Seguridad cibernética y los cinco elementos clave en su cumplimiento regulatorio E26

La seguridad de TI está evolucionando de un ejercicio de tartamudeo a una herramienta comercial esencial, requerida por los reguladores y las partes interesadas, escribe Nicolas Furge, presidente de Marlink Cyber.

El riesgo cibernético es una preocupación creciente en toda la industria naviera, desde operadores de buques y fletadores hasta puertos y la cadena de suministro más amplia. Si bien el número de soluciones tecnológicas está proliferando, el peso floreciente de la regulación hará nuevas preguntas sobre el proceso de cumplimiento.

Estas reglas irán más allá de la implementación de software, a un proceso de inspección regular y detallado que requiere colaboración entre astilleros, propietarios, clasificación, OEM, TI y operadores de red. Quizás igual de importante para los propietarios de Sharment es los costos potenciales involucrados para lograr y mantener el cumplimiento, costos que serán recurrentes en lugar de los gastos únicos.

Los reguladores, incluidos la OMI y la Unión Europea, la Guardia Costera de los Estados Unidos y otros estados de bandera, han introducido previamente orientación o planean actualizar la regulación en respuesta a las crecientes amenazas cibernéticas. Los estándares de la industria publicados por Bimco, Sire y TMSA ahora se están complementando con las regulaciones desarrolladas por la Asociación Internacional de Sociedades de Clasificación (IACS).

El requisito unificado de IACS E26 tiene como objetivo proporcionar un conjunto mínimo de requisitos para la resiliencia cibernética de los barcos, destinados a la vida de diseño, construcción, puesta en marcha y operación del barco.

Su requisito relacionado, UR E27, proporciona las capacidades de seguridad mínimas para los sistemas y equipos que se consideran cibernéticos y están destinados a proveedores de equipos de terceros.

UR E26 se basa en el marco de seguridad cibernética NIST, que comprende cinco áreas clave de gobierno: identificar, proteger, detectar, responder y recuperarse.

A pesar de que su E26 se requiere solo para las nuevas construcciones, Marlink cree que los propietarios de barcos buscarán aplicar cada vez más sus principios y estándares a los barcos existentes, proporcionando una mitigación de riesgos para activos y cargas muy valiosos.

Las conversaciones con los propietarios indican que aplicarán progresivamente la regulación a sus flotas, utilizando UR26 como línea de base para la seguridad cibernética en activos flotantes.

El IACS URS será aplicado por todas las sociedades de clase miembro que actuarán como auditor, con solo diferencias menores en cómo cada una aplica su metodología y definiciones dentro de la documentación. Como punto de partida para el cumplimiento de las regulaciones entrantes de IACS UR26, Marlink ha reunido cinco aspectos clave que los propietarios ya deberían haber considerado sobre cómo proceder.

Documentación

UR 26 requiere un nivel mucho más alto de documentación que antes, incluido un plan detallado de configuración de red a bordo, configuración y flujos de datos. Los inspectores esperarán documentación sobre medidas de protección de la red, incluido un plan de prueba para verificar los controles implementados.

Inventario de activos a bordo

Los propietarios deberán reunir y mantener un inventario de activos a bordo y producirlo a pedido. El inventario incluye el hardware y el software aplicables de los sistemas basados ​​en computadora (CBSS) y de las redes que conectan dichos sistemas entre sí y con otros CBSS a bordo o en tierra.

Procedimientos

El reglamento exige la creación de nuevos procedimientos para defenderse contra los ataques cibernéticos y aumentar la mitigación de riesgos. Por ejemplo, los propietarios deben comprender cómo crear procedimientos y definir roles y responsabilidades para temas como el monitoreo remoto, el control y el mantenimiento en los equipos de los barcos. El desarrollo de estos procedimientos es un proceso que debe ocurrir con una relación cercana con los programas de capacitación y la crianza de la conciencia.

Entrenamiento y conciencia

Es muy probable que los armadores requiera capacitación de seguridad cibernética para equipos y sigan esto con capacitación regular de concientización para todos los personales, incluidos la tripulación, los contratistas y los terceros de mantenimiento. Los temas de capacitación incluyen cómo identificar riesgos, procedimientos para la recuperación de un sistema fallido, cómo obtener asistencia externa y apoyo de la tierra y cómo probar y monitorear las redes a bordo.

De reactivo a proactivo

Las soluciones cibernéticas comunes pueden proporcionar una línea de protección reactiva contra los ataques, pero le dicen poco o nada sobre la vulnerabilidad en un nivel superior. En el futuro, la seguridad cibernética requerirá no solo la protección de activos y la red, sino también las evaluaciones de vulnerabilidad, las pruebas de penetración y otras herramientas proactivas que pueden proporcionar información sobre amenazas probables y probables, y cómo cambian con el tiempo.

Conclusión

UR26 es un cambio significativo para la industria marítima, no solo como el primer requisito para aplicar igualmente todos los buques de construcción de nuevas. La carga administrativa adicional que crea será considerable, pero aun así, es probable que se extienda estándares similares a la flota existente en poco tiempo.

Sin embargo, UR26 solo representa una línea de base acordada para el rendimiento. Es probable que las regulaciones futuras sean mucho más exigentes y Marlink cree que los propietarios deben tomar medidas adicionales para protegerse de las amenazas cibernéticas. Las demandas de fletadores, aseguradoras, clase y otras partes interesadas probablemente aumentarán con el tiempo.

Los costos vendrán en la administración del mantenimiento de registros necesarios para el cumplimiento, los costos mensuales de servicio y potencialmente cientos de horas de trabajo de consultoría para crear procedimientos y configuraciones. Es probable que los presupuestos gastados por los propietarios de barcos tengan que aumentar para aprovechar las posibilidades ofrecidas por la tecnología digital y aumentar la defensa cibernética.

Para lograr un nivel mejorado de cumplimiento, la industria necesita una nueva perspectiva de alto nivel sobre los pasos necesarios para permanecer seguros en el mar que va más allá de la defensa inicial.

Nuestra experiencia con la mayor parte de la flota mercante marítima nos dice que el cumplimiento de UR E26 y otras regulaciones no es suficiente por sí mismo. Los propietarios deben considerar qué mejora adicional debe hacerse para garantizar que sus flotas puedan continuar operando de manera segura.