¿Está protegido de los ataques cibernéticos a barcos?

Imagine el siguiente escenario: el capitán de un barco transporta el ordenador portátil de un familiar que contiene un virus y él no lo sabe. El dispositivo, sin protección antivirus, se utiliza a bordo y el virus infecta los sistemas de la embarcación. Debido a este problema, el  barco colisiona con otro buque.

Escenarios como este explican por qué el ciberriesgo es una gran preocupación para la industria marítima, y nos plantea dudas sobre cómo respondería el seguro en un caso de estas características.

Algunos armadores dan permiso a empresas especializadas para que consigan evidencia de la presencia de ciberataques a bordo. El resultado de una de las pruebas extraídas recientemente concluyó que era posible:

• Alterar el Sistema de Información y Visualización de la Carta Electrónica (ECDIS, por sus siglas en inglés) y mostrar una información de radar fraudulenta.
• Distorsionar la ubicación del barco.
• Ocultar obstáculos del océano natural.
• Deshabilitar la maquinaria esencial.
• Anular los sistemas de administración de combustible y carga.

Resulta sencillo imaginar cómo un ciberataque puede tener consecuencias catastróficas, no obstante, no es tan fácil saber cómo respondería el seguro tradicional.

La Cláusula de Exclusión del Instituto del Ciberataque (ICAEC, por sus siglas en inglés) establece:

"Sujeto únicamente a la cláusula 1.2 a continuación, en ningún caso cubrirá este seguro la responsabilidad por daños o gastos causados directa o indirectamente por, o que hayan contribuido al uso o la operación, como medio para infligir daño, de cualquier ordenador, sistema informático, programa de software, código malicioso, virus o proceso informático de cualquier otro sistema electrónico".

Los efectos de esta cláusula de exclusión en una póliza de seguro de casco marino no están claros. En Reino Unido, por ejemplo, no ha sido aprobada por la ley; por lo tanto, cualquier opinión estará basada en nuestra comprensión de cómo la exclusión puede ser interpretada por las aseguradoras.

Para presentar una reclamación sin el ICAEC, el propietario del barco debe asumir la carga de la prueba y demostrar que la pérdida se produjo debido a un riesgo contra el que está asegurado. Para evitar el reclamo, las aseguradoras tendrían que argumentar que el reclamo está excluido de otra manera.

El ICAEC cambia esta situación: las aseguradoras pueden considerar que el significado del primer párrafo de la cláusula de exclusión es absoluto, y la cláusula no requiere que las aseguradoras demuestren que el ciberataque fue la causa inmediata de la pérdida, sino que simplemente contribuyó a ello.

Teniendo esto en cuenta, debe:

• Verificar si su cobertura de seguro del casco está sujeta al ICAEC o similar.
• Mantenerse al día de la orientación de la industria, así como de las Directrices de BIMCO sobre seguridad cibernética a bordo de barcos.
• Asegurarse de enfatizar adecuadamente los procesos y sistemas de prueba.
• Tener una estrategia sólida de comando y control para hacer frente a un ataque.

Tome medidas para cumplir con las obligaciones actuales y futuras sobre la ciberseguridad en los buques. Por ejemplo:

1. Los propietarios de barcos cisterna, sujetos a investigación en el marco del Foro Marítimo Internacional de Compañías Petroleras, deben incorporar el ciberriesgo como parte de sus políticas a partir del 1 de enero de 2018.

2. La Resolución MSC.428 (98) de la Organización Marítima Internacional requiere que los riesgos cibernéticos se aborden adecuadamente en los protocolos de gestión de la seguridad operacional y el código de gestión de la seguridad operacional internacional (ISM) antes del 1 de enero de 2021.