O Alerta de Segurança Marítima da Guarda Costeira dos Estados Unidos 06-19 (USCG MSA 06-19) descreve um incidente em fevereiro de 2019 a bordo de uma embarcação comercial de grande calado que fez escala no Porto de Nova York / Nova Jersey depois de sofrer um incidente cibernético significativo que afetou seu navio rede.
O Alerta de Segurança declarou em parte:
“Uma equipe interinstitucional de especialistas cibernéticos, liderada pela Guarda Costeira, respondeu e conduziu uma análise da rede da embarcação e dos sistemas de controle essenciais. A equipe concluiu que, embora o malware tenha degradado significativamente a funcionalidade do sistema de computador de bordo, os sistemas essenciais de controle de embarcação não foram afetados. No entanto, a resposta interagências constatou que a embarcação estava operando sem medidas eficazes de segurança cibernética, expondo os sistemas críticos de controle da embarcação a vulnerabilidades significativas. ”
Esse incidente fornece orientações valiosas sobre como devemos avaliar a prontidão de segurança de terminais, embarcações e infraestrutura associada. Também destaca a importância de como os exercícios de segurança e o treinamento da tripulação devem ser desenvolvidos e conduzidos. Uma das principais vantagens do USCG MSA 06-19 é que a Guarda Costeira incentiva fortemente todos os proprietários e operadores de embarcações e instalações a realizar avaliações de segurança cibernética para entender melhor a extensão de suas vulnerabilidades cibernéticas. Isso precisa ser uma revisão específica da embarcação e da instalação, pois cada ativo pode ter exposições únicas.
A boa notícia é que existem ativos gratuitos muito bons disponíveis para ajudar a conduzir esta revisão. O site da Agência de Segurança Cibernética e Infraestrutura de Segurança (CISA) do Departamento de Segurança Interna fornece recursos e melhores práticas de segurança cibernética para empresas https://www.us-cert.gov/resources . Um recurso que deve ser estudado é a Cyber Resilience Review (CRR). A Autoavaliação do CCR fornece uma medida dos recursos de resiliência cibernética de uma organização e fornece um Guia do Usuário útil que fornece informações sobre a realização de autoavaliações, avaliando os recursos de resiliência cibernética e fornecendo orientação para atividades subsequentes.
A Autoavaliação do CRR também permite que uma organização avalie seus recursos em relação à Estrutura de Segurança Cibernética (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST), e um documento de faixa de pedestres que mapeia o CRR para o NIST CSF é incluído como um componente do Kit de auto-avaliação do CRR.
Uma autoavaliação de segurança cibernética é o começo, mas é fundamental que sejam incorporados treinamentos e exercícios para ajudar a manter e melhorar a segurança de portos e embarcações. O treinamento sobre segurança cibernética está disponível no site da US Small Business Administration (https://www.sba.gov/course/cybersecurity-small-businesses/).
Todos os funcionários têm um papel na cibersegurança e o cibernético é um componente crítico da segurança física geral. Cartões de identificação e cartões de furto são usados regularmente para acesso às instalações e esses são apenas alguns dos muitos sistemas operacionais que podem ser comprometidos em um incidente cibernético. O treinamento precisa começar com novas contratações e incluir todos os funcionários. Como em qualquer plano de negócios, é fundamental que a gerência superior invista no sucesso da segurança operacional. Também é importante solicitar e responder à classificação e entrada de arquivos. Os melhores procedimentos são aqueles que são desenvolvidos com envolvimento e comunicação robustos, além de estar sujeitos a revisão e avaliação regulares. Um procedimento não deve apenas parecer bem no papel; ele também precisa ser funcional e atender a uma necessidade real.
Também é importante incluir parceiros de negócios em exercícios de segurança para ajudar a desenvolver e fortalecer relacionamentos e estabelecer uma base sólida de treinamento. Ter feedback de fora de uma organização é vital para desenvolver e manter uma postura de segurança robusta. Um plano de resposta adequado no caso de um incidente real é crítico e é importante realizar treinamento em condições do mundo real. Isso significa não depender apenas de sistemas baseados em TI para responder a um incidente de segurança, mas utilizar sistemas de backup manual. Isso também significa que as operações precisam ser avaliadas e os planos feitos para reduzir as operações no caso de sistemas automatizados não estarem disponíveis ou não serem confiáveis.
Conforme declarado em nossa Revisão de segurança e transporte da Allianz Global Corporate e Specialty 2019, a tecnologia agora é difundida no setor marítimo e essencial para o funcionamento de navios, portos e logística. Espera-se que o crescente uso da tecnologia conectada no setor marítimo seja positivo tanto para a segurança quanto para as reivindicações. Ferramentas de navegação eletrônica, comunicações navio-terra e maior uso de sensores têm o potencial de melhorar a navegação e ajudar a evitar aterros e colisões.
Em 2017, a Organização Marítima Internacional (IMO) adotou sua resolução de Gerenciamento de Riscos Cibernéticos Marítimos em Sistemas de Gerenciamento de Segurança, que exige que proprietários e gerentes de navios incorporem o gerenciamento de riscos cibernéticos à segurança dos navios até 2021. No entanto, essa é uma ameaça atual que precisa ser agiu agora, não adie até que os regulamentos entrem em vigor. Embora a nova tecnologia e a Internet das coisas tenham introduzido muitas novas exposições e ameaças, o treinamento de segurança atual reflete, de várias maneiras, os mesmos objetivos e metas que tínhamos ao vaporizar nas águas da pirataria nos anos 80; apresentar um alvo difícil e ter um plano que possa sobreviver a um soco na boca.