¿Cuáles son los requisitos en ciberseguridad para barcos en operación?

El enfoque de la ciberseguridad en el sector marítimo ha ganado una importancia especial. En este post, encontrará información sobre los requisitos actuales en ciberseguridad para buques en operación.

Concha Gonzalez, marzo 2023

Los requisitos de ciberseguridad que debería considerar

Hay varias regulaciones internacionales y nacionales, guías y buenas prácticas que se aplican en la ciberseguridad de buques en operación:

  • International Maritime Organization (IMO): International Ship and Port Facility Security (ISPS) y Resolución MSC.428(98)
  • Oil Companies International Marine Forum: TMSA (Tanker Management and Self-assessment)
  • Unión Europea: Directiva Network and Information Systems (NIS)
  • ISO/IEC: 27000 familia de estándares
  • Regulaciones nacionales, tal como Maritime Transportation Security Act (MTSA) de EEUU.  Esta requiere que los buques e instalaciones marítimas implementen medidas de seguridad, incluyendo las de ciberseguridad.

Obviamente, es importante que los armadores, operadores y tripulación entiendan estas regulaciones. De esta forma, se minimiza el riesgo de ciber-ataques y se protege la seguridad del barco y de sus pasajeros.

International Maritime Organization (IMO)

IMO es una agencia especializada de la Organización de Naciones Unidas responsable de la regulación del tráfico marítimo internacional. En resumen, el objetivo de IMO es garantizar un tráfico a salvo, seguro y sostenible facilitando el comercio y las relaciones amistosas entre todos los estados miembros de la ONU. Al comienzo de 1900, IMO emitió SOLAS (International Convention for the Safety of Life at Sea). SOLAS ha sido modificado y ha evolucionado en lo que hoy se conoce como SOLAS 1974. Más adelante, en 1998, IMO emitió el Código ISM (International Safety Management).  IMO entró en vigor como un capítulo de SOLAS. Recientemente, el código ISM ha servido como base sobre la que los estados miembros de IMO han emitido el ISPS (International Ship and Port Facility Security), han adoptado la Resolución MSC.428(98) y han desarrollado la guía para la gestión del ciber-riesgo en 2021. 

ISPS

El Código ISPS International Ship and Port Facility Security es obligatorio para barcos en operación. En primer lugar,  el Código ISPS es un conjunto de requisitos de seguridad obligatorios desarrollados por IMO para mejorar la seguridad de barcos y puertos contra amenazas de seguridad y terrorismo. Es más, según el Código ISPS, todos los barcos de más de 500GT que realicen viajes internacionales y todos los puertos que les prestan servicio, deben desarrollar, implementar y mantener un plan de seguridad que cumpla con los requisitos del código. Esto incluye la identificación de amenazas potenciales de seguridad, la implementación de medidas de seguridad que se dirijan a esas amenazas y el establecimiento de procedimientos para responder a incidentes de seguridad. El Código ISPS fue adoptado por IMO en diciembre de 2002 y entró en vigor el 1 de julio de 2004.

Las medidas del ISPS

Aunque el Código ISPS Code no trata específicamente la ciberseguridad, sí incluye medidas que pueden ayudar a mitigar los ciber-riesgos.

  • Evaluaciones de seguridad. De esta forma, barcos y puertos tienen que conducir evaluaciones de seguridad para identificar amenazas y vulnerabilidades de ciberseguridad potenciales.
  • Planes de seguridad. Barcos y puertos tienen que desarrollar e implementar planes que gestionen los riesgos identificados.
  • Formación de seguridad. El Código ISPS requiere que el personal involucrado en las operaciones de los buques y del puerto reciban la formación apropiada en concienciación de la seguridad y las medidas de respuesta. Esta formación debería incluir la ciberseguridad y los procedimientos de repuesta relacionados con ella.
  • Control de accesos. El acceso a los barcos y puertos debe ser controlado y monitorizado; incluyendo el acceso a IT y redes.
  • Informe de incidentes. Los incidentes de ciberseguridad deben ser reportados e investigados.
  • Cooperación internacional. El Código ISPS enfatiza la importancia de cooperación internacional para gestionar las amenazas de seguridad, compartiendo tanto la información como las mejores prácticas relacionadas con la ciberseguridad.

Asimismo, los operadores de barcos y de puertos tienen que gestionar varios temas. Entre ellos, el nombramiento de un responsable de seguridad tanto a bordo, designated security officer (DSO), como en el Puerto, port facility security officer (PFSO); quienes serán responsables de implementar un plan de seguridad.

Resolución MSC.428(98) IMO

La Resolución MSC.428(98) ofrece una guía para implementar las medidas de ciberseguridad en barcos y puertos. Frecuentemente, el cumplimiento con la Resolución es requerida por los países de bandera y las sociedades de clasificación. Ya que la resolución afirma que un Sistema de gestión de seguridad debe tener en consideración la gestión del ciber-riesgo de acuerdo con los objetivos del código ISM. En otras palabras,  las compañías deben demostrar que la ciberseguridad es una parte integral del sistema de gestión de seguridad.

En resumen, la Resolución MSC.428(98) propone varias recomendaciones para gestionar los ciber-riesgos. Entre esas recomendaciones están conducir evaluaciones de riesgos, desarrollar planes de contingencia e implementar medidas de seguridad como cortafuegos y controles de accesos. Incluso IMO alienta a los países de bandera a no emitir documentación de certificación  si los riesgos de ciberseguridad no están apropiadamente gestionados en los respectivos sistemas de gestión de la seguridad. Aún más, IMO alienta a los países a implementar estos requisitos antes del 1 de enero de 2021. Para lograrlo, IMO desarrolló una guía para la gestion de la ciberseguridad marítima.

TMSA

TMSA viene de Tanker Management and Self-Assessment, una guía de buenas prácticas para operadores y armadores de petroleros desarrollada por Oil Companies International Marine Forum (OCIMF). Aunque el TMSA no es obligatorio para buques en operación, se usa y recomienda ampliamente en la industria marítima.

En efecto el objetivo principal es mejorar la seguridad y operatividad medioambiental tanto de gestores como armadores de petroleros. Si bien es cierto que el TMSA ofrece una guía detallada en muchos aspectos de las operaciones de petroleros; no aborda específicamente la ciberseguridad en gran detalle. Sin embargo, el TMSA requiere tener un Sistema de gestión de la seguridad (SMS) robusto en acción incluyendo la ciberseguridad.

En conclusión, un SMS fuerte incluiría políticas, procedimientos y programas de formación. Así, todo el personal implicado en las operaciones será consciente de los riesgos de ciberseguridad potenciales y de cómo mitigarlos. Además, el TMSA recomienda que los operadores o armadores realicen

  • evaluaciones regulares de riesgos
  • implementen controles de acceso
  • monitoricen y prueben sistemas desde el punto de vista de la ciberseguridad
  • desarrollen e implementen un plan de gestion de riesgos

Unión Europea: Directiva Network and Information Systems (NIS)

La Directiva Network and Information Systems (NIS) de la Unión Europea (UE) es una regulación en ciberseguridad que promueve la mejora de la seguridad de las redes y los sistemas de la información a lo largo de la UE. En este caso, la directiva requiere que las compañías implementen medidas para proteger sus sistemas frente a ciber-ataques asegurando la continuidad de los servicios. La directiva NIS se aplica a compañías que operan en sectores críticos; tal como energía, transporte y salud.

NIS entró en vigor en Agosto de 2016. Para el 17 de octubre de 2024, los estados miembros deben adoptar las medidas necesarias para cumplir NIS 2. Además, deben aplicar esas medidas a partir del 18 de octubre de 2024.

Las medidas NIS

En el sector marítimo, la Directiva NIS aplica a ciertos operadores portuarios y proveedores de servicios marítimos de transporte; incluyendo:

  • Servicios de navegación y tráfico marítimo, como los que se prestan por los centros de tráfico de buques (VTS) y centros de operaciones portuarias.
  • Servicios de practicaje, que se prestan para asistir a barcos a navegar de forma segura al entrar o salir de puertos o en maniobras.
  • Servicios de remolque, que se prestan para asistir a maniobras de buques en entradas y salidas.
  • Servicios de atraque y desatraque, que permiten de forma segura este tipo de maniobras.
  • Servicios de manipulación y almacenaje de la carga, como los que se prestan en terminales de contenedores y otras instalaciones de gestión de carga.

La Directiva NIS se aplica a los operadores de servicios esenciales que excedan de ciertos límites, por ejemplo el número de empleados o el volumen de los servicios prestados. Los umbrales exactos pueden ser diferentes en los distintos Estados Miembros, ya que cada Estado Miembros es responsable de establecer sus propios límites dentro de ciertos parámetros. Por ejemplo, en España la Directiva Network and Information Systems (NIS) se transpone en la Ley de Seguridad de las Redes y Sistemas de la Información Ley de Seguridad de las Redes y Sistemas de Información, or LSSICE, Real Decreto-ley 12/2018 y Real Decreto 43/2021).

ISO/IEC 27000 familia de estándares

ISO/IEC 27001 es un estándar internacional ampliamente reconocido para la gestión de la seguridad de los sistemas de la información (ISMS). Proporciona un marco de trabajo para gestionar y proteger información sensible usando una aproximación basada en riesgos. A pesar de que este estándar no es obligatorio para barcos en operación, el hecho es que algunas organizaciones y fletadores lo requieren como condición para trabajar con ellos.

¿Cómo pueden los armadores y operadores demostrar cumplimiento con las regulaciones IMO?

Los armadores pueden demostrar cumplimiento con las regulaciones IMO de ciberseguridad obteniendo un certificado. El país de bandera o una organización autorizada reconocida por ese país son los responsables de emitir dichos certificados. Usualmente, los certificados son válidos por cinco años. Entonces, se renovarían. Las organizaciones reconocidas que pueden emitir los certificados de ciberseguridad son llamadas Organizaciones Reconocidas en Seguridad o Recognized Security Organizations (RSOs). Algunas de ellas bien conocidas son: DNV GL, Lloyd’s Register, Bureau Veritas, American Bureau of Shipping (ABS) o Nippon Kaiji Kyokai (ClassNK).

El primer paso para obtener la certificación es una auditoría de ciberseguridad. Esta auditoria incluye la revisión y verificación de

  • el plan de ciberseguridad del barco
  • las medidas de control de acceso
  • los sistemas de copias de seguridad y los planes de recuperación
  • los programas de formación en ciberseguridad para el personal
  • evaluación de ciber-riesgos
  • medidas en ciberseguridad para identificar vulnerabilidades y amenazas

Buques que operan sin certificados de ciberseguridad

Los barcos que no tienen un certificado en ciberseguridad, cuando es obligatorio, pueden encontrarse restricciones para navegar en ciertas aguas o acceder a ciertos puertos. Incluso, esto puede conllevar sanciones y multas. Aún más, muchos países han implementado regulaciones de ciberseguridad que requieren que los barcos tengan un certificado de ciberseguridad para entrar en sus puertos.

Por ejemplo, la Coast Guard norteamericana (USCG) ha emitido un boletín, Marine Safety Information Bulletin (MSIB), que requiere que todos los barcos que entren en puertos norteamericanos tengan un certificado de ciberseguridad. El incumplimiento de este requisio puede resultar en retrasos en el acceso o negación de entrada.

Además, las compañías navieras que operan barcos sin certificados de ciberseguridad válidos pueden afrontar daños en su reputación o pérdidas de negocio. Muchos fletadores requieren pruebas de cumplimiento con el código ISPS y otras regulaciones de ciberseguridad antes de contratar el transporte de sus mercancías.

Costes de la certificación de ciberseguridad

El coste de la certificación de ciberseguridad para un barco en operación puede variar dependiendo de varios factores. El tamaño y el tipo de buque así como la complejidad de sus sistemas están entre ellos.

Sin duda, el coste de la obtención de la certificación de ciberseguridad para un buque puede ir desde unos pocos miles de dólares a decenas de miles.  Generalmente, el coste incluye las tasas que cobran las RSO (Recognized Security Organization) así como los costes adicionales asociados con la actualización de los sistemas del buque o la implementación de las medidas de ciberseguridad. Adicionalmente al coste inicial, pueden existir costes asociados con el mantenimiento y renovación de la certificación.

Suministradores de servicios de consultoría, inteligencia, formación y auditoria

Los suministradores de consultoría de ciberseguridad marítima, inteligencia, formación y auditoria deben asegurar que los clientes cumplen los estándares de ciberseguridad y requisitos establecidos en la industria marítima. Como suministrador experto de servicios marítimos, Aeromarine puede prestar servicios como

  • Auditorías de ciberseguridad tanto a bordo así como en las oficinas
  • Monitorización y control continuo de la ciberseguridad de la flota
  • Consultoría e inteligencia en ciberseguridad, ofreciendo servicios como por ejemplo Gestión de Detección y Respuesta, Thread Hunting o Resiliencia Ransomware.

Estos servicios pueden impulsar el cumplimiento de su compañía con las regulaciones, estándares o buenas prácticas. De esta forma, su foco estará en profundizar los esfuerzos de planificación en ciberseguridad para mantener la seguridad de los sistemas en su organización y a bordo de la flota.

Si necesita más información, contáctenos