El riesgo cibernético de los sistemas de control de operaciones (OT) está llegando a un barco cerca de ti

El riesgo cibernético se ha asociado tradicionalmente a los sistemas informáticos, pero es necesario cambiar esta percepción cuanto antes. Dado que la sofisticación de los ciberataques aumenta día a día, no solo es necesario implementar soluciones resilientes, sino también ampliar el alcance de lo que requiere protección. 

¿Por qué está aumentando el riesgo cibernético en la tecnología operativa (OT)? 

Las amenazas cibernéticas marítimas están aumentando a medida que más buques se conectan a Internet y sus operaciones se digitalizan cada vez más. Se está produciendo una convergencia de los sistemas de TI y TO, ya que los fabricantes de equipos originales (OEM) equipan sus sistemas con sensores para la recopilación de datos, lo que crea más puntos de entrada para las amenazas cibernéticas. 

Los operadores de buques están empleando una gama cada vez más amplia de herramientas para la recopilación de datos, el mantenimiento remoto y los gemelos digitales del ciclo de vida, lo que aumenta los posibles vectores de amenaza para los atacantes. 

Los hackers atacan cada vez más objetivos marítimos, ya sea con fines comerciales o con intenciones maliciosas. Al explotar vulnerabilidades de TI/TO, como atacar sistemas obsoletos mediante técnicas de phishing e ingeniería social, los ciberdelincuentes intentan acceder a los sistemas de los buques y, una vez dentro de la red, pueden comprometer los sistemas de TO. 

Las consecuencias pueden afectar a la seguridad de las personas, el medio ambiente y las operaciones de los buques. 

¿Cuáles son los riesgos para los equipos de OT? 

Los riesgos para los equipos de OT, como el motor, los sistemas eléctricos o la electrónica del puente, van desde la pérdida de control de los sistemas de navegación de proa y popa del puente hasta el compromiso de los datos de navegación y otros datos de seguridad. La pérdida de control de la navegación o el impacto en la carga, así como el bloqueo o la suplantación del GPS, son problemas reales.

Los sistemas OT a bordo de los buques, procedentes de múltiples fabricantes de equipos, son objetivos principales de los ciberataques. El pirateo de funciones críticas de control de los sistemas del buque, como la manipulación de la carga, la propulsión y el gobierno, la energía auxiliar, las emisiones y el control de la contaminación, puede provocar la pérdida de control y, en última instancia, el fallo de las operaciones del buque. 

¿Cómo puedo protegerme de este riesgo? 

Los armadores y operadores de buques disponen de varias herramientas para mitigar los riesgos y protegerse de las amenazas cibernéticas. Además, se ven sometidos a una presión cada vez mayor para cumplir con la normativa y la certificación, en particular los Requisitos Unificados desarrollados por la Asociación Internacional de Sociedades de Clasificación (IACS). 

Al igual que el resto de equipos a bordo de los buques, los sistemas electrónicos del puente y los modernos sistemas de puente integrados actuales deben cumplir con los Requisitos Unificados (UR) E26 y E27 de la IACS. 

Mientras que el UR E26 exige a los astilleros que demuestren que los buques que construyen son ciberresilientes al cumplir un conjunto mínimo de requisitos de ciberseguridad, el UR E27 se centra en la ciberresiliencia de los sistemas y equipos individuales a bordo. 

Aunque la atención se ha centrado en el cumplimiento en el sector del transporte marítimo, los operadores del mercado energético deben tener en cuenta que el E26 también se aplica a las plataformas marítimas.

¿Cómo puedo saber si mi equipo de tecnología operativa (OT) es seguro y cumple con los requisitos? 

Los UR de la IACS solo son aplicables actualmente a los buques de nueva construcción, pero la IACS y la OMI esperan que las mismas normas se apliquen pronto a los buques existentes regulados por el Convenio SOLAS. 

En el caso de los buques de nueva construcción, las partes interesadas deberán colaborar con su socio tecnológico y la sociedad de clasificación para demostrar que el buque se ha construido y se opera de conformidad con los requisitos de la UR cuando sea auditado por una sociedad de clasificación. 

La realización de auditorías periódicas, pruebas de penetración o evaluaciones de terceros son herramientas que permiten a los operadores mantener una postura segura y conforme a la normativa en lo que respecta a los equipos de OT. 

¿Es suficiente el cumplimiento para garantizar la seguridad? 

El cumplimiento de las UR u otras normativas no protege por sí solo los activos o la flota. El cumplimiento es una base mínima, pero es necesario un enfoque proactivo y continuo de la ciberseguridad. Los armadores y operadores deben colaborar con socios tecnológicos para garantizar que cuentan con el nivel adecuado de ciberseguridad. 

Esto incluye, entre otros aspectos, la protección a nivel de red, de dispositivos y de personal, y puede ampliarse al uso de servicios de detección proactiva que evalúen la eficacia de las medidas de protección instaladas.

Existen soluciones para detectar amenazas cibernéticas contra equipos de OT, combinadas con la segregación entre redes de TI y OT y la seguridad y el control en múltiples niveles. 

En conclusión, dado que los riesgos cibernéticos de la TO siguen aumentando en el sector marítimo, es esencial adoptar medidas de seguridad integrales y operar de conformidad con las UR E26 y E27 de la IACS. 

Al comprender los riesgos, implementar protecciones sólidas y mantener la vigilancia, los armadores y operadores pueden ayudar a proteger las operaciones de sus buques contra las amenazas cibernéticas y mejorar la seguridad de sus tripulaciones y del medio ambiente. 

¿Quiere asegurarse de que los sistemas OT a bordo de sus buques cumplen con la normativa y están protegidos? Póngase en contacto hoy mismo con su oficina local de Marlink para hablar de cómo podemos ayudarle.