Ciberseguridad y los cinco elementos clave en el cumplimiento normativo de la UR E26
La seguridad informática está evolucionando desde un simple ejercicio de cumplir requisitos a una herramienta empresarial esencial, requerida por reguladores y partes interesadas, escribe Nicolas Furge, presidente de Marlink Cyber.
El riesgo cibernético es una preocupación creciente en toda la industria naviera, desde los operadores de buques y fletadores hasta los puertos y la cadena de suministro en general. Si bien proliferan las soluciones tecnológicas, el creciente peso de la regulación planteará nuevas preguntas sobre el proceso de cumplimiento.
Estas normas irán más allá de la implementación de software y se convertirán en un proceso de inspección regular y detallado que requiere la colaboración entre astilleros, armadores, empresas de clasificación, fabricantes de equipos originales (OEM), TI y operadores de red. Quizás igual de importante para los armadores sean los posibles costos que implica lograr y mantener el cumplimiento, costos que serán recurrentes en lugar de gastos únicos.
Organismos reguladores, como la OMI, la Unión Europea, la Guardia Costera de EE. UU. y otros Estados de Abanderamiento, ya han introducido directrices o planean actualizar la normativa en respuesta a las crecientes ciberamenazas. Las normas del sector publicadas por BIMCO, SIRE y TMSA se complementan ahora con regulaciones desarrolladas por la Asociación Internacional de Sociedades de Clasificación (IACS).
El requisito unificado E26 de la IACS tiene como objetivo proporcionar un conjunto mínimo de requisitos para la resiliencia cibernética de los buques, destinados al diseño, la construcción, la puesta en servicio y la vida operativa del buque.
Su requisito relacionado, UR E27, proporciona las capacidades de seguridad mínimas para que los sistemas y equipos se consideren ciberresilienciales y está destinado a proveedores de equipos de terceros.
UR E26 se basa en el Marco de Ciberseguridad del NIST, que comprende cinco áreas clave de gobernanza: Identificar, Proteger, Detectar, Responder y Recuperar.
A pesar de que la UR E26 solo se requiere para nuevas construcciones, Marlink cree que los armadores buscarán cada vez más aplicar sus principios y estándares a los buques existentes, proporcionando mitigación de riesgos para activos y cargas de gran valor.
Las conversaciones con los armadores indican que aplicarán progresivamente la normativa a sus flotas, utilizando la UR26 como base para la ciberseguridad de los activos flotantes.
Las UR de la IACS serán aplicadas por todas las sociedades de clasificación miembros, que actuarán como auditoras, con solo pequeñas diferencias en la forma en que cada una aplica su metodología y definiciones en la documentación. Como punto de partida para el cumplimiento de la nueva normativa UR26 de la IACS, Marlink ha recopilado cinco aspectos clave que los armadores ya deberían haber considerado sobre cómo proceder.
Documentación
La UR 26 exige un nivel de documentación mucho mayor que antes, incluyendo un plan detallado de la configuración de la red a bordo, así como de los flujos de datos. Los inspectores esperarán documentación sobre las medidas de protección de la red, incluyendo un plan de pruebas para verificar los controles implementados.
Inventario de activos a bordo
Los propietarios deberán recopilar y mantener un inventario de los activos a bordo y generarlo según demanda. Este inventario incluye el hardware y el software correspondientes a los sistemas informáticos (SCI) y a las redes que los conectan entre sí y con otros SCI a bordo o en tierra.
Procedimientos
El reglamento exige la creación de nuevos procedimientos para defenderse de los ciberataques y aumentar la mitigación de riesgos. Por ejemplo, los armadores deben comprender cómo crear procedimientos y definir funciones y responsabilidades en temas como la monitorización, el control y el mantenimiento remotos de los equipos de los buques. El desarrollo de estos procedimientos es un proceso que debe estar estrechamente vinculado a los programas de formación y la concienciación.
Formación y Concientización
Es muy probable que los armadores exijan formación en ciberseguridad para las tripulaciones, y que esta se complemente con formación periódica de concienciación para todo el personal, incluyendo la tripulación, los contratistas y los terceros de mantenimiento. Los temas de formación incluyen cómo identificar riesgos, procedimientos para la recuperación de un sistema averiado, cómo obtener asistencia y apoyo externos desde tierra, y cómo probar y supervisar las redes a bordo.
De reactivo a proactivo
Las soluciones cibernéticas comunes pueden ofrecer una línea de protección reactiva contra ataques, pero ofrecen poca o ninguna información sobre la vulnerabilidad a un nivel superior. En el futuro, la ciberseguridad requerirá no solo protección de activos y redes, sino también evaluaciones de vulnerabilidad, pruebas de penetración y otras herramientas proactivas que puedan brindar información sobre amenazas probables y cómo estas evolucionan con el tiempo.
Conclusión
La UR26 supone un cambio significativo para la industria marítima, no solo como el primer requisito aplicable por igual a todos los buques de nueva construcción. La carga administrativa adicional que generará será considerable, pero aun así, es probable que normas similares se extiendan próximamente a la flota existente.
Sin embargo, la UR26 solo representa un punto de referencia acordado para el rendimiento. Es probable que las futuras regulaciones sean mucho más exigentes, y Marlink cree que los armadores deben tomar medidas adicionales para protegerse de las ciberamenazas. Las exigencias de los fletadores, las aseguradoras, las clases y otras partes interesadas probablemente aumentarán con el tiempo.
Los costos se derivarán de la administración de los registros necesarios para el cumplimiento normativo, los costos mensuales de servicio y, potencialmente, cientos de horas de consultoría para crear procedimientos y configuraciones. Es probable que los armadores deban aumentar los presupuestos destinados a TI para aprovechar las posibilidades que ofrece la tecnología digital y fortalecer la ciberdefensa.
Para lograr un mejor nivel de cumplimiento, la industria necesita una perspectiva nueva y de alto nivel sobre los pasos necesarios para permanecer seguro en el mar que vaya más allá de la defensa básica.
Nuestra experiencia con la mayor parte de la flota mercante marítima nos indica que el cumplimiento de la UR E26 y otras normativas no es suficiente por sí solo. Los armadores deben considerar qué mejoras adicionales deben implementarse para garantizar que sus flotas puedan seguir operando con seguridad.
@Splash247
