El sector marítimo en el punto de mira de la ciberseguridad

El sector marítimo en el punto de mira de la ciberseguridad

Según el informe ‘Shifting tides, rising ransoms and critical decisions’, elaborado por Thetius, en colaboración con CyberOwl y HFW, en los últimos 18 meses, aproximadamente, el coste promedio de los ciberataques ha aumentado de manera alarmante en un 200%.

Este informe, elaborado a partir de una encuesta realizada a más de 150 profesionales de la industria desvela que, si bien el número de ataques no ha aumentado drásticamente desde la última realizada en 2022, hay un aumento innegable en el impacto financiero. Así, las brechas cibernéticas han costado a las organizaciones, en promedio, 550.000 dólares en los últimos tres años.

Tal es la magnitud del cibercrimen que, según un informe de ciberseguridad publicado en 2022 por Cyber Security Ventures, si este fuera un estado-nación, sería la tercera economía más grande del mundo, después de Estados Unidos y China. Tanto es así, que para el año 2025, el cibercrimen podría convertirse en una industria de 10.5 billones de dólares.

El sector marítimo se está volviendo digital. Los intereses navieros están comprendiendo el valor inexplorado de incorporar buques a redes de intercambio de información, y la tecnología, la economía y la voluntad política están convergiendo para provocar una notable transformación. Tanto el valor de las redes digitales de una compañía naviera, como la cantidad de inversión necesaria para protegerlas están aumentando.

Se está digitalizando más tecnología operativa (OT), y hay una mayor dependencia de la tecnología de la información (TI) para gestionar operaciones críticas de flotas comerciales. La investigación de Thetius encontró que, entre enero de 2020 y marzo de 2021, el consumo diario promedio de datos por buque aumentó de 3.4 a 9.8 gigabytes. Los autores del estudio también resolvieron que el mercado mundial de productos y servicios digitales marítimos en 2021 fue un 18% más grande de lo que preveían las predicciones anteriores. Este crecimiento ha continuado en 2023. Sin embargo, aunque la TI y la digitalización son absolutamente críticas para ofrecer operaciones marítimas eficientes, conformes, seguras y rentables, muchos operadores aún no son conscientes de cuánto ha afectado ya al transporte marítimo.

En este sentido, una investigación previa, realizada en 2022 por Thetius, HFW y CyberOwl, titulada ‘The Great Disconnect’, encontró que, aunque la madurez cibernética ha aumentado en la última década, la industria sigue siendo un objetivo fácil, “en comparación con la relativa seguridad de los sectores energético, de la aviación, logística terrestre y financiero”.

Según este último informe publicado por Thetius, desde que Rusia comenzó su invasión a Ucrania, el riesgo de sabotaje cibernético a la infraestructura crítica utilizada en la industria offshore y el sector de energías renovables ha alcanzado niveles extremos. A medida que la tecnología operativa (OT) y las redes del Internet de las cosas (IoT) proliferan en los barcos mercantes, también lo hace el potencial de violaciones de seguridad cibernética. Uno de los impactos más frecuentes de un ataque cibernético es la grave interrupción operativa que puede causar. De hecho, una de las últimas investigaciones de DNV desvela que un ciberataque podría catalizar el cierre de importantes vías navegables.

La actividad maliciosa o perjudicial en una red de un barco, una instalación en alta mar o un centro de control remoto en tierra podría comprometer sistemas de comunicación, sistemas de navegación, sistemas de gestión de lastre y carga, y sistemas de monitoreo y control del motor, entre otras cosas.

Tal y como se desprende de la encuesta que Thetius llevó a cabo en 2022, los puntos débiles en las estructuras organizativas, las relaciones en la cadena de suministro y los mecanismos de compartición de riesgos, hicieron a la industria naviera resultase más vulnerable a las amenazas cibernéticas. En un entorno donde muchas empresas marítimas carecen de madurez en algunos o todos los aspectos de su enfoque de ciberseguridad, encontrar formas de seguir siendo competitivos mientras se protegen datos sensibles, se volverá exponencialmente más difícil con el tiempo, según Thetius.

El pasado reciente y el futuro próximo

Según el estudio de Thetius, en 2021, la Organización Marítima Internacional (OMI) incorporó nuevas disposiciones de ciberseguridad en el Código de Gestión de la Seguridad (ISM por sus siglas en inglés) para la navegación mercante. Estas disposiciones integraron requisitos de gestión de riesgos cibernéticos más específicos en el sistema de gestión de seguridad del buque, formalizando prácticas deliberadas de gestión de riesgos cibernéticos en la operación de buques mercantes compatibles.

Estas nuevas regulaciones trajeron consigo el reconocimiento de la creciente amenaza cibernética.

Por otro lado, algunos subsectores de la industria marítima también habían establecido voluntariamente normas o directrices de ciberseguridad, antes que las del código ISM. Por ejemplo, normas básicas de ciberseguridad para petroleros se incluyeron en los requisitos del Tanker Management and Self Assessment (TMSA) del Oil Companies International Marine Forum (OCIMF) ya en 2017. TMSA introdujo el Elemento 13, centrado en la seguridad marítima y la gestión y evaluación de sistemas cibernéticos.

Además, tras la adopción de las pautas de la OMI, BIMCO, Chamber of Shipping of America, Digital Containership Association, International Association of Dry Cargo Shipowners (INTERCARGO), InterManager, International Association of Independent Tanker Owners (INTERTANKO), International Chamber of Shipping (ICS), International Union of Marine Insurance (IUMI), OCIMF, Superyacht Builders Association (Sybass) y World Shipping Council (WSC) produjeron ‘Las Pautas sobre Ciberseguridad a bordo de los buques’. Estas pautas tenían la intención de ayudar a los interesados con el desarrollo de una estrategia adecuada de gestión de riesgos cibernéticos de acuerdo con las regulaciones pertinentes y las mejores prácticas a bordo de un barco.

También, la Asociación Internacional de Sociedades de Clasificación (IACS) produjo la Recomendación sobre Resiliencia Cibernética.

Recientemente, IACS anunció un conjunto de Requisitos Unificados (URs) que buscan alinear a las sociedades de clasificación en sus políticas generales sobre la gestión de riesgos cibernéticos. Denominadas E26 y E27, estas regulaciones serán aplicables a todos los barcos de nueva construcción a partir de 2024.

El UR E26 proporciona pautas para la integración segura de equipos de tecnología operativa (OT) y tecnología de la información (IT) en las redes de los buques a lo largo de su ciclo de vida, desde el diseño y la construcción hasta la puesta en marcha y la operación. Las pautas enfatizan la resiliencia cibernética en aspectos como la identificación, protección, detección de ataques, respuesta y recuperación.

El UR E27 se centra en mejorar la integridad de los sistemas y equipos suministrados por terceros a bordo. Establece requisitos previos para la resiliencia cibernética en equipos, así como para las interacciones del usuario con sistemas basados en computadora. Además, establece requisitos para la creación y producción de nuevos dispositivos.

Al aprovechar estándares internacionales como el IEC 62443, IACS utilizará los nuevos URs para establecer requisitos que abarquen alcance, identificación de amenazas, detección de incidentes, respuesta y seguridad del sistema.

Por otro lado, una encuesta de DNV de 2023, apuntaba que el 87% de los profesionales marítimos creen que el futuro de la industria marítima depende de un aumento significativo en las redes conectadas entre organizaciones, y 9 de cada 10 encuestados piensan que es probable que ocurra una interrupción seria de las operaciones de barcos y/o flotas causada por un ciberataque. El 79% cree que es probable el robo de propiedad o carga, y más de la mitad (56%) cree que un ciberataque podría redundar en lesiones físicas o pérdida de vidas. Sin embargo, esta encuesta de DNV refleja cierto optimismo sobre el estado de madurez en la gestión de riesgos cibernéticos. Por ejemplo, el 75% de los encuestados afirmaron que la ciberseguridad de OT es una prioridad más alta para su organización actualmente que hace dos años. Sin embargo, menos de uno de cada cinco pudo afirmar que sus organizaciones estaban muy bien preparadas para responder y recuperarse de un ciberataque en barcos en el mar.

Nuevas demandas y gestión de los riesgos

Mientras las amenazas cibernéticas continúan en su avance, persiste la incertidumbre en torno a las repercusiones que tendrán en los roles actuales y futuros. Los roles y las responsabilidades dentro de las operaciones de transporte están cambiando, surgiendo así nuevos riesgos. Esto significa que los profesionales del sector deben adquirir nuevas habilidades para poder considerar, comprender y gestionar estas nuevas amenazas.

Hay una evidencia significativa que muestra que una buena gestión del riesgo cibernético debe impregnar un negocio de arriba a abajo para ser efectiva de alguna manera, similar a la construcción de una buena cultura de seguridad.

Costes

Según el informe de Thetius, el coste total de un ataque cibernético varía ampliamente, teniendo en cuenta su magnitud, pero se atisban tendencias muy positivas al respecto, registrándose un aumento en la inversión destinada a las medidas de ciberdefensa.

De esta forma, el 67% afirma gastar más de 100.000 dólares al año en la gestión de ciberseguridad, mientras que en 2022 se registró un 44%. Esto significa que las compañías navieras que continúan invirtiendo insuficientemente se están quedando rezagadas respecto a sus pares.

El coste asociado a un incidente cibernético comienza con las repercusiones inmediatas. El software, el equipo y las bases de datos pueden haber sufrido daños, por lo que habrá costes asociados con los esfuerzos de recuperación. También puede haber pérdidas financieras directas asociadas, como interrupciones comerciales, robo, rescate, pérdida de propiedad intelectual o información comercialmente sensible y daño reputacional para reparar.

Una encuesta realizada como parte de esta investigación de Thetius desveló que los encuestados creen que los ataques cibernéticos han costado a sus organizaciones más de 550.000 dólares en los últimos tres años. Esto representa un aumento del 200% con respecto a los resultados recopilados como parte de su investigación anterior.

Por otro lado, según se señala en el informe de Thetius, el coste promedio de una violación de datos empresarial ha aumentado un 2.3% este año (4.45 millones de dólares), según un informe reciente de IBM. En el mismo informe, los investigadores del Ponemon Institute añaden que este coste ha aumentado un 15.3% desde 2020.

Además, cabe destacar que existen otro tipo de costes asociados a la reputación. Este daño reputacional es duradero y no es fácil recuperarse del mismo, dado que la capacidad de una empresa para comerciar con ciertos clientes clave se verá afectada.

Scroll al inicio