AAPA Seaports
Expertos comparten importantes consejos de seguridad cibernética portuaria
Todo puerto marítimo es vulnerable a intrusiones cibernéticas. Muchos de estos ataques son inocuos, pero otros son desastrosos.
“Ransomware”, “malware”, “spear phishing” y captura de credenciales son algunas de las amenazas — todas nuevas al vocabulario portuario en esta última década aproximadamente.
Cada año, los ataques cibernéticos de todo tipo contra puertos marítimos incrementan y se tornan más sofisticados. El único camino a seguir es permanecer siempre vigilantes.
Son palabras mayores cuando se sufren 40 millones de ataques cibernéticos por mes, como reporta el Puerto de Los Ángeles.
“Somos un gran blanco. Hay actores amenazantes tratando de encontrar formas de causar estragos y trastornos. Saben que los puertos son críticos para el país. Y hay otros que quieren poner de rodillas al país”, dijo Tony Zhong, jefe de seguridad de la información para el Puerto de Los Ángeles.
Desafortunadamente, es cierto que solo hace falta un criminal cibernético conocedor o un miembro del personal descarrilado para doblegar a un puerto.
Más digitalización, más amenazas
Los puertos necesitan mejor seguridad contra ataques y amenazas cibernéticas a puertos y terminales porque están utilizando tecnología más compleja y automatización generalizada.
La encuesta titulada Jones Walker 2022 Ports and Terminals Cybersecurity Survey informa, “Las fallas en sistemas de gestión o las afectaciones a los sistemas portuarios o de terminales pueden alterar o cerrar las operaciones, interrumpir las cadenas de suministro y causar importantes impactos financieros, físicos e incluso geopolíticos”.
La encuesta menciona ataques a puertos en San Diego, Houston, Long Beach, Rotterdam y Barcelona, todos en tan sólo en los últimos cinco años.
La digitalización y la automatización de los sistemas operativos de terminales y de los sistemas de control industriales — tales como los sistemas automatizados de tecnología operativa que mejoran las tecnologías de la información (TI) y/o comunican datos, operan equipos, rastrean carga y contenedores y gestionan las operaciones comerciales — son un riesgo inherente.
Las IAPH Cybersecurity Guidelines for Ports and Port Facilities (Guías de ciber seguridad de la IAPH para puertos e instalaciones portuarias) consideran que cualquier nivel de adopción digital en un puerto o instalación portuaria es como “la sierva” del riesgo cibernético. El informe describe los ataques cibernéticos como “el principal riesgo para las autoridades portuarias y la comunidad portuaria más amplia”. Añadió además que “El ritmo acelerado de la digitalización … solo hace más urgente que los ejecutivos se centren en la resiliencia cibernética organizacional para salvaguardar la integridad y disponibilidad de datos críticos, asegurar la entrega de servicios y proteger la infraestructura marítima”.
Una razón por la cual los ataques cibernéticos vienen escalando es que son operados por bots. “Estos bots pueden operar de manera continua, tratando de abrir portillos en diferentes áreas”, dijo Ken Washington, CIO de Port Tampa Bay y presidente del comité de TI de AAPA. Para luchar contra el incesante hackeo, los puestos necesitan un sistema de defensa igualmente sólido e incansable.
El Comandante Brandon Link de la Oficina de Cumplimiento Portuario y de Instalaciones del Guardacostas de los EE.UU, dijo, “Conforme vayan evolucionando las tecnologías a disposición, lo mismo sucederá con los riesgos, las amenazas y las vulnerabilidades, ya sea de amenazas desde adentro, actividad delictiva, actores malintencionados del estado-nación e incluso efectos no intencionales de complicaciones en los sistemas de tecnologías operativas y tecnologías de la información”.
Mark Dubina es vicepresidente de seguridad para Port Tampa Bay y vicepresidente del Comité de Seguridad de AAPA. Señaló que, aunque los ataques cibernéticos involuntarios pueden tener repercusiones severas, está particularmente consciente de ataques maliciosos que son de origen internacional. El puerto es un jugador a escala mundial, así como sus socios, y muchos de ellos interactúan con otras partes del mundo conocidas por la proliferación de atacantes ciberespaciales.
Decisiones difíciles
Aunque toda organización es un blanco para un ataque cibernético, los puertos marítimos, con sus tentáculos mundiales y su papel central en la infraestructura crítica nacional, enfrentan un riesgo incluso mayor. Pero la protección cibernética no es sencilla porque, según concluye una encuesta de Jones Walker, “Las tecnologías a menudo pueden ser complejas, los actores malignos tienen mucha motivación y destreza y el costo de proteger los datos y sistemas de una organización podría parecer exorbitante”.
Por fortuna, se cuenta con ayuda. Hay formas y medios para robustecer la seguridad cibernética de un puerto.
AAPA Seaports conversó con reconocidos expertos para recopilar sus principales consejos y trucos para permanecer seguros en la era digital.
1 Consoliden la aceptación de niveles superiores
La decisión de dar prioridad a los preparativos para la seguridad cibernética es difícil, especialmente cuando los puertos simultáneamente lidian con otras presiones tales como trastornos en la cadena de suministro, acción climática y escasez de mano de obra.
Para comenzar a avanzar en la dirección correcta, un puerto necesita la aceptación de la plana mayor. Esto es crítico, no solo porque los líderes llevan las riendas del bolsillo — y la ciberseguridad sin duda requiere importantes recursos — sino también porque los puertos tienen la obligación de rendir. Sin el apoyo del nivel superior, los esfuerzos en seguridad cibernética se verían severamente maniatados.
“El manejo del riesgo cibernético no solo es un asunto de TI o de informática, sino más bien un riesgo estratégico que puede impactar la reputación de un puerto, sus operaciones, su desempeño, rendimiento financiero y su posición legal y/o de cumplimiento”, dijo Max Bobys, vicepresidente y líder de práctica de HudsonCyber, una empresa de manejo de riesgo cibernético en la industria marítima.
La gerencia ejecutiva y los miembros de la directiva tienen obligaciones inherentes respecto a la supervisión legal y regulatoria para poder manejar los riesgos de seguridad cibernética de un puerto, incluyendo la confidencialidad y privacidad de datos.
Para realmente atraer la atención de la alta gerencia, Bobys recomienda asignar un valor monetario a una potencial intrusión. Frente a un escenario de pérdida de dólares y centavos, el liderazgo podrá ver con mayor facilidad la relación entre la seguridad cibernética y un fuerte balance general Saber cuánto del valor financiero del puerto está en riesgo resalta la necesidad de tener responsabilidad fiduciaria.
Utilizando un análisis de escenarios de pérdidas, los puertos también pueden priorizar mejor la planificación de las inversiones y la asignación de recursos.
2 No le resten valor a la defensa
La seguridad cibernética requiere de personas, procesos, herramientas y financiamiento. Algunos puertos asignan inversiones a esta área de manera reaccionaria, ad hoc. Según Bobys, “Esto lleva a tratar de manejar el riesgo con un cuentagotas, dejando vulnerable al puerto”.
Algunas herramientas y recursos de ciberseguridad, quizás sorprendentemente, están disponibles a poco o ningún costo y no necesariamente se basan en tecnología.
La mayoría de los puertos, a fin de cuentas, deben rendir cuentas a los contribuyentes. Bobys dijo que, para asegurar la viabilidad financiera y operacional, el equipo ejecutivo y el directorio deben asegurar que se asignen los recursos adecuados para poder manejar de manera apropiada una gran variedad de riesgos cibernéticos.
Quiso la suerte que estuvieran disponibles ciertos fondos de asistencia para ciberseguridad.
Existen subvenciones, donde quizás el más conocido sea el Programa de Subvenciones de Seguridad Portuarias del Departamento de Seguridad Nacional. Y, en veces, fondos provenientes de socios, porque la seguridad de los puertos marítimos es un esfuerzo colaborativo que incluye a los concesionarios, el estado, las agencias federales y otros socios en múltiples aspectos de la ciberseguridad.
Zhong dijo que es ideal abordar la ciberseguridad de manera integral, si los puertos tienen suficientes recursos. Pero para puertos con operaciones más pequeñas o recursos muy limitados, dijo, sigue siendo importante identificar soluciones de ciberseguridad para los principales temas. “Aún si van a pasitos, eventualmente llegarán”, dijo, señalando que el campo está cambiando tan rápido que ningún puerto puede pensar que sólo un paso es suficiente — la seguridad cibernética es un compromiso de largo plazo.
3 No traten de hacerlo solos
Salvaguardar la integridad y disponibilidad de datos críticos, asegurar la entrega de servicios y proteger la infraestructura marina podría parecer una tarea imposible. Pero cada día mejoran las capacidades de ciberseguridad en las cadenas de suministro. El hecho de que los actores amenazantes también están mejorando significa que los puertos necesitan toda la ayuda posible.
Uno de los pasos más importantes para un puerto marítimo es asegurar que su gente de TI y de seguridad estén en sintonía. “Las áreas físicas y tecnológicas de la seguridad son necesarias — si no trabajan juntas, no tendrán éxito”, dijo Washington.
Port Tampa Bay ha llamado esto Protección Total. “Mi sistema de cámaras, controles de acceso y de credenciales están todos basados en informática. Dependemos del departamento de TI para ayudarnos a ofrecer un entorno seguro. Y la informática tiene activos duros, tales como fibra subterránea, bóvedas para servicios públicos, armarios para computadoras”, dijo Dubina. “Yo protejo la infraestructura de ellos y ellos protegen la mía para tener un modelo de protección integral”. En Tampa Bay, la división de seguridad examina todas las especificaciones sobre tecnologías de seguridad para asegurar que se ajusten bien con los protocolos de TI y los protocolos de seguridad.
La seguridad de un país y su prosperidad económica dependen de sistemas de transporte eficientes y seguros. Eso en sí es como una diana en el lomo de los puertos marítimos. También por eso las amenazas cibernéticas son responsabilidad compartida — gobierno e industria deben trabajar juntos. (Ver recuadro relacionado en la página xx.)
Existen muchos recursos de asistencia para asegurar la seguridad cibernética de un puerto. Los comités de trabajo de AAPA y las directrices de ciberseguridad de la Asociación Internacional de Puertos (IAPH) son un buen punto de partida y los Comités de Seguridad Marítima de Área (AMCS) del Servicio de Guardacostas de los EE.UU. y nuevos especialistas en seguridad cibernética están diseñados para ayudar.
Su presencia es agradecida. Por ejemplo, a finales de 2021, Guardacostas recibió un informe de un puerto estadounidense indicando que “un ciberactor malintencionado logró acceder a credenciales de una cuenta de usuario y al sistema operativo de portones donde los camiones entraban y salían del puerto.” En cuestión de tres horas de la intrusión, el puerto resaltó la actividad sospechosa y sacó de servicio el servidor. Luego solicitó el apoyo del Equipo de Protección Cibernética (CPT) del Guardacostas. El Equipo realizó un estudio de informática forense relacionado con el caso y envió a un grupo para asegurar que las medidas de respuesta del puerto eran adecuadas para el nivel de riesgo. El Guardacostas reportó que “Aunque el intruso logró robar información de una cuenta de usuario, pareciera que no tuvo tiempo de incorporar otros programas maliciosos, como sería un ransomware“.
En este caso, el Guardacostas le cubrió las espaldas al puerto y pudo aliviar el temor de impactos persistentes sobre los sistemas digitalizados del puerto.
La encuesta de Jones Walker señaló que muchas organizaciones gubernamentales y privadas no solo brindan capacitación y recursos, sino que también actúan como un centro de intercambio de información actualizada, en tiempo real, que ayuda a sensibilizar sobre las amenazas inminentes y ofrece estrategias y tácticas para minimizar el riesgo.
Más que nada, la seguridad cibernética se trata de personas. Sólo puede ser efectiva si la gerencia de un puerto, su personal, socios y grupos de interés tienen la capacitación apropiada, comunicación efectiva, compromiso y un fuerte grupo de apoyo.
Los empleados son los principales guardianes. Sin su compromiso, los ataques cibernéticos serán más dañinos. Washington dijo que es vital que los puertos brinden capacitación regular y significativa para ayudar a crear más conciencia y proteger a la organización y a sus empleados. Las ciberamenazas cambian continuamente y lo mismo debe suceder con la capacitación.
Algunos puertos han aprendido por las malas que no solo el personal permanente debe estar comprometido. El personal temporal, los consultores, los proveedores y los contratistas — y cualquier cantidad de otros interesados con los cuales interactúa el puerto — también deben contar con medidas preventivas y de respuesta apropiadas.
En Port Tampa Bay, indicó Dubina, el lenguaje de la seguridad cibernética ha logrado abrirse camino en todo tipo de contrato de negocios. A fin de cuentas, la seguridad cibernética es solo tan segura como el eslabón más débil.
4 Planifiquen, prueben, actualicen y planifiquen de nuevo
Cuando un puerto conoce sus debilidades, puede actuar.
La encuesta de Jones Walker dijo que alrededor de tres cuartas partes de los puertos estadounidenses tienen planes de seguridad cibernética por escrito. La mayoría de los demás ha incorporado su planificación de ciberseguridad en sus planes generales de seguridad.
Sin embargo, un plan en un estante no logra nada. Los planes deben ser prácticos, con suficiente detalle como para rápidamente guiar acciones cuando se les requiera. Esto significa que también deben ser actualizados y puestos a prueba con frecuencia.
Según la encuesta de Jones Walker, cerca del 64% de los puertos habían actualizado sus planes en los últimos dos años. Cerca del 45% de quienes respondieron la encuesta realizaban ejercicios de escritorio cada año y cerca de la mitad de los puertos costeros y 26% de otros puertos habían realizado auditorías o revisiones de los sistemas de seguridad de datos o de preparativos para irrupciones en el último año. Aunque esas cifras muestran compromiso, hay una brecha en los planes de actualización y de prueba en muchos puertos estadounidenses.
En Tampa Bay, el plan de respuesta a incidentes cibernéticos involucra una secuencia de contactos descendentes, entre otros. “Cuando detectamos un ataque, de inmediato notificamos al CEO, luego a nuestro departamento de seguridad para activar la cadena de aplicación de la ley. Luego sigue la gente de Legal, para definir si se requiere algún proceso legal, y luego Relaciones Públicas para que se prepare para consultas del público”, explicó Washington.
Los elementos de los protocolos continuamente son refinados, pero el puerto siempre es claro respecto a si, y cuándo, se queda a oscuras. El apagón de los servidores no debe tomarse a la ligera.
Digno de notar — los puertos siempre deben mantener redundancia para la ciberseguridad. La computación en la nube significa que apagones de los sistemas no pondrán en peligro los archivos digitales del puerto mientras algún ataque es investigado y resuelto. “De ser posible, eliminen el acceso remoto y/o VPN (redes virtuales privadas) a su red de negocios”, dijo Washington.
En PortLA, Zhong dijo que cuando los equipos de seguridad cibernética evalúan incidentes, a menudo hay muchas lecciones que aprender. “Siempre que no ponga en peligro nuestra seguridad, podría ser importante compartir lecciones aprendidas en detección, mitigación, recuperación y otros” con la comunidad de seguridad y similares, dijo Zhong. “Siempre hay un esfuerzo de buscar mayor colaboración”, continuó. Al contar con más perspectivas, se pueden cerrar más brechas de vulnerabilidad cibernética.
En LA, el Cyber Resilience Center es una colaboración entre todos los interesados para contrarrestar los riesgos cibernéticos. La cooperación en esfuerzos de seguridad permite a las partes prepararse para tipos similares de ataques. “Si compartimos información sobre ataques relacionados, será una forma valiosa de ayudar a los interesados a proteger sus sistemas”, dijo Zhong.
Al fuego
El futuro traerá más soluciones y, sin duda, nuevos retos cibernéticos. Dubina defiende con firmeza que EE.UU. debe fortalecer su experiencia en computarización cuántica. “En este momento hay grandes cantidades de datos en el espacio cibernético, pero puede ser difícil organizarlos”, señaló. Pronto la computarización cuática eliminará ese problema, y cuando los puertos y otras entidades ricas en datos sean atacados, los ladrones cibernéticos encontrarán más fácil usar los datos robados. “EE.UU. debe estar a la vanguardia”, dijo Dubina.
Los puertos y sus socios saben que los riesgos cibernéticos no van a desaparecer. Deben estar al tanto de la evolución de la industria cibernética ahora y siempre. Deben evaluar continuamente y buscar mejoras. “No podemos descansar”, dijo Washington.
