“A segurança cibernética é uma farsa” e outros equívocos marítimos

Direitos autorais LailaBee/AdobeStock

Com as novas regras sobre segurança cibernética vindas da Guarda Costeira dos EUA, Angeliki Zisimatou, diretora de segurança cibernética da ABS, está em uma posição única para discutir a segurança cibernética marítima na rodada, com insights sobre o que ela viu e ouviu sobre o rascunho das regras, com conselhos sobre o que isso pode significar para os proprietários de embarcações.

A segurança cibernética e tudo o que ela envolve estão rapidamente subindo na hierarquia de prioridades no setor marítimo, já que a crescente dependência da conectividade é uma espada de dois gumes: promessa e perigo.

Embora o nível de preparação para a segurança cibernética varie amplamente em todos os setores, talvez a maior preocupação seja que alguns nem sequer reconheçam o risco. “Muitas vezes nos últimos oito anos, ouvi 'A segurança cibernética é uma farsa'; ouvi isso repetidamente de equipes, operadores e proprietários”, disse Angeliki Zisimatou, Diretora de Segurança Cibernética da ABS, pois eles acreditam que seus sistemas de bordo são 'isolados' da conectividade de bordo, levando a uma falsa sensação de segurança.

O primeiro passo para o ABS é informar, educar e ilustrar que sim, a ameaça é real. Basta perguntar à AP Moller-Maersk Group , uma das maiores empresas de transporte do mundo que em 2017 foi atingida pelo ataque NotPetya , interrompendo as operações por 10 dias e custando centenas de milhões em receita.

Embora o setor marítimo coletivamente tenha sido lento na adoção da segurança cibernética, Zisimatou disse que grandes proprietários e operadores de frotas estão levando o risco a sério – investindo pesadamente em seus próprios centros de operação seguros – e ela está começando a ver mudanças de atitude em todo o setor, particularmente quando eventos de alto perfil como o NotPetya ganham manchetes e ilustram o escopo potencial do problema. Um fator também, como de costume, são as regras emergentes da Organização Marítima Internacional e da Guarda Costeira dos EUA.

“Para os operadores e proprietários de pequeno e médio porte, acredito que a regulamentação é o que está impulsionando suas ações, então eles tentam se ater ao mínimo, fazendo o que é obrigatório ou recomendado”, disse Zisimatou.

Novas regras de segurança cibernética da USCG

Participe do “Cyber Security Lunch & Learn” em Nova Orleans em 13 de novembro de 2024 no Morial Convention Center. O evento é uma discussão moderada sobre as novas regras de segurança cibernética da USCG e seu impacto potencial nos operadores de armadores. Clique aqui para se registrar gratuitamente.

Preenchendo as lacunas

À medida que novas embarcações conectadas entram cada vez mais em operação, e uma nova geração de marinheiros – nativos on-line – assume cada vez mais o comando do espaço marítimo, a conscientização e a ação sobre segurança cibernética seguirão o mesmo ritmo. Até lá, ainda há muito trabalho a ser feito.

“A falta de conhecimento sobre o tópico, [mais] a falta de treinamento e conscientização; isso se aplica às tripulações e ao pessoal de terra,” é sem dúvida a maior lacuna hoje, disse Zisimatou. “Mesmo as empresas de transporte que sabem que precisam agir, podem atribuir a tarefa ao seu departamento de TI, e normalmente, o pessoal de TI tem [pouco ou nenhum] conhecimento de sistemas de bordo,” apresentando um desafio sobre por onde começar.

A antiguidade dos sistemas legados executados a bordo da tonelagem existente, incluindo o Windows NT e outros softwares desatualizados, representa um desafio igualmente grande em termos de vulnerabilidade.

Outro problema potencial em toda a cadeia de suprimentos marítimos é possuir visibilidade adequada sobre manutenção e atualização de sistemas de bordo, já que normalmente os proprietários e gerentes de embarcações têm fornecedores que vêm fisicamente a bordo para acessar e atualizar os sistemas, fornecendo pouca ou nenhuma visibilidade sobre o que realmente foi atualizado e instalado nos navios. Obter controle e visibilidade completos sobre atualizações e manutenção de sistemas críticos é outro item prioritário na lista de tarefas de um proprietário/gerente de embarcação.

Mas embora as lacunas e os problemas sejam potencialmente grandes, as soluções podem ser fáceis, pelo menos para começar.

“Eu começaria com o óbvio”, disse Zisimatou. “Primeiro de tudo, leve isso a sério. Considere isso um risco real para suas operações e para seu negócio. Siga o que é obrigatório, ou o que é recomendado pela IMO, o que é recomendado pelo NIST, estrutura de segurança cibernética. Siga os passos. Comece com uma avaliação de risco muito robusta e coloque as pessoas certas na sala; pessoas de operações e pessoas do lado de TI. Faça um brainstorming; pense realmente nos riscos e em como mitigá-los. Se sua identificação de risco for ruim, os controles que serão implementados também serão ruins.”

“Há outros itens também, como exercícios de segurança cibernética a cada três meses exigidos pela regulamentação, o que achamos que é um pouco frequente demais. Então não há detalhes específicos; o que isso significa, o que precisa ser testado?”
Angeliki Zisimatou, Diretora de Segurança Cibernética, ABS


Novas regras da Guarda Costeira

No início deste ano, a Guarda Costeira publicou uma regra proposta no Federal Register propondo atualizar os regulamentos de segurança marítima adicionando regulamentos focados especificamente no estabelecimento de requisitos mínimos de segurança cibernética para embarcações com bandeira dos EUA, instalações na Plataforma Continental Exterior e instalações dos EUA sujeitas a regulamentações sob a Lei de Segurança do Transporte Marítimo de 2002. Espera-se que as novas regras sejam finalizadas ainda este ano, e muitas questões permanecem sobre o que elas exigirão e como isso impactará, em última análise, o procedimento e o custo do proprietário/operador da embarcação.

“Nós fornecemos algum feedback à Guarda Costeira sobre o que está potencialmente faltando, ou o que pode ser desafiador para os operadores”, disse Zisimatou. “[Neste momento] nós realmente não sabemos se o novo regulamento vai se aplicar a novas embarcações de construção, ou a embarcações existentes também. Isso teria um enorme impacto para embarcações de bandeira dos EUA.” Ela disse que há alguns requisitos dentro da regra proposta que falam sobre segmentação de redes, por exemplo, e especialmente em embarcações existentes, onde as redes são tipicamente planas, “que exigiriam algum esforço extra.”

Mas não termina aí.

“Há outros itens também, como exercícios de segurança cibernética a cada três meses exigidos dentro do regulamento, o que achamos um pouco frequente demais”, disse Zisimatou. “Então não há detalhes específicos; o que isso significa, o que precisa ser testado?”

Ela disse que a sociedade classificadora recomendou que a Guarda Costeira levasse em consideração o que a IACS propôs em relação a novas embarcações de construção, como abordar toda a cadeia de suprimentos, desde o projeto, comissionamento, construção e vida operacional de uma embarcação, mas também como abordou os controles específicos, fornecendo um pouco mais de clareza sobre o que a classe precisa fazer, o que o proprietário precisa fazer, o que um estaleiro precisa fazer.

“Estou esperando para ver a regulamentação sair, e tenho certeza de que a Guarda Costeira recebeu muitos comentários de que eles estão trabalhando agora”, disse Zisimatou. “Estou ansioso para ver isso, e então acho que terá um grande impacto, especialmente [mais tarde, quando] mais regulamentações saírem de outras administrações de bandeiras, com base no que a Guarda Costeira estabeleceu.”

Assista à entrevista completa com Angeliki Zisimatou, Diretora de Segurança Cibernética da ABS, na Maritime Reporter TV: