Gestão de risco cibernético: o que os profissionais marítimos precisam saber agora

© captador / Adobe Stock

O prazo de janeiro de 2021 da IMO para que os interesses de envio incorporem o gerenciamento do risco cibernético em seus Sistemas de Gerenciamento de Segurança existentes está se aproximando rapidamente. É fundamental que as partes interessadas compreendam suas vulnerabilidades. A IMO emitiu as diretrizes do MSC-FAL.1 / Circ.3 sobre gerenciamento de riscos cibernéticos marítimos, que faz um bom trabalho ao delinear os muitos sistemas vulneráveis dentro das operações marítimas, incluindo:

Sistemas 1.Bridge;

2. Sistemas de manuseio e gerenciamento de carga;

3.Propulsão e gerenciamento de máquinas e sistemas de controle de energia;

4. Sistemas de controle de acesso;

5.Serviço de passageiros e sistemas de gestão;

6.Passageiro que enfrenta redes públicas;

7. Sistemas de bem-estar administrativo e de tripulação; e

8. Sistemas de comunicação

As Diretrizes da IMO também levantam um ponto importante para entender a distinção entre tecnologia da informação (TI) e sistema de tecnologia operacional (OT). Em suma, a TI se concentra no uso de dados como informações, enquanto a OT se concentra no uso de dados para controlar ou monitorar processos físicos.

Essas distinções tornam-se importantes quando chega a hora de conduzir uma avaliação de risco de suas operações.

As avaliações de risco devem ser o primeiro passo ao examinar a exposição cibernética da sua empresa, terminal ou embarcação. Todas as partes do seu negócio que são controladas ou apoiadas por sistemas de computador precisam ser identificadas, e provavelmente há mais do que você imagina.

A Guarda Costeira dos Estados Unidos tem uma orientação muito boa sobre como começar a entender e identificar sua exposição à segurança cibernética ( https://homeport.uscg.mil ).

Este guia inclui informações da Equipe de Resposta Cibernética de Emergência dos Sistemas de Controle Industrial do Departamento de Segurança Interna (ICSCERT), que fornece uma ampla gama de informações, ferramentas e serviços que podem ajudar as empresas a avaliar sua segurança, identificar práticas recomendadas e melhorar sua segurança cibernética. . ( http://ics-cert.us-cert.gov/ )

Isso traz um ponto muito importante em relação ao ciberespaço e ao ambiente marítimo. Muitas vezes, nos deparamos com riscos únicos no campo marítimo e, embora a ameaça cibernética no mar tenha algumas características únicas, a maioria das ameaças é a mesma das empresas da costa. A ameaça cibernética não se importa se você está no porto ou no mar. Enquanto você estiver conectado à Internet, estará em risco. O Departamento de Segurança Interna tem várias dicas e recursos cibernéticos para ajudá-lo a educar suas equipes e a equipe de apoio do lado da costa. Isso inclui o Stop. Pensar. Conectar. Campanha. Informações simples como essa devem ser incluídas como parte regular do treinamento da tripulação a bordo.

Um programa mais abrangente foi desenvolvido pelo Centro Nacional de Controle de Segurança Cibernética e de Integração de Comunicações - Sistemas de Controle Industrial (NCCIC). Sua equipe de sistema de controles industriais (ICS) desenvolveu orientações para ajudar os proprietários na preparação de seus negócios e redes a lidar e analisar um incidente cibernético. ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf ) Orientações como essa devem ser incorporadas nas seções de Gerenciamento de Risco Cibernético dos Sistemas de Gerenciamento de Segurança, conforme exigido pela OMI

Os preparativos para evitar ou minimizar um incidente cibernético são sua primeira linha de defesa, no entanto, as empresas ainda precisam ter um plano de resposta que descreva como responder quando ocorre um incidente cibernético. Uma parte importante deste plano é trabalhar com seu Corretor de Seguros e Subscritores para entender como gerenciar adequadamente seu risco com cobertura de seguro adequada.

A chave aqui é identificar o que é e o que não está coberto atualmente. As grandes incógnitas são as chamadas exposições cibernéticas “silenciosas” na maioria das apólices de seguro tradicionais, que foram criadas quando o cyber ainda não era um grande risco e não o consideravam explicitamente. Isso pode criar incerteza para empresas, corretores e seguradoras sobre quais cenários de perda são cobertos. Em todo o grupo, a Allianz está analisando riscos cibernéticos em políticas de propriedade e responsabilidade em seus segmentos de seguros comerciais, corporativos e especializados e desenvolveu uma nova estratégia de subscrição para lidar com exposições cibernéticas “silenciosas”, garantindo que todas as políticas P / C será atualizado e esclarecido em relação aos riscos cibernéticos. Queremos eliminar a incerteza de cobertura para nossos clientes empresariais.

Costumo dizer aos meus clientes que a segurança cibernética é uma corrida sem acabamento. A IMO deu ao setor marítimo um prazo para colocar em dia as práticas de risco cibernético até janeiro de 2021. É claro que o trabalho não terminará aí. As ameaças cibernéticas continuarão a evoluir em frequência e gravidade à medida que nos tornamos mais dependentes da tecnologia. A tecnologia será positiva tanto para aumentar a segurança das embarcações quanto para reduzir os riscos, no entanto, é necessário permanecer vigilante para ameaças novas e emergentes. Essa vigilância é essencial para o futuro da indústria, porque a complacência não é uma opção.

Sobre o autor: Capitão Andrew Kinsey, consultor sênior de risco marinho, Allianz Global Corporate & Specialty