46 CIBERSEGURIDAD Según este último informe publicado por Thetius, desde que Rusia comenzó su invasión a Ucrania, el riesgo de sabotaje cibernético a la infraestructura crítica utilizada en la industria offshore y el sector de energías renovables ha alcanzado niveles extremos. A medida que la tecnología operativa (OT) y las redes del Internet de las cosas (IoT) proliferan en los barcos mercantes, también lo hace el potencial de violaciones de seguridad cibernética. Uno de los impactos más frecuentes de un ataque cibernético es la grave interrupción operativa que puede causar. De hecho, una de las últimas investigaciones de DNV desvela que un ciberataque podría catalizar el cierre de importantes vías navegables. La actividad maliciosa o perjudicial en una red de un barco, una instalación en alta mar o un centro de control remoto en tierra podría comprometer sistemas de comunicación, sistemas de navegación, sistemas de gestión de lastre y carga, y sistemas de monitoreo y control del motor, entre otras cosas. Tal y como se desprende de la encuesta que Thetius llevó a cabo en 2022, los puntos débiles en las estructuras organizativas, las relaciones en la cadena de suministro y los mecanismos de compartición de riesgos, hicieron a la industria naviera resultase más vulnerable a las amenazas cibernéticas. En un entorno donde muchas empresas marítimas carecen de madurez en algunos o todos los aspectos de su enfoque de ciberseguridad, encontrar formas de seguir siendo competitivos mientras se protegen datos sensibles, se volverá exponencialmente más difícil con el tiempo, según Thetius. EL PASADO RECIENTE Y EL FUTURO PRÓXIMO Según el estudio de Thetius, en 2021, la Organización Marítima Internacional (OMI) incorporó nuevas disposiciones de ciberseguridad en el Código de Gestión de la Seguridad (ISM por sus siglas en inglés) para la navegación mercante. Estas disposiciones integraron requisitos de gestión de riesgos cibernéticos más específicos en el sistema de gestión de seguridad del buque, formalizando prácticas deliberadas de gestión de riesgos cibernéticos en la operación de buques mercantes compatibles. Estas nuevas regulaciones trajeron consigo el reconocimiento de la creciente amenaza cibernética. Por otro lado, algunos subsectores de la industria marítima también habían establecido voluntariamente normas o directrices de ciberseguridad, antes que las del código ISM. Por ejemplo, normas básicas de ciberseguridad para petroleros se incluyeron en los requisitos del Tanker Management and Self Assessment (TMSA) del Oil Companies International Marine Forum (OCIMF) ya en 2017. TMSA introdujo el Elemento 13, centrado en la seguridad marítima y la gestión y evaluación de sistemas cibernéticos. Además, tras la adopción de las pautas de la OMI, BIMCO, Chamber of Shipping of America, Digital Containership Association, International Association of Dry Cargo Shipowners (INTERCARGO), InterManager, International Association of Independent Tanker Owners (INTERTANKO), International Chamber of Shipping (ICS), International Union of Marine Insurance (IUMI), OCIMF, Superyacht Builders Association (Sybass) y World Shipping Council (WSC) produjeron ‘Las Pautas sobre Ciberseguridad a bordo de los buques’. Estas pautas tenían la intención de ayudar a los interesados con el desarrollo de una estrategia adecuada de gestión de riesgos cibernéticos de acuerdo con las regulaciones pertinentes y las mejores prácticas a bordo de un barco. También, la Asociación Internacional de Sociedades de Clasificación (IACS) produjo la Recomendación sobre Resiliencia Cibernética. Recientemente, IACS anunció un conjunto de Requisitos Unificados (URs) que buscan alinear a las sociedades de clasificación en sus políticas generales sobre la gestión de riesgos cibernéticos. Denominadas E26 y E27, estas regulaciones serán aplicables a todos los barcos de nueva construcción a partir de 2024. El UR E26 proporciona pautas para la integración segura de equipos de tecnología operativa (OT) y tecnología de la información (IT) en las redes de los buques a lo largo de su ciclo de vida, desde el diseño y la construcción hasta la puesta en marcha y la operación. Las pautas enfatizan la resiliencia cibernética en aspectos como la identificación, protección, detección de ataques, respuesta y recuperación. El UR E27 se centra en mejorar la integridad de los sistemas y equipos suministrados por terceros a bordo. Establece requisitos previos para la resiliencia cibernética en equipos, así como para las interacciones del usuario con sistemas basados en computadora. Además, establece requisitos para la creación y producción de nuevos dispositivos. Al aprovechar estándares internacionales como el IEC 62443, IACS utilizará los nuevos URs para establecer requisitos que abarquen alcance, identificación de amenazas, detección de incidentes, respuesta y seguridad del sistema. Por otro lado, una encuesta de DNV de 2023, apuntaba que el 87% de los profesionales marítimos creen que el futuro de la industria marítima depende de un aumento significativo en las redes conectadas entre organizaciones, y 9 de cada 10 encuestados piensan que es probable que ocurra una interrupción seria de las operaciones de barcos y/o flotas causada por un ciberataque. El 79% cree que es probable el robo de propiedad o carga, y más de la mitad (56%) cree que un ciberataque podría redundar en lesiones físicas o pérdida de vidas. Sin embargo, esta encuesta de
RkJQdWJsaXNoZXIy Njg1MjYx