Navegación autónoma, riesgos cibernéticos por delante


Si los buques autónomos son el futuro del transporte marítimo, entonces las amenazas cibernéticas pueden ser su talón de Aquiles.

 

10.10.2019 11:26 |  Fuente: Marinelink


Envíos congestionados, visibilidad restringida, maniobrabilidad limitada y actividades intensivas de atraque todos contribuyen a los riesgos portuarios. El 42 por ciento de la UE reportó accidentes marítimos (lesiones / muerte / daños a los barcos) y el 44 por ciento de las muertes de embarcaciones de trabajo ocurrieron en remolcadores.


El envío autónomo debería proporcionar numerosos beneficios, incluida una mayor seguridad al liberar a los miembros de la tripulación de tareas inseguras y repetitivas. Sin embargo, con los ataques cibernéticos que amenazan a todas las industrias, esta tecnología naciente es un gran objetivo. Si los buques autónomos son el futuro del transporte marítimo, entonces las amenazas cibernéticas pueden ser su talón de Aquiles.

 Rolls-Royce hizo demostraciones con un remolcador automatizado. El proveedor de sistemas Wärtsilä está probando soluciones automáticas de llegada a puerto. La ciberseguridad es parte integral de ambos diseños. Chris South, asegurador senior del proveedor de seguros West of England P&I, afirma que cuatro factores están impulsando la ciberseguridad marítima:

Automatización: la maquinaria está cada vez más controlada por software;

Integración: múltiples sistemas de a bordo están conectados entre sí;
Monitoreo remoto: las oficinas corporativas con base en tierra utilizan la comunicación de barco a tierra para monitorear continuamente el equipo de a bordo;
Todos estos sistemas están conectados a internet.

 

Teniendo en cuenta el riesgo:
 
Esto presenta un riesgo considerable para los armadores, los operadores portuarios y sus aseguradores en caso de falla o si la ciberseguridad está mal administrada. El riesgo, el potencial de daños (en este caso, por un ataque cibernético), existe no solo en entornos de oficina, sino que también puede afectar los activos físicos que usan las compañías marinas. Los ataques contra activos físicos no carecen de precedencia. En 2015, Rusia atacó supuestamente la red eléctrica de Ucrania, dejando a 225,000 personas sin electricidad. El ciberataque subvirtió el sistema de gestión de distribución SCADA utilizado para monitorear y controlar subestaciones de energía. Un ataque de ciberseguridad marina podría explotar de manera similar el sistema de control distribuido (DCS) monitoreado de un barco que interactúa con motores de propulsión, las grúas automáticas de un puerto que mueven carga y otros sistemas vulnerables.
 
El daño de un ataque puede afectar la reputación de una empresa, su marca, interrumpir el negocio, dañar físicamente a los empleados o tener consecuencias financieras y legales. Cuando se consideran los costos directos, indirectos y de oportunidad asociados con el cibercrimen (actividad criminal realizada en la infraestructura de TI), la consultora Accenture declara que el costo promedio para una organización es de $ 13 millones. Un ataque que resulte en lesiones personales o la muerte podría costar más.
Al considerar el riesgo, la administración de la compañía determina qué podría salir mal, la probabilidad de que ocurran tales eventos, el impacto si ocurren y las acciones para mitigar o minimizar tanto la probabilidad como el impacto a un nivel aceptable. Desafortunadamente, hay demasiados casos en los que los ejecutivos han confiado demasiado o han juzgado mal su capacidad para mitigar las amenazas. Debido a que la ciberseguridad no se hace correctamente causa enormes problemas, las compañías prudentes y reacias al riesgo generalmente contratan expertos externos en ciberseguridad para validar la estrategia o ayudar a determinar un estado objetivo de seguridad. Es dinero bien gastado.
Navegando Error Humano
El error humano es la principal causa de accidentes en el mar. Los factores de maniobrabilidad del buque tienen un efecto negativo, pero no es causal ... la mayoría de las personas tienen la culpa. Lamentablemente, los accidentes suceden. Y sí, el envío autónomo puede reducir el riesgo de error humano. Pero considere un ciberataque en el sistema de automatización de una embarcación para manipular los sistemas de navegación, dirección o propulsión. Las consecuencias serían graves: colisiones de buques, puestas a tierra e instancias plausibles que hagan intransitables los canales de envío.
 
Tres sistemas críticos de navegación relacionados con el transporte autónomo han demostrado ser vulnerables:
 
Sistema de navegación global por satélite (GNSS): proporciona la ubicación exacta de la embarcación, pero puede manipularse para engañar a la tripulación y cambiar el rumbo;
Sistema electrónico de visualización e información de cartas (ECDIS): cartas y rutas de repositorios digitales, pero si se piratea y alimenta información falsa, la tripulación puede trazar el rumbo equivocado;
Sistema de identificación automática (AIS): monitorea el tráfico circundante para evitar colisiones, pero puede ser interceptado y alimentado con información falsa del barco (ubicación, movimiento o identidad).
 
La suplantación de identidad GNSS se ha convertido en la corriente principal. Se usa para engañar a Pokemon Go, y los proveedores de transporte deshonesto han utilizado la suplantación de identidad GNSS para aparecer cerca esperando a los clientes mientras estacionan en su casa, a millas de distancia. En 2013, un equipo de investigadores de la Universidad de Texas demostró que al usar un spoofer GPS de $ 3,000, una antena pequeña y una computadora portátil, un yate privado de $ 80 millones podría desviarse de su curso. La nave giró, pero la pantalla de la carta y la tripulación solo vieron una línea recta.
 
Otros sistemas también están en riesgo. La Cámara de Transporte Internacional enumera estos sistemas de a bordo explotables: Sistemas de gestión de carga utilizados para controlar la carga y pueden conectarse con sistemas de terminales portuarias; Sistemas de puentes utilizados en la navegación y para maniobras de propulsión; Sistemas de control de potencia y manejo de maquinaria y propulsión que monitorean y controlan maquinaria, propulsión y dirección a bordo; Sistemas de control de acceso para sistemas de seguridad física, vigilancia y alarma de buques y carga; Servicio de pasajeros y sistemas de gestión que pueden contener valiosos datos relacionados con los pasajeros; Pasajero frente a redes públicas conectadas a internet y utilizadas por pasajeros; Sistemas administrativos y de bienestar de la tripulación para acceso a internet y correo electrónico; Sistemas de comunicación para conectividad a internet vía satélite / comunicación inalámbrica.
 
El peligro ocurre cuando los sistemas están expuestos a redes no controladas o tienen conectividad directa a Internet. Los barcos crean vulnerabilidades cuando conectan en red sus sistemas de TI y equipos operativos y luego se conectan a Internet para el monitoreo en tierra. Un hacker, que penetra en el perímetro de TI, tiene acceso completo incluso a los sistemas a bordo más críticos. Debido a que Operational Technology (OT) interactúa con dispositivos y procesos críticos y sensibles, OT requiere consideraciones especiales de seguridad. Bajo ninguna circunstancia OT debe tener acceso directo a internet. Esto incluye los sistemas utilizados para el control autónomo.
 
Hay específicos Directrices de ciberseguridad que se ocupan de sistemas OT como NIST 800-82, un marco de seguridad para sistemas de control industrial. Desafortunadamente, las compañías marítimas tienen un legado de baja conciencia cibernética y capacidad de ciberseguridad. Pero, incluso ser "promedio" en términos de seguridad cibernética no es lo suficientemente bueno. El peligro es demasiado grande.

Todos los expertos en ciberseguridad están de acuerdo en que las defensas en capas y las defensas de seguridad múltiples dentro de las capas son las mejores prácticas contra intrusiones e infracciones. Si bien nada garantiza la inmunidad, Zero Trust puede lograr un riesgo significativamente menor, que se basa en el concepto de "nunca confíe y siempre verifique una conexión". Zero Trust emplea la microsegmentación y la aplicación de perímetro granular en función de los usuarios, sus ubicaciones y otros datos para determinar si confiar en un usuario, máquina o aplicación que busca acceso. Zero Trust podría haberse minimizado, quizás evitado el evento publicitado de Maersk.

El papel del regulador

Los reguladores están asumiendo un papel activista en ciberseguridad. El Reglamento General de Protección de Datos (GDPR) de la UE ofrece a los reguladores un alcance extraterritorial y la capacidad de imponer multas de hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor, para cualquier empresa que infrinja la privacidad de los datos de los ciudadanos de la UE. La Organización Marítima Internacional, la agencia de las Naciones Unidas con la responsabilidad de la seguridad del transporte marítimo, está examinando cómo abordar el envío autónomo en su marco regulatorio. Un ciberataque contra el transporte marítimo podría enfrentar la ira de múltiples reguladores.

Algunas partes interesadas marinas están construyendo una plataforma de envío autónoma basada en la nube. Muchas industrias en tierra ya están en la nube, pero una advertencia: la migración de aplicaciones a la nube agrega nuevas capas de complejidad y superficies de amenaza. Un AWS Web Application Firewall (WAF) configurado de forma insegura permitió a una persona interna robar 106 millones de registros personales de un gran banco. El diablo está verdaderamente en los detalles. En ciberseguridad, obtener los detalles correctos es un absoluto.

La ciberseguridad es más que un medio de defensa. Es un facilitador de negocios y un refuerzo de reputación, que mejora la lealtad y la confianza de los clientes y socios preocupados por la seguridad. Puede impulsar nuevos negocios y ser un diferenciador competitivo si la seguridad cibernética es parte integrante del diseño. El colaborador de Forbes, William Saito, dijo bien cuando comparó la ciberseguridad con los frenos del veloz tren bala japonés, que los frenos permiten la velocidad. "Los frenos no están ahí para actuar como un obstáculo para el rendimiento del tren bala, le permiten viajar más rápido que los trenes convencionales porque ponen a los conductores del tren en control de su velocidad". Para ir realmente rápido, necesitas buenos frenos ”.

El Sr. Jeffery Mayger brinda servicios de asesoramiento de seguridad cibernética en Concord, una consultoría para servicios de integración de tecnología de información y seguridad. Su experiencia en ciberseguridad incluye al Director de Seguridad de la Información (CISO) de la compañía minera global Sibelco y servicios de seguridad de la información para clientes de petróleo / gas. Además de su licenciatura en Ingeniería Mecánica, el Sr. Mayger también posee una Maestría en Administración de Empresas (MBA) de la Universidad de Texas. Su experiencia en seguridad de la información incluye designaciones como Certified Information Security Professional (CISSP) y Certified SCADA Security Architect (CSSA). Se puede contactar al Sr. Mayger en jeffery.mayger@concordusa.com.