Revista de Marina
Última edición
Última edición

Gestión de riesgo cibernético y la autoridad marítima

Gestión de riesgo cibernético y la autoridad marítima

  • Received at: 31/08/2020
  • Published at: 01/11/2020. Visto 1023 veces.
  • Abstract (spanish):

    Se expone sobre los ciberataques en el ámbito del transporte marítimo y como, debido a su importancia a nivel mundial, se establecen medidas de mitigación y prevención. Explicando que actualmente el Estado de Chile, mediante la autoridad marítima, debe velar por el cumplimiento de la gestión de riesgos cibernéticos.

  • Keywords (spanish): seguridad, riesgo cibernético, política de ciberseguridad, gestión.
  • Abstract:

    Presented here is a description of cyberattacks on maritime shipping and how, due to its worldwide significance, mitigation and prevention measures are established. The State of Chile, by means of its maritime authority, must ensure the compliance of cybernetic risk management

  • Keywords: Cybernetic risk, cybernetic policy, management, security.

En la actualidad se ha generado un gran avance tecnológico, especialmente en el ámbito marítimo, lo que puede ser apreciado gracias a los avances logrados en relación a los buques autónomos, los sistemas de posicionamiento global, las cartas de navegación digitales, los programas para la estiba de la carga, los diferentes medios de comunicación que puede utilizar un buque cuando se encuentra navegando, entre otros. Además, en la actualidad el rol que desempeña el transporte marítimo en el área logística de las empresas juega un papel fundamental, esto debido a la cantidad de mercancía y recursos que son transportados por este medio, dentro de los cuales podemos encontrar el petróleo y sus derivados, cobre y otras materias primas que son utilizadas en la elaboración de productos.

Debido a lo importante del transporte marítimo y para poder normar su correcto funcionamiento, se crearon diferentes convenios y leyes que buscan reducir o eliminar los accidentes y las posibles amenazas al transporte marítimo, dentro de estos podemos encontrar el Convenio Internacional para Prevenir la Contaminación por los Buques (MARPOL, por sus siglas en inglés Maritime Pollution) y el Convenio Internacional para la Seguridad de la Vida Humana en el Mar (SOLAS, por sus siglas en ingles Safety of Life at Sea), en la que, en su capítulo IX habla sobre la gestión de seguridad operacional de los buques y del que nace el Código Internacional de Gestión de la Seguridad (ISM, por sus siglas en inglés International Safety Management Code), que busca proporcionar una norma internacional sobre gestión para la seguridad operacional del buque y la prevención de la contaminación y, de esta forma, establecer prácticas de seguridad en las operaciones del buque y en el medio de trabajo.

No obstante, en la actualidad ha surgido una amenaza a la seguridad operacional del buque, que consiste en los ciberataques.

Ejemplos de ciberataques

Algunos ejemplos de ciberataques que podemos obtener del artículo de James Crawford Crawford (2019) “Ciberataque al transporte marítimo. ¿una amenaza real o ciencia ficción?,” son los siguientes:

  • White Rose of Drax
    El año 2013 un equipo de investigación de la universidad de Texas en Austin demostró como un potencial atacante podría tomar control remoto de un buque, mediante la manipulación de su G.P.S.; El yate White Rose of Drax fue exitosamente atacado mientras realizaba una navegación en el Mediterráneo, en un lapso de 30 minutos. Esto, gracias a la transmisión de señales falsas de G.P.S. civil, obteniendo el control de su sistema de navegación. Cuando el equipo de hackeo transmitió una señal falsa a la antena del G.P.S. del yate, el sistema de navegación del buque informó sobre una desviación del rumbo establecido, por lo que el equipo de navegación de puente tomó las acciones necesarias para volver a rumbo, sin saber que en realidad lo que estaban haciendo era llevar el yate hacia un rumbo equivocado y definido por los hackers.
  • Ataque a Maersk
    El año 2017, la empresa Maersk sufrió un ataque informático del tipo Ransomware, impidiendo o limitando el acceso de los usuarios de sus sistemas de administración y control, a su propio sistema informático, causando pérdidas entre $250 y $300 millones de dólares. Si bien es cierto que algunas fuentes señalan que lo sucedido correspondió a un daño colateral producto del ataque de hackers a Ucrania, la situación afectó a una de las principales compañías navieras del mundo. Durante los 10 días del proceso de levantamiento de los sistemas, posterior al ataque, los empleados de la empresa pudieron administrar solo un 20% de las demandas de transporte, gracias al esfuerzo y compromiso de estos. El presidente de Maersk señaló que producto del ataque, se tuvieron que reemplazar 45.000 computadores, 4.000 servidores e instalar 2.500 aplicaciones.

¿Cuál es la reacción del mundo?

Debido a casos como estos, la Organización Marítima Internacional (OMI) ha emitido diferentes circulares y resoluciones sobre la gestión de riesgos cibernéticos marítimos en los sistemas de gestión de seguridad.

La OMI ha definido en su circular MSC-FAL.1/Circ.3, del 5 julio 2017, el concepto de gestión de riesgos cibernéticos como:

Se entiende por gestión de los riesgos cibernéticos el proceso de identificación, análisis, evaluación y comunicación de riesgos de índole cibernética y de aceptación, evitación, transferencia o mitigación de esos riesgos hasta un nivel aceptable, teniendo en cuenta los costos y las ventajas para los interesados de las actuaciones emprendidas.

Teniendo en cuenta la definición que otorga la OMI, se puede aseverar que para poder desarrollar la gestión de riesgos cibernéticos es necesario efectuar un análisis y evaluación, lo que únicamente se lograría conociendo y dominando la mencionada materia.

Complementando lo anterior, la OMI, establece en su circular MSC-FAL.1/Circ.3, del 5 julio 2017, el objetivo de gestión de riesgos cibernéticos como: “La gestión de los riesgos cibernéticos marítimos es contribuir a la seguridad y a la protección del transporte marítimo, operacionalmente resiliente ante los riesgos cibernéticos.”

Esto demuestra que el enfoque principal de la gestión de riesgos cibernéticos no es otro que el garantizar la seguridad y la protección del transporte marítimo; el cual en la actualidad juega un papel fundamental en la economía y en el desarrollo de diferentes países. Esta información se puede verificar gracias a la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD, por sus siglas en inglés, United Nations Conference on Trade and Development), en su informe emitido en 2018, establece que más del 90% de la carga mundial es transportada por vía marítima y, además, muestra un crecimiento del transporte marítimo en un 4%, en lo referente a cantidad de carga transportada.

Debido a esto muchas empresas navieras han contratado diferentes compañías que brindan un servicio de software y hardware de seguridad, además de adoptar las medidas establecidas en las normas ISO 27001. En el caso de los Estados han implementado políticas de ciberseguridad.

Medidas adoptadas por Chile

En base a lo expuesto anteriormente, es de vital importancia analizar las implicancias que tendrá para Chile la entrada en vigor de la gestión de riesgos cibernéticos marítimos en los sistemas de gestión de seguridad. Esto debido a que actualmente Chile únicamente cuenta con la política de ciberseguridad nacional, la cual fue lanzada el día 07 de abril del año 2017. Esta política basa su accionar en cinco puntos:

  • Primero, contar con una infraestructura de la información capaz de resistir y recuperarse en caso de ataques e incidentes de ciberseguridad.
  • Segundo, proteger los derechos de los ciudadanos en el ciberespacio.
  • Tercero, generar una cultura de ciberseguridad en el país.
  • Cuarto, avanzar en conjunto con los organismos internacionales en los desafíos que se establezcan.
  • Quinto, promover el desarrollo de una industria de la ciberseguridad, que permita posicionar a Chile de mejor manera en la región.

Además, entrega un rol y una misión a distintos órganos del Estado como lo podemos apreciar en el cuadro 1:

ENTIDAD  ROL MISIÓN
PDI, Brigada
Investigadora del
ciber crimen
Preventivo e
investigativo
Encargada de la investigación de los delitos de conformidad con instrucciones del Ministerio Público, como es el caso de los ciberdelitos.
Carabineros,
departamento OS 9
Preventivo e
investigativo
Encargados del orden y la seguridad pública interior, su alteración debe ser prevenida e investigada, como es el caso de los ciberdelitos.
Agencia nacional de
inteligencia
Preventivo De acuerdo con la Ley 19.974 que regula su funcionamiento, entre sus tareas se encuentra: “proponer normas y procedimientos de protección de los sistemas de información crítica del Estado” Art 8, letra c)
Estado Mayor
Conjunto y fuerzas
armadas
Preventivo y
reactivo
Las instituciones de las fuerzas armadas están a cargo de proteger su propia infraestructura de la información, además de colaborar en las tareas de ciberseguridad que correspondan en relación con la seguridad nacional y el sistema nacional de inteligencia. El Estado Mayor Conjunto
es el organismo de trabajo y asesoría permanente del Ministro de Defensa Nacional en materias que tengan relación con la preparación y empleo conjunto de las fuerzas armadas, y está a cargo de elaborar y mantener
actualizada la planificación secundaria de la defensa, junto con otras tareas relevantes para la ciberseguridad del país. Las fuerzas armadas, por su parte, están a cargo, acorde a la planificación realizada, de los planes
institucionales y operativos que correspondan.
Cuadro 1. Fuente: Política Nacional de Ciberseguridad

Sin embargo, se puede observar que no entrega facultades o funciones respecto al rol que debe cumplir el Estado ante la certificación o fiscalización de las medidas de gestión de seguridad cibernética que utilizan los privados. Esto último, en relación con las circulares y resoluciones que ha emanado la O.M.I., probablemente debido a que la política es anterior a los mencionados documentos.

No obstante, como la administración del Estado está compuesta por diferentes organismos dentro de los cuales se encuentran las FF.AA., que, a su vez delegan algunas funciones en la Dirección General del Territorio Marítimo y la Marina Mercante (DGTM), y como la ley de navegación establece en su artículo 5°: “La autoridad marítima corresponderá a la Dirección y, como tal, aplicará y fiscalizará el cumplimiento de esta ley, de los convenios internacionales y de las normas legales o reglamentarias relacionadas con sus funciones.”

Al analizar esta información, se puede afirmar que será responsabilidad de la Autoridad Marítima el fiscalizar lo relacionado con la gestión de riesgos cibernéticos marítimos en los sistemas de gestión de seguridad, cuando entren en vigor las resoluciones y circulares emitidas por la O.M.I. Esta tarea implica que se debe acortar la brecha que existe actualmente entre las normativas nacionales y las medidas que ya han adoptado algunas empresas navieras. Para esto debemos analizar de qué forma la autoridad marítima abordará esta ardua tarea y que implicancias generará.

Recomendaciones

Teniendo presente que, en base a la legislación vigente las actuales normas internacionales y las medidas adoptadas por los buques de tráfico internacional, como recomendación la DGTM debería solicitar a las empresas navieras que cuenten con las siguientes medidas:

  • Definir las funciones responsables de la gestión del riesgo cibernético e identificar los sistemas que si se interrumpen plantean un riesgo para las operaciones de buques.
  • Aplicar procesos y medidas de control de riesgos para protegerse contra un incidente cibernético y garantizar la continuidad de las operaciones de transporte marítimo.
  • Desarrollar los procesos necesarios para detectar incidentes.
  • Implementar planes que proporcionen resistencia a un ataque cibernético.
  • Identificar como hacer copias de seguridad y restaurar los sistemas cibernéticos necesarios para las operaciones de transporte que han sido afectadas.

&&&&&&&&&&

BIBLIOGRAFÍA

  1. Resolución O.M.I MSC.428(98). 16 junio 2017. Gestión de los riesgos cibernéticos marítimos en los sistemas de gestión de la seguridad.
  2. Circular O.M.I. MSC-FAL.1/Circ.3. 5 julio 2017. Directrices sobre la gestión de los riesgos cibernéticos marítimos.
  3. James Crawford Crawford. Junio 2019. Ciberataque al transporte marítimo. ¿Una amenaza real o ciencia ficción? Revista de marina, pp. 15-23.
  4. Óscar Aranda Mora. Agosto 2018. Ciberseguridad y ciberdefensa: prioridad nacional postergada. Revista de marina, pp. 45-48.
  5. Gustavo Jordán Astaburuaga. Junio 2019. ¿Cuán dependiente será Chile del transporte marítimo a fines del siglo XXI?. Revista de marina, pp. 24-33.
  6. Patricio Iturra Piñones. Septiembre 2019. La inteligencia artificial a bordo ¿amenaza a los capitanes mercantes?. Revista de marina.
  7. Resolución O.M.I. A.1071(28). 4 diciembre 2013. Directrices revisadas para la implantación del código internacional de gestión de la seguridad (código IGS) por las administraciones.
  8. Mundo marítimo. La ciberseguridad marítima podría ser vulnerada por fraudes virtuales por pánico causado por coronavirus. 13 marzo 2020 Obtenido de la red en mayo 2020.https://www.mundomaritimo.cl/noticias/la-ciberseguridad-maritima-podria-ser-vulnerada-por-estafadores-virtuales-que-aprovechan-el-panico-del-coronavirus
  9. Mundo marítimo. La importancia de la ciberseguridad en la industria marítima en medio de la crisis del coronavirus.10 abril 2020. Obtenido de la red en mayo 2020. https://www.mundomaritimo.cl/noticias/la-importancia-de-la-ciberseguridad-en-la-industria-maritima-en-medio-de-la-crisis-del-coronavirus.
  10. Ley 18.575. 05 diciembre 1986. Ley orgánica constitucional de bases generales de la administración del Estado.
  11. Decreto ley 2.222. 31 mayo 1978. Sustituye ley de navegación.
  12. Comité Interministerial sobre Ciberseguridad. Política Nacional de Ciberseguridad. Gobierno de Chile. 2016. Obtenido de la red en mayo 2020. http://ciberseguridad.interior.gob.cl/media/2017/05/PNCS-CHILE-FEA.pdf.

Inicie sesión con su cuenta de suscriptor para comentar.-

Comentarios

Related Articles

¿Cuanto influye hoy Irán en América Latina?
ESCENARIOS DE ACTUALIDAD

¿Cuanto influye hoy Irán en América Latina?

En este ensayo examinaremos algunos aspectos que tiene hoy la influencia de Irán en América Latina y los métodos que est...

Aplicación de la inteligencia artificial a la defensa y seguridad
TEMA DE PORTADA

Aplicación de la inteligencia artificial a la defensa y seguridad

“El crimen organizado se combate como región o no se combate (Tohá, 2024)1" Miles de millones de personas utilizan...

De la geopolítica a la visión geoestrategia
CIENCIAS NAVALES Y MARÍTIMAS

De la geopolítica a la visión geoestrategia

La geopolítica y la geoestrategia están estrechamente vinculadas. La primera se enfoca en el análisis de la interrelació...

Gestión documental. Cómo superar la cascada de los salmones
ESCENARIOS DE ACTUALIDAD

Gestión documental. Cómo superar la cascada de los salmones

Registrar las vivencias que conforman el nutrido acontecer del marino de guerra es una tradición naval tan arraigada com...

Apuntes marítimos invasión rusa a Ucrania: Bloqueos, corredores y convoyes
ACTUALIDAD

Apuntes marítimos invasión rusa a Ucrania: Bloqueos, corredores y convoyes

Cuando la guerra de Rusia y Ucrania se acerca a cumplir cinco meses, los aspectos marítimos y navales de un conflicto qu...