Los 50 000 barcos que navegan por el mar en cualquier momento se han unido a una lista cada vez mayor de objetos que pueden ser pirateados. Los expertos en ciberseguridad demostraron recientemente lo fácil que era irrumpir en el equipo de navegación de un barco. Esto se produce solo unos años después de que los investigadores demostraran que podían engañar al GPS de un superyate para que cambiara de rumbo. Érase una vez objetos como coches, tostadoras y remolcadores solo hicieron lo que fueron diseñados originalmente para hacer. Hoy el problema es que todos también hablan por internet.

La historia hasta ahora

Las historias sobre ciberseguridad marítima solo van a proliferar. La industria marítima ha tardado en darse cuenta de que los barcos, como todo lo demás, ahora son parte del ciberespacio. La Organización Marítima Internacional (OMI), el organismo de la ONU encargado de regular el espacio marítimo, ha tardado un poco en considerar la regulación adecuada en lo que respecta a la ciberseguridad.

En 2014, la OMI consultó a sus miembros sobre cómo deberían ser las directrices de ciberseguridad marítima. Dos años después, emitieron sus directrices provisionales de gestión de riesgos de ciberseguridad, que son amplios y no particularmente marítimos. Y ahora, como era de esperar, los barcos están siendo pirateados.

Complejidad de la industria marítima

Hay varios problemas centrales que hacen que la ciberseguridad para la industria marítima sea particularmente difícil de abordar.

Primero, hay muchas clases diferentes de embarcaciones, todos los cuales operan en entornos muy diferentes. Estos buques tienden a tener diferentes sistemas informáticos integrados. Significativamente, muchos de estos sistemas están diseñados para durar más de 30 años. En otras palabras, muchos barcos tienen sistemas operativos obsoletos y no compatibles, que suelen ser los más propensos a los ciberataques.

Segundo, los usuarios de estos sistemas informáticos marítimos están en constante cambio. Las tripulaciones de los barcos son muy dinámicas, a menudo cambia con poca antelación. Como resultado, los miembros de la tripulación a menudo utilizan sistemas con los que no están familiarizados, aumentar el potencial de incidentes de ciberseguridad relacionados con errores humanos. Más lejos, el mantenimiento de los sistemas a bordo, incluidos los de navegación, a menudo se contrata con una variedad de terceros. Es perfectamente posible que la tripulación de un barco tenga poca comprensión de cómo los sistemas a bordo interactúan entre sí.

Una tercera complejidad es el vínculo entre los sistemas terrestres y a bordo. Muchas empresas marítimas se mantienen en constante comunicación con sus embarcaciones. La ciberseguridad del barco también depende, luego, sobre la ciberseguridad de la infraestructura terrestre que lo hace posible. Las implicaciones de tales dependencias quedaron claras en 2017 cuando un ciberataque a los sistemas de A.P. Moller-Maersk provocó retrasos en la carga de toda su flota. Esto es particularmente desafiante para la OMI, que puede gobernar regulaciones portuarias como la pero tienen muy poco control sobre los sistemas y procesos más amplios de los operadores marítimos.

Pasos en la dirección correcta

En 2017, la OMI modificó dos de sus códigos generales de gestión de la seguridad para incluir explícitamente la ciberseguridad. El Código internacional de protección de buques e instalaciones portuarias (ISPS) y el Código internacional de gestión de la seguridad (ISM) detallan cómo los operadores de puertos y buques deben llevar a cabo los procesos de gestión de riesgos. Hacer de la ciberseguridad una parte integral de estos procesos debería garantizar que los operadores sean al menos conscientes de los riesgos cibernéticos.

Ojalá, este es el comienzo de un enfoque más holístico de la regulación de la ciberseguridad marítima. El conocimiento obtenido de estas nuevas evaluaciones de riesgos cibernéticos puede permitir a la OMI desarrollar un conjunto más amplio de regulaciones de seguridad cibernética. Hay mucha fruta madura para recoger, por ejemplo, armonizando algunos requisitos de equipos con los estándares de ciberseguridad existentes adoptados por otros sectores.

Dando la vuelta al barco

La industria marítima está sin duda por detrás de otros sectores del transporte, como aeroespacial, en términos de ciberseguridad. También parece haber una falta de urgencia para poner la casa en orden. Después de todo, las enmiendas cibernéticas específicas al ISM y al ISPS no entran en vigor hasta el 1 de enero de 2021, y solo representan el comienzo de un viaje. Por tanto, la industria marítima parece estar particularmente mal equipada para afrontar los retos del futuro, como la ciberseguridad de embarcaciones totalmente autónomas.

En el lado positivo, el enfoque lento y constante para el desarrollo de regulaciones de ciberseguridad al menos brinda la oportunidad de aprender de otros sectores y comprender completamente los riesgos de ciberseguridad marítima, en lugar de tomar decisiones apresuradas y mal informadas.

El desarrollo de regulaciones sólidas de ciberseguridad marítima va a ser un proceso muy lento, y posiblemente doloroso, proceso. Pero, el barco ha comenzado a girar.

Este artículo se publicó originalmente en The Conversation. Lea el artículo original.