É hora de avançar para uma abordagem quantitativa que forneça uma compreensão mais profunda dos elementos de risco individuais observados nos sistemas operacionais marinhos.
O aumento da conectividade em sistemas operacionais marítimos complexos está aumentando o impacto potencial de incidentes relacionados ao cyber e complicando a tarefa de se defender contra eles. Os métodos tradicionais para avaliar o risco cibernético fornecem orientação inadequada para aplicar recursos de segurança limitados.
Atualmente, os métodos de avaliação de risco disponíveis são amplamente qualitativos. Mesmo assim, esses métodos fornecem a base atual para os planos de gerenciamento de riscos, nos quais os proprietários e operadores baseiam os programas para identificar, proteger, detectar e recuperar as violações de segurança cibernética. Com base nesse modelo, é hora de avançar em direção a uma abordagem quantitativa que forneça uma compreensão mais profunda dos elementos de risco individuais observados nos sistemas operacionais marinhos e forneça aos proprietários os “botões giratórios” de engenharia para reduzi-los.
A equação mais comum usada para representar o risco cibernético é: Risco = Ameaça x Vulnerabilidade x Conseqüência. Essa equação tem se mostrado útil para os profissionais, na medida em que ajudou os analistas a entender intuitivamente que o risco tem três elementos constituintes e conclui que, ao remover um desses elementos, o risco pode ser reduzido. Mas essa fórmula é menos uma equação, em um sentido matemático, do que um modelo de referência para entender a natureza do risco de segurança cibernética. Seus três elementos são amplamente difíceis de medir e são problemáticos quando se tenta projetar e / ou calcular uma solução de segurança cibernética. Para o praticante de risco marítimo moderno, o principal desafio é criar um modelo que defina o risco cibernético para que possa ser contado, medido, computado e modelado para sistemas operacionais marítimos.
A ABS recentemente colaborou com o Stevens Institute para pesquisar este problema para o setor marítimo e redefinir a equação em termos que são contáveis, observáveis e de fácil compreensão. Uma das coisas que nossa pesquisa com o Stevens Institute descobriu foi que a natureza do risco marítimo dentro da segurança cibernética não é bem definida ou compreendida. Nem é particularmente bem gerenciado.
O resultado é um novo modelo que ajuda os proprietários a obter controle proativo sobre os riscos de segurança cibernética.
Esses riscos, por sua vez, direcionam requisitos específicos, decisões de engenharia e compromissos de recursos. O modelo se concentra na identificação de soluções computacionalmente projetadas, altamente detalhadas e em contexto com os riscos a serem gerenciados.
Efetivamente, ele coloca os controles para responder aos riscos cibernéticos de volta para as mãos do proprietário do ativo.
Mudar as práticas de risco cibernético da indústria de métodos defensivos mais tradicionais para um processo mensurável exigirá que a indústria mude a conversa, mas o mais importante também exigirá uma mudança na forma como os profissionais de risco pensam sobre o risco.
Para representar 'Consequência, Vulnerabilidade e Ameaça' como elementos calculáveis de uma equação de risco para tecnologia operacional, nós os substituímos pelos conceitos de 'Funções, Conexões e Identidades' (FCI), respectivamente.
As "funções" permitem que a tripulação manobre a embarcação ou execute sua missão, que pode ser qualquer coisa, desde a perfuração de petróleo até o transporte de pessoas e cargas, ou combinações de cada uma. Na equação de risco da FCI, eles representam sistemas que um invasor cibernético procuraria controlar ou derrotar: direção, monitores de localização, sistemas de propulsão, comunicações, qualquer coisa que servisse ao seu propósito.
As 'Conexões' representam, em relação à tecnologia de operação marítima, como as funções se comunicam umas com as outras, para terra, para satélites, para a Internet, etc.
Dentro de cada conexão existe um 'nó', o ponto através do qual uma incursão cibernética ganha acesso.
'Identidades' são dispositivos humanos ou digitais. A substituição da ameaça pela identidade permite que as ameaças sejam contadas, um conceito inovador para o avanço do cálculo do risco marítimo.
No contexto do modelo FCI, uma ameaça tem que ter uma agenda. Estes podem variar desde a falta de consciência dos riscos cibernéticos até comportamentos não intencionais - "Não vou aderir às regras da empresa e desempenhar as minhas funções de forma segura" - ou ações como o sequestro de sistemas de navegação para roubar ou destruir um navio ou outros atos que interrompam as operações normais, normalmente para ganho monetário.
Os dados quantitativos das Funções, Conexões e Identidades são então contados e usados para preencher uma planilha que cria um Índice de Risco para demonstrar como alterações específicas do FCI poderiam alterar o risco relativo da configuração de cada sistema.
O processo descrito aqui é simplificado, mas o Índice de Risco fornece uma visão quantitativa do risco relativo associado ao projeto arquitetural de sistemas individuais a bordo da embarcação. Isso é algo que está faltando no espaço da segurança cibernética marítima.
O método da FCI determina se os nós de Conexão (os pontos de acesso) estão adequadamente protegidos e se o proprietário do ativo controlou ou não as Identidades daqueles que receberam acesso a nós e áreas restritas dentro da arquitetura do sistema de controle da embarcação.
O índice ilustra a contribuição de cada componente para o risco global. Com base nessas contribuições de risco individuais, por exemplo, o proprietário pode reprojetar uma arquitetura de rede para reprojetar como o sistema está sendo acessado, seja por meio de interfaces homem-máquina, telefones celulares, pen drives ou conexões com a Internet.
Essa nova abordagem permite que o proprietário adote uma visão de toda a frota para determinar o risco relativo associado a cada embarcação com base na maneira como seu sistema digital é projetado, na maneira como as pessoas podem acessá-lo e na maneira como os nós ou pontos de acesso estão protegidos.
O ABS fornece um índice de risco calculado pela abordagem da FCI, que é um número que representa o nível relativo de risco inerente ao projeto e operação do sistema digital no navio. Ele ajuda os proprietários a decidir onde implantar seus recursos de defesa cibernética com frequência limitada.
Há um velho ditado na indústria: você não pode gerenciar o que não mede. À medida que a indústria marítima continua sua marcha em direção à automação, as empresas que podem medir e gerenciar o risco cibernético estarão melhor posicionadas para enfrentar os desafios da nova era digital.
Como uma indústria, a capacidade de medir o risco cibernético se tornará uma base fundamental para a eficiência operacional e a segurança.
(Conforme publicado na edição de abril de 2018 da Maritime Reporter & Engineering News )