Barco lento da indústria marítima para segurança cibernética

© vectorfusionart / AdobeStock

Portos compensando o tempo perdido

Apesar do papel crítico que o sistema de transporte marítimo desempenha na saúde econômica dos Estados Unidos, e apesar de sua adoção recente de todas as coisas automatizadas - guindastes, veículos, vigilância e até embarcações - o setor demorou a aquecer para a necessidade de proteger seus sistemas e ativos digitais.

Depois do 11/9, preocupações com a segurança das fronteiras, espaço aéreo e infraestrutura do país, incluindo portos, avançaram por um breve momento antes de outras preocupações, como a busca por vítimas e perpetradores, a limpeza do local e da cidade e o debate sobre as necessidades de segurança interna versus os direitos dos cidadãos, levou a infra-estrutura a um segundo plano.

Ainda assim, os críticos mantiveram uma preocupação constante sobre a segurança dos portos do país. Nos anos seguintes, à medida que a automação de portos cresceu, a segurança física foi aprimorada e acertada, ajudada em parte pelo programa de Subsídios de Segurança Portuária do governo.

A maior parte das conversas sobre segurança cibernética se arrastou sob o radar até a publicação de dois relatórios condenatórios que levaram os portos do país, a Guarda Costeira dos Estados Unidos e o Departamento de Segurança Interna, a não atacar de forma agressiva ou adequada as vulnerabilidades cibernéticas dos portos.

Publicada em 2013, a “Discriminação da Infraestrutura Crítica: Instalações Portuárias dos EUA e Vulnerabilidades Cibernéticas” da Brookings Institution, ainda é considerada válida hoje. Publicado em 2014 pelo Escritório de Contabilidade Geral dos EUA, “Maritime Critical Infrastructure Protection” (GAO-14-459), dirigiu sua crítica principalmente à Guarda Costeira dos EUA, que afirmou não ter realizado uma avaliação de risco que “resolveu completamente ameaças cibernéticas, vulnerabilidades e conseqüências ”. O GAO também se queixou de que os planos de segurança marítima exigidos por lei e a regulamentação em geral também não identificaram ou abordaram essas mesmas questões.

"... dois se por mar"
Talvez estimulada por esses dois relatórios, a preocupação com a segurança cibernética do porto fracassou em 2015, quando o alarme soou em voz alta um após o outro, por uma série de organizações do setor, agências governamentais aqui e no exterior, academia, seguradoras, grupos de padrões, think tanks. e pesquisadores. Quase simultaneamente, juntos, eles lançaram uma série de relatórios, seminários, informes, cartilhas, planos estratégicos, diretivas, resoluções e até mesmo alguns apelos legislativos para avaliação e compartilhamento de informações - todos tratando do que eles viam como uma falta de consciência profundamente preocupante. e ação abordando as vulnerabilidades de segurança cibernética dos portos da nação.

Particularmente alarmados foram os participantes de um Simpósio de Segurança Cibernética Marítima realizado em 2015 pelo Centro de Controle, Interoperabilidade e Controle de Análises Avançadas de Dados (CCICADA), onde os oradores advertiram que “os ataques cibernéticos marítimos ocorrem em um mundo de 'Rápido e Morto'”. e que "ataques cibernéticos em portos e navios poderiam ser catastróficos".

Os executivos marítimos também foram alvo de críticas por não terem assumido a liderança no sentido de tornar a segurança cibernética uma prioridade, enquanto a desleixada higiene cibernética dos funcionários da linha de frente os rotulou como o elo mais fraco.

Onde quer que você olhasse, independentemente da fonte, a mensagem era alta e clara - faça alguma coisa sobre segurança cibernética ou enfrente sérias conseqüências para os negócios - até regulamentar!

Em 2016, o foco era a educação - especialmente a equipe - e a conscientização de que a segurança cibernética era um perigo real e premente e que uma mudança cultural precisava ocorrer, colocando a segurança cibernética no mesmo plano da gestão de segurança.

Agora dois terços do caminho até 2018, muitos dos 2,5 anos anteriores também foram gastos publicando guias de segurança cibernética e listas de verificação, reforçando diretivas regulatórias, completando planos de segurança de cinco anos, conduzindo avaliações de riscos cibernéticos, implantando esforços de mitigação e construindo relacionamentos na comunidade portuária remota, altamente complexa e competitiva através da participação, em parte, nos Comitês de Segurança Marítima de Área (AMSC) do USCG, e seus subcomitês cibernéticos, que podem ser encontrados na maioria das áreas portuárias principais. As ASMCs são formadas por representantes do USCG, agências governamentais, policiais, carregadores, autoridades portuárias, operadores de terminais, embarcações portuárias e até mesmo alguns clientes - todos trabalhando para identificar e abordar questões de segurança, além de compartilhar informações e criar melhores práticas. suas áreas de operação.
Algumas das mudanças que veremos neste ano são uma ênfase muito maior no gerenciamento de riscos cibernéticos, na resiliência e na colaboração, pois a comunidade de segurança cibernética tenta se defender contra a complacência (até os melhores esforços de segurança serão afetados em algum momento) fazendo com que empresas e portos marítimos criem planos de contingência para que possam se recuperar da maneira mais fácil possível de um ataque bem-sucedido e incentivá-los a trabalhar de forma colaborativa na construção de melhores práticas e no compartilhamento de informações sobre ataques cibernéticos bem-sucedidos.