Ciberriesgo en el sector marítimo

Hasta hace solo unos años, la mayoría de los ataques cibernéticos se realizaban en un intento de obtener datos de carácter personal o financiero. Hoy en día, la naturaleza de la amenaza está cambiando, y las empresas en todos los sectores de negocios han comenzado a experimentar ataques altamente sofisticados y complejos que intentan infligir daños a los activos y a la actividad al tratar de tomar el control de los sistemas de control industrial.

Estos sistemas utilizan datos recibidos de unidades remotas para controlar los procesos de forma automática o mediante comandos de un operador y están diseñados para ser estancos frente al mundo exterior. Sin embargo piratas informáticos altamente cualificados han demostrado la capacidad de penetrar en los sistemas utilizados por la industria marítima.

Las instituciones financieras, compañías áreas, compañías del sector de la energía o las prestadoras de servicios públicos son las más vulnerables a ataques cibernéticos. Puede parecer que el perfil bajo con el que se muestra el sector marítimo frente al mundo sea mucho menos vulnerable a estos ataques que los sectores mencionados anteriormente.

Y en términos globales puede que así sea, sin embargo la amenaza es real y las consecuencias de un potencial ataque podrían ser catastróficas. Como ejemplo, un ataque cibernético que desactive los controles de un buque en tránsito por el Canal de Panamá que resulte en la obstrucción del canal, este hecho tendría un impacto económico significativo en todo el mundo.

Todos los informes sobre seguridad y defensa coinciden en incluir los riesgos de la tecnología, ciberriesgo, como una de las principales amenazas sobre las que se debe actuar urgentemente.

El informe sobre riesgos globales 2016 que se ha presentado en el Foro Económico Mundial de Davos, donde Marsh & McLennan Companies ha participado en su elaboración como Strategic Partner, recoge la preocupación en torno al ciberriesgo y pone de manifiesto su importancia como uno de los potenciales elementos desestabilizadores.

El ciberriesgo es una realidad y un auténtico desafío puesto que no hay información abierta sobre incidentes y su impacto, y por tanto tampoco unas directrices claras en cuanto a la ciberseguridad.

BIMCO, en colaboración con CLIA, ICS, Intercargo e Intertanko, acaba de publicar en enero de 2016 un documento, consensuado con Armadores y Operadores, que pone de relieve tanto la dimensión del ciberriesgo en el sector marítimo como la necesidad de llevar a cabo una evaluación de esos riesgos con los hitos recomendados por el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de los Estados Unidos (NIST).

Es un hecho que la tecnología, tanto como medio de información como recurso operativo, es parte esencial en la operativa de los buques. Por ejemplo los sistemas de localización y navegación más comunes como GPS, AIS o ECDIS son esenciales para la navegación actual.

La propia Organización Marítima Internacional ha regulado la obligatoriedad para muchos buques de contar con el sistema AIS, que es capaz de intercambiar automáticamente con otros buques o instalaciones en tierra una serie de información sobre identidad del buque, ruta y destino, velocidad, etc. También las Autoridades responsables de los Dispositivos de separación de tráfico se sirven de este sistema. Sin embargo estos sistemas se encuentran expuestos a amenazas de ciberseguridad, estando en estos momentos la industria trabajando en encriptaciones cifradas o códigos de autentificación.

Pruebas llevadas a cabo por investigaciones universitarias recientes ya han puesto de manifiesto la vulnerabilidad de ciertos sistemas de navegación, pudiendo introducir señales falsas que se superponen a la ubicación real de buques o representando emergencias inexistentes.

Estas circunstancias se ven agravadas por dos nuevos frentes:

–     Incremento en el uso de tecnología para controlar navegación, máquinas, cargas, etc.

Buques de posicionamiento dinámico, interfaces barco-tierra, control de los sistemas de propulsión o apertura y cierre de válvulas de carga, sistemas de embarque de pasajeros, etc.

–     Proyectos de buques no tripulados

Son los barcos drones, autónomos, tripulados desde tierra vía control remoto. Empresas como Rolls-Royce ya están trabajando en estos prototipos donde la tecnología será el elemento fundamental.

La Unión Europea está financiando el Proyecto Maritime Unmanned Navigation through Intelligence in Network que tiene como objetivo principal contar con un prototipo de simulación de viajes que permita medir los costes y beneficios asociados.

Han de elaborarse procedimientos y planes para la gestión del ciberriesgo que debieran ser considerados complementarios a los contenidos en los Códigos ISM e ISPS. Es un trabajo que ha de impulsarse y comenzar en la dirección de las Navieras para implantarse como política de la compañía; no es baladí ni compete únicamente a los departamentos de informática o a los Oficiales encargados de la seguridad y debiera llevarse a cabo tanto con expertos de la propia compañía como con profesionales externos competentes en esta materia.

La industria aseguradora ha sido consciente de la realidad del ciberriesgo desde que se comenzaron a emplear los ordenadores pero esa realidad se ha visto exponencialmente incrementada a finales del siglo XX con la llegada de internet y el uso masivo de redes informáticas y tecnología como herramienta fundamental en la operativa de los buques.

La industria reconocía esa amenaza pero no era capaz de entenderla en toda su dimensión y tampoco podía medir la probabilidad de pérdida y, como consecuencia, tarificar el precio de un seguro. Por eso desde 2003 se ha introducido en los contratos de seguro marítimo de buques, astilleros y terminales portuarias la Cláusula 380 de exclusión de ciberataque.

Esta cláusula excluye las pérdidas, daños, responsabilidades o gastos derivados del empleo de ordenadores, virus u otros sistemas electrónicos con la intención de causar daños, sin embargo se cubrirían en ausencia de esa intencionalidad.

Actualmente el mercado de seguros ya está dando soluciones, aunque caso a caso y ciertamente limitadas, para cubrir situaciones donde pese a la intención de causar daños se indemnicen los daños materiales y también ciertos gastos consecuenciales y daños de imagen/ reputación.

Además la industria aseguradora está acompañando con sus profesionales consultores en la medición del ciberriesgo así como entregando productos y servicios específicos para minimizar y mitigar ese riesgo.

Vivimos en un mundo dinámico y solamente actuando se puede avanzar. Hay que tener siempre presente que la existencia genera riesgo “I am, I risk” y que el problema no es el riesgo sino el no actuar frente al mismo.