden revisar el artículo Ciberseguridad Navieras- Plan de Ciberseguridad
Ciberseguridad de la flota
Los buques son los centros más complicados de securizar, debido a que cada vez más equipos de operación permiten su actualización o supervisión remota, transportan datos por redes TCP/IP o a través de protocolos industriales inseguros, y/o se gestionan por software que en muchos casos no está actualizado.
Estos sistemas OT serán, a corto plazo, la entrada de la mayoría de los incidentes de seguridad, como ya pasó en otros sectores industriales con la llegada de la industria 4.0.
Por otra parte, es necesario poner de manifiesto, las diferencias en cuanto a la implementación de medidas de seguridad en buques que se están construyendo, frente a los barcos que ya están en operación.
Vamos a analizar cada uno de estos dos escenarios por separado, ya que existen factores que afectan tanto a la dificultad como al método de instalación de la ciberseguridad. Algunos de estos factores son: el acceso a la información, el conocimiento de los sistemas OT conectados y las normativas aplicables.
Ciberseguridad en Nuevas Construcciones de Buques
Las nuevas construcciones de buques permiten incorporar la ciberseguridad en todas las fases del proyecto, analizando cada sistema y garantizando que se establecen las medidas adecuadas para que el buque sea ciber-resiliente.
Una ventaja es el acceso a la documentación necesaria, que puede ser solicitada a los suministradores / fabricantes o directamente al astillero.
Una nueva construcción es una oportunidad excelente para diseñar una buena segregación de redes por sistemas críticos, que garantice su aislamiento frente a posibles ataques.
Además, es más fácil comprobar la implementación e integración de sistemas según documentación y la realización de test de penetración que garanticen la ciberseguridad del buque.
Por otra parte, a partir de enero de 2024, entran en funcionamiento las normativas E26 y E27 de IACS ( International Association of Certification Societies), asociación a la que pertenecen la mayoría de las Sociedades de Clasificación que certifican buques en todo el mundo.
Estas normativas establecen la obligatoriedad de incluir en el proceso de certificación del buque un cota de ciberseguridad.
Frente a esta obligatoriedad de certificación de la seguridad de sistemas IT / OT, hay que tener en cuenta varios factores:
- Cada Sociedad de Clasificación ha creado sus niveles de ciberseguridad, que se plasman en distintas notaciones, dependiendo del nivel que se quiera implementar en un buque. Los métodos y la documentación a entregar a cada una de estas empresas es distinta, lo que hace que no sea igual estar certificado por Bureau Veritas, DNV, Rina, etc.
- Estar certificado no significa que el buque sea ciber-seguro. Muchas certificaciones excluyen sistemas que, aunque no esenciales, pueden tener conexiones que sean el punto de entrada de un incidente de seguridad.
- El concepto de resiliencia frente a ataque cibernético exige el análisis de todos los equipos OT /IT a instalar en un buque, descartándolos únicamente cuando sean estudiados y se pruebe que su instalación a bordo no podrá ser el origen de un ciberataque.
La aplicación de la ciberseguridad desde el diseño es un proceso que comienza con la firma del acuerdo para la construcción, entre el astillero y el armador, y concluye en la entrega del buque.
A lo largo de este proceso existen varias fases: especificación del proyecto, análisis de los sistemas IT /OT del buque, análisis de la integración de los sistemas con otros y con las redes IT, realización de pruebas de seguridad y certificación / entrega.
Para conocer en mayor profundidad cada una de estas fases, pueden acceder a nuestro artículo ¿Qué es la ciberseguridad desde el diseño en la industria de construcción naval?
Ciberseguridad en Buques en Operación
Los buques en servicio son más difíciles de analizar bajo el prisma de la ciberseguridad. No obstante, dependiendo de la edad de la instalación, pueden tener menor riesgo de ataques, ya que la mayoría de los equipos OT estarán aislados.
En la mayoría de los casos, los buques en operación tienen sistemas OT obsoletos con sistemas operativos y software no actualizados. Puede incluso que algunos de ellos ya no se desarrollen o no tengan parches de seguridad disponibles.
Hay que tener en cuenta que la vida útil de la mayoría de los equipos de operación es de más de 20 años y, habitualmente, no se sustituyen a menos que dejen de funcionar o surja una norma que exija su modernización o sustitución por otro con más capacidades.
Además, existe una falta de visibilidad de muchos de los dispositivos, es decir, no se sabe que activos componen el entorno OT, cuales se encuentran conectados y cuáles no.
Por otra parte, no hay una gestión de la configuración OT. Muchos equipos tienen las contraseñas que se instalaron por defecto. Es una práctica habitual que los técnicos de algunos sistemas configuren las mismas contraseñas en todos los buques, para facilitar el acceso a la configuración de los técnicos de soporte.
Desde enero de 2021 todos los buques mercantes en operación deben cumplir con la resolución de OMI MSC.428(98), que exige que los barcos desarrollen un plan de ciberseguridad que incluya un procedimiento de recuperación frente a ataques cibernéticos, como parte de su ISM.
Para desarrollar un plan de ciberseguridad que cumpla con la directiva, es necesario la realización de:
- un inventario de activos.
- un análisis de riesgos para detectar la criticidad de cada sistema, sus amenazas y vulnerabilidades.
- una implementación de las barreras para mitigar las deficiencias encontradas
- los procedimientos de seguridad necesarios.
- un plan de recuperación frente amenazas por cada sistema analizado.
Los procedimientos y guías de buenas prácticas que surjan de este plan de ciberseguridad deben ser conocidos por toda la tripulación, de forma que poco a poco se genere una cultura de ciberseguridad en el buque y, por extensión, en toda la flota.
No obstante, en muchos casos es aconsejable hacer una consultoría externa a bordo para detectar sistemas no documentados o detectados, y realizar pruebas de implementación de sistemas y tests de penetración, que garanticen la inclusión en el análisis de todos los activos del barco.
Uno de los problemas típicos que pueden surgir en estas instalaciones. se produce cuando se sustituyen equipos por otros que tienen nuevas capacidades de conexión remota, o se instalan nuevas redes IT que interconectan sistemas obsoletos que estaban aislados hasta ese momento.
Para mitigar las amenazas que puedan surgir, es necesario analizar cada modificación que se efectúe en el buque desde el prisma de la ciberseguridad, estudiando el intercambio de información del nuevo sistema con otros y sus capacidades de servicios de control remoto (actualización de software, supervisión o mantenimiento).
Conclusiones
La ciberseguridad no se puede implementar de la misma forma en buques de nueva construcción y en barcos en operación.
El análisis en nuevas construcciones es más fácil, ya que se puede meter la ciberseguridad como para del diseño del barco y se tiene acceso a toda la información de los sistemas OT/IT.
En los barcos en operación es necesario conocer el inventario real de sistemas OT/IT y crear un buen plan de ciberseguridad que garantice la ciberresiliencia. Para ello, muchas veces es necesario realizar una auditoría de ciberseguridad externa.
¿Necesita más información?- Contáctenos