Conferencia Ciberseguridad en el Sector Naval y Marítimo del Programa BE Leaders

Última actualización Dic 2, 2019

El pasado 25 de noviembre, lunes, a las 18:30 h, tuvo lugar en el Instituto de la Ingeniería de España (IIE), la 4ª Conferencia del Programa BE Leader bajo el título “Ciberseguridad en el Sector Naval y Marítimo”.

Comenzó el acto con la presentación por parte de José de Lara Rey, Decano-Presidente del COIN y AINE. José de Lara, desde su experiencia por su estrecha colaboración con el Departamento de Seguridad Nacional , DSN, como miembro del Comité de Expertos de la Estrategia Nacional de Seguridad (2017), Presidencia del Gobierno, y con el INCIBE, destacó la importancia que debemos darle al impacto de los ciberataques, de cuya magnitud aún no somos conscientes al cien por cien. No solo un ciberataque afecta a los costes, también puede afectar, en el caso del sector marítimo, a la seguridad física de la población que vive en zonas costeras y como ingenieros navales, remarcó, debemos procurar que todos los diseños de los sistemas y de los productos (buques), tengan el máximo nivel de ciberseguridad. Por ello, nuestra industria auxiliar debe introducir en sus productos además del cumplimiento de la normativa y los requisitos básicos establecidos, el máximo nivel de ciberseguridad.

Moderada por Diego Fernández Casado, Decano Territorial en Madrid del COIN, presentó esta mesa redonda que abordará el campo de la ciberseguridad de lo general a lo particular. Comenzó Enrique Cubeiro Cabello, Jefe del Estado Mayor del Mando Conjunto de Ciberdefensa, Ministerio de Defensa. A día de hoy, buques y puertos son un conglomerado de softwares y hardwares con gran cantidad de sistemas independientes y/o interconectados con vulnerabilidades intrínsecas que controlan todo, y que además algunos son indispensables (GPS, AIS, etc.). Y el problema de estos sistemas, apuntaba Enrique, reside en que han sido pensados exclusivamente en su funcionalidad. Continuó mostrando los objetivos que persiguen aquellos ciberdelincuentes, haciendo la distinción siguiente: aquellos relacionados con la navegación marítima, aquellas aplicaciones y sistemas que ayudan a dicha navegación; y por último, si el buque es militar se suman los sistemas de combate y de armas. Y son objetivos por el intrínseco carácter global del sector marítimo y la cantidad de dinero que se reclama tras el secuestro de información vital por motivos muy variopintos: económico, ideológico-político, etc. Apuntó que de los aproximadamente 50.000 buques mercantes operativos solo unos cientos ya cuentan con protección y es que, “hackear un buque es muy sencillo”. Recordaba que “es más probable que un buque de guerra quede inoperativo por un ciberataque que por la acción de un torpedo”.

Entre los actores que aparecen en el ecosistema del sector marítimo están: hackers, cibercrimen organizado (el más rentable), actores comerciales, grupos hacktivistas, los ciberterroristas, los actores estado (guerra híbrida, ciberespionaje, ataques a estructuras críticas, etc). Y si bien, ya se están llevando a cabo pruebas de concepto de ataques a los sistemas de ayudas a la navegación o ya existen sistemas específicos para la protección de los sistemas, y cada vez más se va tomando conciencia sobre este tema a través de conferencias internacionales o ciclos a nivel nacional como esta jornada, un barco para un hacker está lleno de puntos vulnerables por donde atacar. A saber: sistemas que actúan por conexión remoto a través de conexiones no seguras; sistemas conectados a tierra, muchos de ellos a través de internet sin la debida securización; interconexiones no seguras entre sistemas; el dinamismo de las dotaciones con escasísima concienciación; la escasez de especialistas en ciberseguridad en el ámbito marítimo; la presencia de gran número de trabajadores de terceras empresas…

Finalizaba su intervención, recordando lo vulnerable que es el ámbito marítimo y lo necesario y urgente, con un enfoque multidisciplinar, que es incrementar la seguridad mediante: equipos protegidos, el aumento del número de expertos en este campo, que debemos cuidar mucho las arquitecturas y las configuraciones, la elaboración de procedimientos y guías de buenas prácticas, hacer continuamente auditorías y test, hacer ciberejercicios para la formación de las tripulaciones. Y sobre todo la clave del éxito es la cooperación.

Juan Antonio Gómez Bule, Accenture Security BDA, comenzaba apuntando que la seguridad y protección es una tarea de todos. Los modelos tradicionales con los que hemos venido a prevenir recursos y riesgos anteriores están muertos, ya que estamos ante un conflicto totalmente asimétrico. La función de análisis de inteligencia asociado a la ciberseguridad hace que pensemos de una forma global, fusionada, prediciendo la conducta de nuestros adversarios. La tecnología tiene que tener embebida la seguridad por lo que nuestro objetivo no debe ser solo tecnológico ya que nuestra identidad son nuestros datos y debemos saber cómo utilizar la tecnología para nuestra defensa. La inteligencia es la comprensión de la realidad, y si no entendemos la realidad no podemos actuar. Los equipos de análisis, ciberinteligencia, nos proveen de una tecnología para disminuir la cantidad de horas que un analista es capaz de gestionar una información, y en el entorno global en el que estamos nada es ajeno a nuestra acción. Comentaba que era necesaria la normalización del desarrollo tecnológico y que la gestión del conflicto hay que tomárselo en serio para poder defendernos. Tras la recolección de la información, su procesamiento y su posterior entendimiento y comprensión, hay que elaborar un plan acción con un informe riguroso para el tomador de decisiones. Finalizó analizando los retos que tenemos ante la defensa en términos generales.

José Allona Almagro, DNV GL, Senior Principal Surveyor y Business Development Manager, Area Spain, Italy & Malta, comenzó su presentación con una introducción en la que remarcó la dependencia de los buques actuales y futuros de los sistemas de control objetivos de ciberataques. Siguió explicando la diferencia entre IT y OT. La primera hace referencia a la informática más clásica, la pura gestión de datos, y los riesgos tras un ataque informático son financieros y/o de reputación. En el caso de OT, que son sistemas operativos, es decir, los sistemas de control que hay a bordo del buque. Siguió comentando algunos ejemplos de ciberataques con el objeto de la importancia que hay que darle a este asunto, tomar conciencia porque es un problema de todos.

A continuación explicó cuál es el actual marco regulatorio de este asunto en el ámbito marítimo, que fundamentalmente se basa en la resolución MSC.428 (98) de la IMO en la que dice que el riesgo de ciberseguridad debe ser considerado en el sistema de gestión de seguridad del ISM de los buques como un riesgo más, y para enero de 2021 debe estar considerado ya dentro de los sistemas. Además de esto, hay una serie de banderas y organismos nacionales que ya están dando directrices específicas en este sentido. Y por otro lado, el mercado está solicitando exige nuevas normas de protección.

¿Y cuales son los pilares de la seguridad? Personal, procesos y tecnología. José Allona continuó su presentación explicando cada uno de ellos y la importancia de los mismos, como antesala a la descripción de lo que DNV GL está haciendo en este campo, como por ejemplo, la publicación de la guía de ciberseguridad “Recommended practice: Cyber security resilience management”; o las notaciones de clase lanzadas por esta sociedad clasificadora, o la realización de cursos de formación, etc.