Els ports estan protegits davant els ciberatacs?

“Fa 30 anys que treballo en aquest sector i puc dir que els cibercriminals estan transformant el negoci a gran velocitat perquè no s'han de cenyir a cap estàndard, col·laboren entre diferents grups i utilitzen eines molt sofisticades. No és impossible guanyar-los la batalla, però hem de millorar molt per avançar-nos-hi”. Així resumia Lluís Vera, CEO d'Ackcent, durant l'últim Smart Ports: piers of the future la percepció dels experts que el cibercrim és un negoci molt rendible i és molt complicat avançar-se a les accions planejades per la ciberdelinqüència.

Ciberresilència o ciberseguretat?

Abans d'entrar en el perquè d'aquesta afirmació, definim el concepte de ciberresilència i ciberseguretat. Segons la descripció que el World Economic Forum ofereix al seu white paper ‘Unpacking Cyber Resilience’, acabat de publicar, “la ciberresiliència no és el mateix que la ciberseguretat; no obstant, la ciberseguretat és essencial per aconseguir la ciberresiliència”.

Hi ha nombroses definicions de ciberresiliència, però la més rellevant per a les finalitats d'aquest document la proporciona el National Institute of Standards and Technology (NIST):

• "La capacitat d'anticipar, resistir, recuperar-se i adaptar-se a condicions adverses, tensions, atacs o compromisos en sistemes que utilitzen o estan habilitats per recursos cibernètics".

En considerar la resiliència cibernètica, és important tenir una visió àmplia del que és el risc cibernètic, explica l'informe del World Economic Forum: "el ciberrisc pot referir-se a qualsevol risc que sorgeixi de l'ús per part d'una organització dels serveis d'informació i tecnologia digital o del seu ús per part d'altres a la cadena de subministrament oa l'entorn empresarial més ampli".

L'informe reconeix que, en darrera instància, no existeix la ciberseguretat al 100%. "Les organitzacions han d'actuar partint de la base que es produiran incidents cibernètics significatius", assenyalen i apunten que "l'avantatge d'aquesta definició és que permet una gamma més àmplia d'escenaris de risc cibernètic".

“És un camp complicat, però hem de fer alguna cosa. Al port de Los Angeles invertim en tecnologies, persones i processos per intentar anivellar el terreny de joc amb els criminals. A més, comptem amb un centre específic de resiliència contra el cibercrim”, va explicar Tony Zhong, director de Seguretat de la Informació del port californià, durant el recent Smart Ports: piers of the future.

Ciberatacs a la cadena de subministrament

Segons la Guàrdia Costera dels Estats Units, els atacs de ransomware a la infraestructura portuària van augmentar un 80% el 2023, causant disrupcions que van molt més enllà de les pèrdues financeres, ja que poden provocar interrupcions de la cadena de subministrament amb efectes en cascada a les economies mundials. Ports d'Austràlia o el de Seattle, també han estat víctimes del cibercrim els últims mesos.

Entre altres recomanacions, el World Economic Forum suggereix que les organitzacions han d'avaluar-ne l'exposició als riscos dins de la cadena de subministrament. Quan no sigui possible assolir el nivell requerit de garantia de seguretat i resistència dins la cadena de subministrament, haurien de considerar com es poden dissenyar aquesta relació de dependències o com contenir altrament els incidents dins de la cadena de subministrament.

Aquesta avaluació requerirà un seguiment continu de lentorn de amenaces per comprendre la probabilitat que la cadena de subministrament es vegi compromesa. En considerar aquests riscos, les organitzacions també s'hauran d'autoavaluar per calibrar si els compromisos de la cadena de subministrament podrien tenir conseqüències prou greus per requerir un reforç contra aquests riscos que es propaguen.

Primer diagnòstic: manca inversió en ciberseguretat

Un informe de DNV constata que el volum global de ciberatacs al sector marítim va créixer un 38% entre el 2021 i el 2022. No obstant això, l'adopció de mesures preventives i mitigadores al sector ha estat lenta. Segons un altre informe de la mateixa empresa anomenat Maritime Cyber ​​Priority, el 2023 només el 40% de 800 professionals enquestats va afirmar que la seva organització inverteix prou en ciberseguretat.

“Necessitem recursos i suports de la nostra pròpia organització perquè la seguretat, les eines i les tecnologies necessàries per fer front al cibercrim són molt costoses. Però no ens podem permetre, com a autoritat portuària, no invertir. En termes de finançament, crec que cada organització ha d'analitzar el que es pot permetre i establir prioritats segons el nivell de risc existent”, admet Zhong, des del port de Los Angeles.

Per a Lluís Vera, d'Ackcent, la complexitat de l'aspecte financer rau en el fet que sovint els gerents no veuen un retorn clar de la inversió realitzada. “La meva opinió és que les empreses no estan invertint prou perquè necessitem professionals ben preparats i molta tecnologia per protegir les organitzacions”, lamenta.

Segon diagnòstic: poc personal qualificat

“Hi ha escassetat de professionals de la ciberseguretat al nostre camp. Trobar el professional adequat és un repte, ja que som pocs amb les habilitats específiques, fins i tot a grans ciutats com Los Angeles”, es lamenta el seu director de Seguretat de la Informació, Tony Zhong.

“La demanda supera l'oferta. Això vol dir que hi ha escassetat de professionals i no esperem que la situació millori en el futur. Hem de desenvolupar una visió estratègica i intentar construir una pedrera d'experts. En el nostre cas, una cosa que ha funcionat va ser convidar professionals d'altres àmbits amb experiència en negocis, IT o psicologia per formar-los i intentar així omplir aquest buit”, va apuntar Vera com a possible solució.

Una altra qüestió que assenyala Zhong és que la ciberseguretat no descansa i que, per tant, requereix torns que cobreixin totes les hores del dia durant tot l'any, ja que, com va compartir amb l'audiència, la majoria de ciberatacs es produeixen durant festius o caps de setmana llargs, quan hi sol haver menys personal.

Cristian Medrano, director de Seguretat de la Informació del Port de Barcelona i moderador de la taula rodona sobre ciberseguretat de la darrera edició de Smart Ports: piers of the future, va compartir una dada demolidora: fins a un 60% de professionals que treballen en ciberseguretat canviarien de carrera si sorgís la possibilitat de fer-ho.

La IA, solució als reptes de ciberseguretat?

Pel que fa a aquesta estadística, Medrano va llançar la pregunta de si la Intel·ligència Artificial és aliada o enemiga de la ciberseguretat i si pot ajudar a resoldre les problemàtiques esmentades.

“Nosaltres utilitzem la IA per millorar les nostres capacitats i temps per detectar i respondre a les amenaces. També la utilitzem com a tecnologia predictiva, per analitzar com el codi maliciós (malware), per exemple, migra o muta o canvia, i per augmentar l'eficiència i automatització”, va explicar Vera.

L'expert en ciberseguretat va assenyalar, no obstant, que des de l'altra banda també l'estan aprofitant per a usos delictius i va recordar que sovint “és més difícil defensar-se que atacar”. Va tornar a insistir en la necessitat de comptar amb experts que sàpiguen entrenar i utilitzar la IA per a aquests propòsits.

Per la seva banda, Zhong va definir la IA com a “amiga i enemiga”, ja que el qualificatiu depèn del propòsit per al qual és utilitzada.

“En les operacions de ciberseguretat, volem tenir la major quantitat de visibilitat possible a la nostra infraestructura. Així que si tenim eines com la IA que ens puguin ajudar a aconseguir-ho, per descomptat que les explorarem”, va apuntar.

L'expert del port de Los Angeles també va reflexionar sobre la necessitat d'entendre on s'ubiquen les dades obtingudes, ja que la informació utilitzada per a la seguretat ha d'estar protegida.

“Es troba al núvol? A les pròpies instal·lacions? Hem d'entendre tota la governança que hi ha darrere del conjunt de dades. Per això, a més de la IA, estem investigant les eines d'emmagatzematge d'informació i si aquestes es troben, per exemple, als Estats Units oa l'estranger”, va afegir.

D'on ve el risc?

Durant el 5th Annual Global Maritime Transportation System Cyber ​​Security Symposium es va debatre àmpliament sobre la naturalesa dels ciberatacants que ataquen el sector marítim. Es van identificar tres categories principals d'actors que coincideixen amb els assenyalats per Zhong:

• nacions
• grups criminals organitzats
• hackers

Pel que fa als estats, durant el simposi es va assenyalar en concret Rússia, considerat l'agressor cibernètic més actiu i amb capacitats ofensives molt desenvolupades. Xina i el desenvolupament de codi maliciós per part de pirates informàtics d'aquell país, també va ser identificat com una amenaça.

També es va reconèixer que, amb diferència, el tipus més freqüent d'atacs contra el sector té una motivació delictiva, amb l'objectiu d'extorsionar les empreses i els empleats. Els ciberdelinqüents varien enormement en la sofisticació i l'escala de les seves activitats.

Tanmateix, fins i tot a l'extrem inferior del risc d'amenaces, el gran nombre d'activitats dirigides a organitzacions grans i complexes com els ports representen un risc greu, continu i creixent.

A l'altra banda de la moneda, cal assenyalar que l'entorn normatiu al voltant de la ciberseguretat està evolucionant ràpidament. La resolució sobre ciberseguretat de l'Organització Marítima Internacional exigeix ​​que els propietaris, els operadors i els gestors disposin d'un sistema de gestió de la ciberseguretat.

Això s'està ampliant amb l'aplicació dels nous requisits unificats (UR) de la IACS per a la ciberseguretat, l'E26 i l'E27, que obliguen propietaris, drassanes i proveïdors a incorporar barreres de ciberseguretat als seus sistemes i vaixells, i que siguin verificades per les societats de classificació de vaixells.

A hores d'ara, no sembla que la batalla contra la ciberdelinqüència estigui guanyada. Això no obstant, s'han identificat les traves i els recursos que poden modificar el tauler del risc cibernètic en el futur.