RECOMENDACIONES REFERIDAS A “RIESGOS CIBERNÉTICOS MARÍTIMOS EN LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD” (R 05.20 PNA)
Por medio de la Resolución MSC.428 (98) la Organización Marítima Internacional, reconociendo la necesidad de crear mayor conciencia sobre las amenazas y la vulnerabilidad ante los riesgos cibernéticos a fin de contribuir a la seguridad y protección del transporte marítimo, adoptó la decisión que todo sistema de gestión de la seguridad (SGS) aprobado debería tener en cuenta la gestión de los riesgos cibernéticos, de conformidad con los objetivos y prescripciones funcionales del Código IGS.
La presente resolución surge de la Circular OMI MSC-FAL.1/Circ.3 sobre “Directrices sobre la gestión de los riesgos cibernéticos marítimos” aprobado por el Comité de Seguridad Marítima y Comité de Facilitación, las cuales brindan recomendaciones de alto nivel para los riesgos cibernéticos marítimos que pueden incorporarse a los procesos existentes para la gestión de riesgos y que son complementarias a las prácticas de gestión de seguridad y protección establecidas por la Organización.
Los objetivos del Código IGS que incluyen, entre otras, la prestación de prácticas seguras en la operación de buques y un ambiente de trabajo seguro, la evaluación de todos los riesgos identificados para los buques, el personal y el medio ambiente, la instauración de precauciones adecuadas y la mejora continua de las aptitudes de gestión de la seguridad del personal en tierra y a bordo de los buques.
En este contexto, se recuerda a las Compañías operadoras que con la entrada en vigor de la Ordenanza Nº 5-18 “Normas de Gestión de la Seguridad Operacional del Buque y la Prevención de la Contaminación (NGS)” la Prefectura establece que todo sistema de gestión de la seguridad (SGS) aprobado deberá tener en cuenta la gestión de los riesgos cibernéticos de conformidad con los objetivos y las prescripciones funcionales del Código IGS, a más tardar en la fecha aniversario de la primera verificación anual del Documento de Cumplimiento de la Compañía, con posterioridad al 1 de enero de 2021.
En estas directrices se presentan elementos funcionales que contribuyen a la gestión efectiva de los riesgos Cibernéticos. Dichos elementos funcionales no son secuenciales; todos deberían ser simultáneos y continuos en la práctica y deberían incorporarse debidamente en un marco de gestión de los riesgos que incluye la identificación, protección, detección, y respuesta ante la misma.
Estos elementos funcionales abarcan las actividades y los resultados deseados de la gestión eficaz de los riesgos cibernéticos común a todos los sistemas cruciales que afectan a las operaciones marítimas y al intercambio de información, y constituyen un proceso continuo con mecanismos eficaces de retroalimentación
La evaluación de estos riesgos cibernéticos deberá incluir, entre otras cuestiones, lo siguiente:
| Los sistemas del puente |
| Los sistemas de manipulación y gestión de la carga. |
| Los sistemas de propulsión y gestión de las máquinas y de control de suministro eléctrico. |
| Los sistemas de control de acceso. |
| Los sistemas de servicio a los pasajeros y de organización de los mismos. |
| Las redes públicas para los pasajeros. |
| Los sistemas administrativos y de bienestar de la tripulación. |
| Los sistemas de comunicación. |
En materia de ciberseguridad, las medidas preventivas orientadas a la protección de la infraestructura informática se recogen en las disposiciones pertinentes del Código internacional de protección de los buques y las instalaciones portuarias (Código PBIP) y del Código internacional de gestión de la seguridad operacional del buque y para la prevención de la contaminación (Código IGS), las directrices emanadas de la OMI sobre la gestión de los riesgos cibernéticos marítimos (Circular MSC-FAL.1/Circ.3), como así también las recomendaciones de la industria; en tanto, las medidas de respuesta se exteriorizan desde el campo de la investigación criminal ante usos indebidos y/o ilícitos de las infraestructuras de información, las redes y los sistemas de comunicación, donde el Departamento Cibercrimen dependiente de esta Autoridad Marítima, efectiviza diligencias investigativas sobre las afectaciones a los sistemas de tecnologías de la información y operacional, vinculados a infraestructura informática crítica propia y del transporte marítimo, como asimismo las vinculadas al crimen organizado, con intervención de la justicia.
Así las cosas, se hace necesario generar un proceso de interacción permanente y constante con los operadores de buques, agentes navieros, proveedores de servicios, puertos e instalaciones portuarias, que pudieron ser víctimas de ataques cibernéticos en el marco de una investigación criminal, respecto a la detección de las vulnerabilidades de la infraestructura informática atacada, motivando las correspondientes recomendaciones en el caso concreto, independientemente de la comprobación de la participación criminal de los actores intervinientes, a fin de:
| Preservar la evidencia sobre lo ocurrido y la documentación correspondiente en el esquema de la persecución penal pública. |
| Compartir información relacionada con incidentes al Equipo de Respuesta de Incidentes de Seguridad Informática del Ministerio de Seguridad (MINSEG-CSIRT) y otras organizaciones ligadas al transporte marítimo para difusión, en la búsqueda de mitigar el impacto de nuevas amenazas, vulnerabilidades o ataques. |
Como resultado de recientes investigaciones llevadas a cabo por el Departamento Cibercrimen, se obtuvieron conclusiones que podrían ser de interés para la comunidad naviera y para la gestión de riesgo de las infraestructuras de información, vinculadas a:
| Las infecciones se produjeron utilizando servicios de conexión remota (protocolo RDP) publicados en internet, sin las medidas mínimas de seguridad; y |
| Se han identificado direcciones IP vinculadas con los ataques informáticos, que se encuentran a disposición de la comunidad naviera (operadores marítimos y portuarios) y del SOC (Centro de Operaciones de Seguridad) que opera en el contexto Comité de Respuesta de Incidentes de Seguridad Informática del Ministerio de Seguridad (MINSEG-CSIRT). |
Implementación de políticas y buenas prácticas en materia de ciberseguridad
A fin de prevenir los riesgos cibernéticos, se recomienda implementar políticas en materia de gestión de riesgos cibernéticos para proteger los activos informáticos y evitar situaciones o riesgos más comunes, como ser:
| Abandonar el puesto de trabajo sin bloquear el equipo. |
| Anotar las contraseñas en pequeñas hojas de papel autoadhesivo (post-it) y/o esconderlo bajo el teclado o alfombrilla del ratón. |
| Utilizar contraseñas débiles. |
| Revelar credenciales e información de la compañía a través del teléfono. |
| Almacenar información de la compañía o información confidencial en USB sin cifrar, subirla a entornos cloud no autorizados, etc. |
Una vez detectados los riesgos y las debilidades, si queremos garantizar un uso adecuado de los activos informáticos, debe establecerse una política de protección de los mismos, la cual, una vez implementada y firmada, tendrá que comunicarse a todas las partes interesadas de la compañía, y podrá incluir:
| Normativa de protección de los activos informáticos, que reúna todas las medidas necesarias para su protección. |
| Deberá ser revisada periódicamente y actualizada si hubiera cambios que lo requirieran. |
| Destrucción de documentación obsoleta, mediante mecanismos seguros, como las destructoras de papel o servicios externos contratados siempre que el nivel de confidencialidad de la misma así lo exija. |
| Bloqueos programados de sesión, de tal manera que un equipo se bloquee automáticamente tras un tiempo determinado en el que se detecte que no hay actividad. |
| Sistemas operativos actualizados, mediante las políticas de actualizaciones de software. |
| Antivirus actualizados y en estado activo. |
| Deshabilitar por defecto los puestos USB, únicamente siendo habilitados para usuarios que necesiten hacer uso de los mismos, de forma justificada y debidamente autorizada. |
| Seguridad en impresoras y equipos auxiliares, a través de mecanismos de impresión segura (con contraseña), en la impresión de documentos. |
| Uso de medios de almacenamiento seguros, tanto en red corporativa, nube o dispositivos extraíbles. |
| Prohibición de alteración de la configuración del equipo e instalación de aplicaciones no autorizadas, evitando así las posibles consecuencias ante una infección por virus o malware. |
| Política de mesas limpias, o la obligación de guardar la documentación del trabajo al ausentarse del puesto, ya sea circunstancial o por finalización de la jornada laboral. |
| No abandonar documentación sensible en impresoras o escáneres, evitando así que caiga en malas manos. |
| No revelar información a usuarios no debidamente identificados. |
| Obligación de confidencialidad, aceptando el compromiso de confidencialidad relativo a cualquier información a la que se tenga acceso el tiempo que dure la relación con la compañía. |
| Uso de contraseñas, acordes con la política de contraseñas, Obligación de bloqueo de sesión y apagado del equipo. |
| Uso adecuado de Internet, a través de la normativa de uso de internet como herramienta de trabajo. |
| Uso responsable de portátiles y dispositivos móviles propiedad de la compañía. |
| Cifrado de la información confidencial. |
| Obligación de notificar incidentes de seguridad. |
En este contexto, Prefectura recomienda a la comunidad de operadores navieros y portuarios, la necesidad de la notificación de un incidente informático al órgano judicial y/o policial, sin perjuicio de las tareas de contención y mitigación que puedan llevar adelante acorde a las normas de gestión de seguridad de la información implementadas, todo ello, con el fin de preservar la evidencia digital que pudiera hallarse dentro de los equipos informáticos afectados, requisito fundamental e indispensable para llevar adelante la investigación.
Difundir a todo el personal embarcado y terrestre de las Compañías sobre las Recomendaciones PNA.
La información que se brinda fue obtenida de
www.prefecturanaval.gob.ar
