El sector logístico ha evolucionado los últimos años a despliegues más complejos donde existe un mayor flujo de comunicación entre sus elementos. Esta evolución, es apreciable en sectores tan críticos como el marítimo, por ejemplo, en entornos portuarios existe un gran número de interconexiones para el intercambio de información entre una amplia gama de sistemas.
Los ejemplos reales, muestran como cada vez hay más ciberataques dirigidos a empresas del sector marítimo. Por ello, es imprescindible el desarrollo de estrategias de ciberseguridad basadas en la protección de los sistemas, la detección de ataques y la capacidad de respuestas ante un incidente. Se debe considerar la ciberseguridad desde el diseño, pensando más allá de la funcionalidad y considerándola como un proceso que se debe incorporar al día a día de todas las compañías.
De esta necesidad, están surgiendo requerimientos en ciberseguridad que se materializan en forma de estándares de buenas prácticas para el sector, o normativa de obligado cumplimiento.
Visión integral
La humanidad se enfrenta a nuevos desafíos que requieren, más que nunca, de una nueva visión integral. Por ello, todas las organizaciones, y la sociedad en general, se encuentran en mayor o menor medida inmersas en un proceso de transformación digital. Esta transformación está sustentada en la incorporación de la tecnología en todos los procesos de negocio de la organización y la hiperconectividad.
Se ha producido una convergencia entre los Sistemas de Información (IT), los Sistemas de la Operación (OT) y las Tecnologías de Consumo (CT)
dando lugar a un ecosistema interconectado en el que la afectación de un nodo puede tener implicaciones directas en toda la cadena.
Desde el punto de vista de la ciberseguridad, este mundo sistémico nos conduce a un escenario de alto riesgo. A medida que nuestros procesos de negocio tienen una mayor dependencia de la tecnología, aumenta el impacto de un posible ciberataque.
La hiperconectividad de los sistemas que forman la base tecnológica sobre la que desarrollamos nuestros procesos de negocio amplía enormemente la superficie de ataque y en consecuencia, la probabilidad de ocurrencia de un ciberincidente.
Alta peligrosidad
Según el Barómetro de Riesgo de Allianz Global Corporate & Specialty para el año 2020, por primera vez, los ciberincidentes son el mayor peligro para empresas a nivel mundial. Esta amenaza ha sido considerada por el 39% de los 2.700 expertos en gestión de riesgos consultados en más de 100 países y territorios. Cabe destacar que, hace siete años el ciberriesgo ocupaba el decimoquinto puesto del ranking, con sólo el 6% de respuestas. La conciencia de la ciberamenaza cibernética ha creció rápidamente en los últimos años, impulsado por la creciente dependencia de las empresas a sus datos y sistemas informáticos, así como una serie de incidentes sucedidos. El informe de Ciberamenazas y tendencias del año 2020 publicado por el Centro Criptológico Nacional (CCN) indica que en 2019 el CCN-CERT gestionó 42.997 ciberincidentes, más de un 11 % con respecto al año anterior, de los cuales casi un 7,5 % fueron de peligrosidad muy alta o crítica. Lo que pone de manifiesto el aumento en la probabilidad de ocurrencia de un ciberataque y que éste tenga un mayor impacto.
Respecto a la tipología de los incidentes, destacan de manera clara los incidentes relacionados con intrusiones y código dañino, suponiendo un 64% del total. Entre ellos, cabe destacar los ataques mediante ransomware, se trata de los ataques del tipo de código dañino más destructivo en la última década.
De afectar a equipos personales, ha pasado a ser una de las grandes amenazas para grandes empresas y para infraestructuras críticas. En lo referente a los entornos industriales, la creciente integración entre las tecnologías IT y OT, hace previsible un incremento en los casos de afectación a sistemas industriales por ransomware no especialmente dirigido contra estos sistemas.
Recientemente, se ha detectado un ransomware con capacidades específicas dirigidas a componentes de sistemas de control industrial (EKANS), lo que demuestra el interés de los cibercriminales por extender de forma deliberada este tipo de ataques a compañías que operan procesos industriales, una nueva estrategia en la que la presión para realizar el pago no solo se basa en un daño económico sino en el potencial impacto sobre vidas humanas al afectar a infraestructuras críticas.
Evolución en el sector logístico
El sector logístico ha evolucionado introduciendo para ello nuevas tecnologías, que han permitido pasar de una logística tradicional basada en la falta de coordinación entre las diferentes partes, con flujos de cargas de baja complejidad. Es decir, flujos de comunicación concretos y definidos, y un sistema rígido donde predominan suministros constantes o periódicos.
En la actualidad, en el sector logístico existe una mayor exigencia para optimizar la cadena de suministro. El tiempo de transporte físico es invariante, por lo que se debe optimizar en horarios y rutas de entrega, almacenamiento o métodos de transporte. Además, existe cada vez más demanda y a su vez más distribuida. Esto se ha traducido en una evolución del sector logístico hacia despliegues más complejos con nuevos entornos y técnicas, basados en un incremento en el número y periodicidad de las comunicaciones, la introducción de sistemas de control centralizados y la introducción de nuevas tecnologías que difuminan la frontera IT y OT. Con estos avances aparece un nuevo concepto, la gestión de flotas. Se trata de la administración de un grupo de elementos de una misma organización.
Vicent Gómez PuigConsultor del Departamentode Ciberseguridad Industrialde S2 GrupoIngeniero industrial, desde 2018 trabaja como Consultor del Departamento de Ciberseguridad Industrial de la empresa S2 Grupo. Cuenta con una gran experiencia en la gestión de la operación y mantenimiento de instalaciones de generación renovable y plantas industriales del sector automovilístico. Como consultor de Ciberseguridad Industrial, ha participado en numerosos proyectos de evaluación del grado de madurez de la ciberseguridad en sectores críticos como la energía, el agua o de la salud. Asimismo, ha colaborado en diversos proyectos de consultoría, entre los que destaca la definición de las bases para el desarrollo de una estrategia nacional de ciberseguridad para el sector eléctrico de Colombia.
Nuevos desafíos para el sector marítimoAsociado al sector logístico, encontramos sectores tan necesarios para su actividad como el sector marítimo. La tendencia mundial a la digitalización, y las políticas y reglamentos recientes exigen al sector a enfrentarse a nuevos desafíos en lo que respecta a la tecnología de la información y las comunicaciones. Hay que tener en cuenta que los sistemas portuarios interactúan con una amplia gama de sistemas a través de interconexiones para el intercambio de información. Por ello, cada vez más los puertos tienden a depender más de las tecnologías para ser más competitivos, cumplir con normativa, y optimizar sus operaciones. Esto trae consigo nuevos intereses y desafíos en lo relacionado con ciberseguridad.El caso de los buques: sistema inteligente a gran escalaLigado al sector marítimo, el sector naval tradicionalmente ha trabajado con elementos aislados, y con comunicaciones puntuales desde los centros de control para monitorizar la posición y ruta de los transportes. Actualmente, se ha incrementado la interconectividad de los elementos, por lo que existen comunicaciones constantes con el exterior entre las que se incluye la aparición de comunicaciones entre transportes. Ahora, los transportes son capaces de recibir e interpretar información sobre el resto de transportes a su alrededor. Esto se debe al incremento del flujo de comunicaciones, el ritmo y la variedad de datos enviados.Un buque es un sistema complejo donde interaccionan múltiples sistemas: servicios de clientes, personal de diferentes departamentos, mantenimiento, gestión de carga, control de puente, etc. Pero además, requiere de la monitorización continua del estado de los sistemas y necesita comunicaciones inalámbricas periódicas con centros de control a distancias considerables (existe gran diversidad de tecnologías para las comunicaciones remotas).Ciberseguridad sector navalLos problemas más habituales relacionados con la ciberseguridad que se suelen encontrar en el sector naval, estarían relacionados con la larga vida útil de los sistemas, falta de estándares de referencia, la confianza en el aislamiento de las redes y en la seguridad física, así como la falta de conciencia de aspectos como la convergencia de las tecnologías IT y OT, la debilidad de los sistemas de protección actuales, la motivación de los posibles atacantes o los riesgos existentes.Cada vez es más frecuente que ver ciberataques en sectores críticos, como sería el sector marítimo. Algunos de los ciberataques más recientes del sector son (según se recoge en Diario del Puerto):-“Maersk sufre un ciberataque a escala mundial”. (2017). Maersk calcula que el ciberataque le costó entre 171 y 256 M€, debido a que le afectó de forma negativa un par de semanas.-“El ciberataque Petya bloquea las terminales de APM en los puertos de Algeciras y Barcelona”. (2017). Un ataque a APM Terminals obligó a cerrar durante unas 48 horas sus terminales en los puertos de Algeciras y Barcelona.-“La AP de Barcelona minimiza el impacto del ciberataque y garantiza la actividad en el puerto”. (2018). Un ciberataque afectó a varios servidores del Puerto de Barcelona, lo que obligó a que la operativa de carga y descarga se tuviese que gestionar de forma manual.-“El ciberataque a la naviera CMA CGM afecta ‘parcialmente’ a las operaciones de buques” (2020). Se trata de un ataque a través de malware, que obligó a CMA CGM a interrumpir todos los accesos a su red interna y a su aplicación informática.Todos estos ataques tenían en común que se trataban de ciberataques por malware, y en todos los casos a través de un ransomware. No se trata de casos aislados, ya que durante los últimos años han sufrido ataques otras navieras importantes como COSCO Shipping, MSC o Anglo-Eastern Group. El sector naval se trata de uno de los sectores más afectados por los ciberataques ya sea por ser objetivo directo de los mismos o por un posible daño colateral.
Estrategia en ciberseguridadLa protección de los sistemas de control industrial, pasa en primer lugar por contemplar una estrategia que se apoyará en tres pilares:-La protección de los activos, para ello será necesario desarrollar marcos de referencia de ciberseguridad que abarque tanto el diseño y construcción de los activos. Contemplar la ciberseguridad de los sistemas IT/OT desde la fase de diseño permite obtener mejores resultados en la protección de los mismos y reducir significativamente los costes, además, llevar a cabo evaluaciones periódicas de la ciberseguridad permite disminuir a corto, medio y largo plazo el número de incidentes de ciberseguridad y aumentar la resiliencia de la organización.-La detección de amenazas, mediante la implementación de plataforma para la gestión de incidentes y amenazas de ciberseguridad, que utilice técnicas de correlación compleja de eventos o análisis de patrones para la identificación de anomalías. Con ello, se podrían prevenir y detectar posibles incidentes de ciberseguridad.-La mitigación y la respuesta ante incidentes, contando para ello con plantes de continuidad y de recuperación ante desastre. De este modo se podría minimizar el impacto de un posible incidente de ciberseguridad.Además, se deben tener en cuenta las personas que interactúan con los activos. Por lo que también se debe tener en consideración la capacitación especializada del personal, lo que llevaría a mejorar el nivel de ciberseguridad de la plantilla en consecuencia el de la organización.
Estándares y normativas para sector marítimo
A nivel global, se deben definir estrategias comunes que definan unas directrices que permitan identificar vulnerabilidades, puntos débiles y oportunidades de mejora en todos los ámbitos. El propósito de estos estándares sería asegurar que se protegen adecuadamente los activos cibernéticos, de tal manera que se garantice la fiabilidad dela misma frente a posibles ataques o simplemente incidentes de seguridad en el ámbito de la ciberseguridad.Para el desarrollo de un estándar, se debe tener en cuenta que el sector industrial es muy heterogéneo, por lo que no existen soluciones generales. Además de, tener en cuenta el ritmo a que se asimilan los cambios en el sector industrial para no fijar horizontes no realistas.Por ello, durante la 98ª sesión del Comité de Seguridad Marítima (MSC) de la Organización Marítima Internacional (IMO) celebrado en 2017, se aprobó una guía para la gestión de los ciberriesgos en el sector marítimo. En esta guía se hace referencia a otros estándares como la guía de ciberseguridad elaborada por BIMCO, CLIA, ICS, INTERCARGO y INTERTANKO, o estándares de reconocido prestigio como la ISO 27001 o el Framework de ciberseguridad elaborado por la NIST (United States National Institute of Standars and Technology).La IMO estableció que a partir de 2021, los propietarios y administradores de buques, deben incorporar la gestión del ciberriesgo en la seguridad de los buques. Según se indica, los propietarios corren el riesgo de que sus buques sean detenidos si no han incluido la ciberseguridad en la gestión de estos activos antes del 1 de enero de 2021.A raíz de esto, surgen nuevos estándares, como ejemplo el Code of Practice Cyber Security for Ships1 desarrollado por el Departamento de Transporte del Reino Unido o las certificaciones en ciberseguridad desarrolladas por empresas como DNV-GL2. Esta última certificación emplea estándares internacionales de reconocido prestigio como la norma IEC-62443.