El sector logístico ha evolucionado los últimos años a despliegues más complejos donde existe un mayor flujo de comunicación entre sus elementos. Esta evolución es apreciable en sectores tan críticos como el marítimo donde, por ejemplo, en entornos portuarios existe un gran número de interconexiones para el intercambio de información entre una amplia gama de sistemas.
Los ejemplos reales muestran como cada vez hay más ciberataques dirigidos a empresas del sector marítimo. Por ello, es imprescindible el desarrollo de estrategias de ciberseguridad basadas en la protección de los sistemas, la detección de ataques y la capacidad de respuestas ante un incidente. Se debe considerar la ciberseguridad desde el diseño, pensando más allá de la funcionalidad y considerándola como un proceso que se debe incorporar al día a día de todas las compañías.
Dada la variedad de estándares de buenas prácticas para el sector o normativa de obligado cumplimiento surgidos en materia de ciberseguridad en el sector marítimo, la IACS (International Association of Classification Societies), organización no gubernamental de base técnica formada por once sociedades de clasificación marina más importantes, ha establecido nuevos requisitos unificados (UR E26 y E27) sobre la resistencia cibernética de los buques que se aplicarán a buques cuya construcción se contrate a partir del 1 de enero de 2024. La ciberseguridad pasará de ser un valor añadido a una exigencia del mercado.
La humanidad se enfrenta a nuevos desafíos que requieren, más que nunca, de una nueva visión integral. Por ello, todas las organizaciones, y la sociedad en general, se encuentran en mayor o menor medida inmersas en un proceso de transformación digital. Esta transformación está sustentada en la incorporación de la tecnología en todos los procesos de negocio de la organización y la hiperconectividad. Se ha producido una convergencia entre los Sistemas de Información (IT), los Sistemas de la Operación (OT) y las Tecnologías de Consumo (CT) dando lugar a un ecosistema interconectado en el que la afectación de un nodo puede tener implicaciones directas en toda la cadena.
Desde el punto de vista de la ciberseguridad, este mundo sistémico nos conduce a un escenario de alto riesgo. A medida que nuestros procesos de negocio tienen una mayor dependencia de la tecnología, aumenta el impacto de un posible ciberataque.
La hiperconectividad de los sistemas que forman la base tecnológica sobre la que desarrollamos nuestros procesos de negocio amplía enormemente la superficie de ataque y, en consecuencia, la probabilidad de ocurrencia de un ciberincidente.
Según el Barómetro de Riesgo de Allianz Global Corporate & Specialty para el año 2023 (Allianz Risk Barometer: Identifying the major business risks for 2023) los ciberincidentes son el mayor peligro para empresas a nivel mundial. Esta amenaza ha sido considerada por el 34% de los 2.712 expertos en gestión de riesgos consultados en más de 94 países y territorios. Cabe destacar que, hace una década el ciberriesgo ocupaba el decimoquinto puesto del ranking, con sólo el 6% de respuestas. La conciencia de la amenaza cibernética ha crecido rápidamente en los últimos años, impulsada por la creciente dependencia de las empresas a sus datos y sistemas informáticos, así como una serie de incidentes sucedidos.
Es destacable que el segundo mayor peligro sea la interrupción de las operaciones, también con el 34% de consideración. Cabe destacar que en el mismo informe se incluye una encuesta, realizada a 917 expertos, donde se indica que los ciberincidentes son considerados por el 45% de los encuestados como la causa más temida de interrupción de las operaciones.
Por ello, se puede concluir que de forma directa e indirecta, el 50% de los encuestados consideran los ciberincidentes como el mayor peligro para su empresa.
Evolución en el sector logístico
El sector logístico ha introducido nuevas tecnologías que han permitido evolucionar la logística tradicional que estaba basada en la falta de coordinación entre las diferentes partes y con flujos de cargas de baja complejidad. Es decir, flujos de comunicación concretos y definidos, y un sistema rígido donde predominan suministros constantes o periódicos.
En la actualidad, en el sector logístico existe una mayor exigencia para optimizar la cadena de suministro. El tiempo de transporte físico es invariante, por lo que se debe optimizar en horarios y rutas de entrega, almacenamiento o métodos de transporte. Además, existe cada vez más demanda y a su vez más distribuida. Esto se ha traducido en una evolución del sector logístico hacia despliegues más complejos con nuevos entornos y técnicas, basados en un incremento en el número y periodicidad de las comunicaciones, la introducción de sistemas de control centralizados y la introducción de nuevas tecnologías que difuminan la frontera IT y OT. Con estos avances aparece un nuevo concepto, la gestión de flotas. Se trata de la administración de un grupo de elementos de una misma organización.
El sector naval: un ámbito estratégico en una economía global
Como la pandemia ha demostrado, existe una fuerte interdependencia entre productores y consumidores, que actualmente pueden encontrarse en cualquier lugar del mundo. Unos y otros se encuentran conectados, en gran parte, por el transporte marítimo. En la actualidad el transporte marítimo constituye un pilar fundamental de la economía global.
El número de toneladas transportadas en barco a nivel global se ha multiplicado por 2,5 en los últimos 25 años (UNCTAD Handbook of Statistics 2022 – Maritime transport). En el sector del transporte marítimo participa un conjunto amplio de actores que incluye los constructores navales o astilleros, las compañías navieras, consignatarios, los propios puertos y los organismos nacionales e internacionales encargados de su regulación. Además, está profundamente interconectado con otros elementos de las cadenas logísticas, como es el transporte ferroviario o por carretera de mercancías.
El caso de los buques: sistema inteligente a gran escala
Ligado al sector marítimo, el sector naval tradicionalmente ha trabajado con elementos aislados, y con comunicaciones puntuales desde los centros de control para monitorizar la posición y ruta de los transportes. Actualmente, se ha incrementado la interconectividad de los elementos, por lo que existen comunicaciones constantes con el exterior entre las que se incluyen comunicaciones entre transportes. Ahora, los vehículos son capaces de recibir e interpretar información sobre el resto de transportes a su alrededor. Esto se debe al incremento del flujo de comunicaciones, el ritmo y la variedad de datos enviados.
Un buque es un sistema complejo donde interaccionan múltiples sistemas: servicios de clientes, personal de diferentes departamentos, mantenimiento, gestión de carga, control de puente, etc. Pero además, requiere de la monitorización continua del estado de los sistemas y necesita comunicaciones inalámbricas periódicas con centros de control a distancias considerables (existe gran diversidad de tecnologías para las comunicaciones remotas).
Ciberseguridad en el sector naval
Los problemas más habituales relacionados con la ciberseguridad que se suelen encontrar en el sector naval, estarían relacionados con la larga vida útil de los sistemas, la falta de estándares de referencia, la confianza en el aislamiento de las redes y en la seguridad física, así como la falta de conciencia de aspectos como la convergencia de las tecnologías IT y OT, la debilidad de los sistemas de protección actuales, la motivación de los posibles atacantes o los riesgos existentes.
Cada vez es más frecuente ver ciberataques en sectores críticos, como sería el sector marítimo. Todo el mundo recuerda el ciberataque sufrido en 2017 por la naviera A.P. Moller Maersk, que obligó a la empresa a paralizar sus operaciones durante semanas y que tuvo un coste económico de entre 250 y 300 millones de dólares (https://www.diariodelpuerto.com/es/15404881030567640).
Pero este incidente no es un caso aislado. En 2018, la naviera COSCO sufrió un ataque que afectó a sus operaciones en Estados Unidos; en abril de 2020, la naviera MSC vio comprometida su sede de Ginebra; en septiembre de 2020 CMA CGM anunció que un ciberataque había afectado a sus servidores periféricos; en el año 2021 la infraestructura IT de OMI fue objeto de un ataque informático e incluso en 2023, DNV, sociedad de certificación naval, ha sufrido un ataque que ha afectado a 1.000 buques que dependen de su tecnología (https://www.dnv.com/news/cyber-attack-on-shipmanager-servers-update-237931).
Todos estos ataques tenían en común que se trataban de ciberataques por malware, y en todos los casos a través de un ransomware. El sector naval se trata de uno de los sectores más afectados por los ciberataques, ya sea por ser objetivo directo de los mismos o por un posible daño colateral.
Estrategia en ciberseguridad
A nivel global, se deben definir estrategias comunes que definan unas directrices que permitan identificar vulnerabilidades, puntos débiles y oportunidades de mejora en todos los ámbitos. El propósito de estos estándares sería asegurar que se protegen adecuadamente los activos cibernéticos, de tal manera que se garantice la fiabilidad de la misma frente a posibles ataques o simplemente incidentes de seguridad en el ámbito de la ciberseguridad.
Para el desarrollo de un estándar, se debe tener en cuenta que el sector industrial es muy heterogéneo, por lo que no existen soluciones generales. Además de tener en cuenta el ritmo a que se asimilan los cambios en el sector industrial para no fijar horizontes no realistas.
La creciente preocupación por la ciberseguridad en el sector naval está haciendo que organismos internacionales públicos y privados estén promoviendo la creación de estándares en esta materia. Así, la OMI (Organización Marítima Internacional), el organismo especializado de las Naciones Unidas encargado de establecer normas para la seguridad, la protección y el comportamiento ambiental en el transporte marítimo internacional, crea la circular MSC FAL 1-Cir.3 y la recomendación MSC.428.
La circular MSC FAL1-Cir.3 proporciona una guía de recomendaciones de alto nivel sobre la gestión de los riesgos de ciberseguridad. Esta circular describe un listado inicial de sistemas a revisar, plantea un método de análisis de los mismos y proporciona un listado de guías de buenas prácticas y estándares relativos a la seguridad de la información, como ISO/IEC 27001 o el framework 1.0 del NIST.
La recomendación MSC.438 de OMI ratifica que los buques deben incluir en su manual ISM (International Safety Management) un plan de resiliencia frente ciberataques, y anima a las autoridades de cada país a revisar su aplicación en la próxima revisión a partir del 1 de enero de 2021
A raíz de esto, surgen nuevos estándares, como ejemplo el Code of Practice Cyber Security for Ships desarrollado por el Departamento de Transporte del Reino Unido o las certificaciones en ciberseguridad desarrolladas por empresas como DNV (Cyber Secure class notation – DNV-GL) O Lloyd’s (ShipRight procedures). Estas últimas certificaciones se basan en marcos de referencia internacionales de reconocido prestigio como es el estándar IEC-62443, que aborda la ciberseguridad en sistemas de automatización y control industrial.
Dada la variedad de estándares surgidos en materia de ciberseguridad, la Asociación Internacional de Sociedades de Clasificación (IACS, sigla en inglés), cuyas sociedades de clasificación marina cubren más del 90% de los buques de carga del mundo, ha adoptado dos nuevos requisitos unificados (UR) sobre la resistencia cibernética de los buques:
- El UR E26 tiene como objetivo garantizar la integración segura de los equipos de tecnología operativa (OT) y de tecnología de la información (IT) en la red del buque durante el diseño, la construcción, la puesta en marcha y la vida operativa del buque. Esta UR se dirige al buque como entidad colectiva para la resiliencia cibernética y cubre cinco aspectos clave: identificación de equipos, protección, detección de ataques, respuesta y recuperación.
- El UR E27 tiene por objeto garantizar que la integridad del sistema esté asegurada y reforzada por proveedores de equipos de terceros. Esta UR establece requisitos para la ciberresiliencia de los sistemas y equipos de a bordo, y proporciona requisitos adicionales relativos a la interfaz entre los usuarios y los sistemas informáticos de a bordo, así como requisitos de diseño y desarrollo de productos para los nuevos dispositivos antes de su implantación a bordo de los buques. Cabe destacar que los requerimientos establecidos por esta UR se basan en los requerimientos de la parte 3-3 del estándar IEC 62443-3-3 (System security requirements and security levels).
Entrada en vigor
Estas UR se aplicarán a los nuevos buques cuya construcción se contrate a partir del 1 de enero de 2024.
La entrada en vigor de estos nuevos requisitos implicará un mayor esfuerzo tanto a operadores, armadores, astilleros y suministradores, dado que habrá que incorporar la ciberseguridad en el diseño, construcción y operación de los buques.
Incorporar la ciberseguridad en las primeras fases de diseño de un buque será algo crítico, ya que permitirá la obtención de mejores resultados en la protección de los mismos, y reducirá significativamente los costes ya que será más fácil aplicar medidas relacionadas con ciberseguridad.
La ciberseguridad en el sector naval ha pasado de ser un valor añadido, a una exigencia del mercado.
