Resposta a incidentes cibernéticos para a organização resiliente

(Foto do arquivo: APM Terminals)

Mesmo antes da NotPetya, órgãos reguladores, seguradoras, clubes de P & I, autoridades portuárias e outros segmentos do setor marítimo começaram a tomar medidas para minimizar a exposição do setor a ataques cibernéticos.

A indústria marítima teve um despertar. Despertamos o fato de que a digitalização moldou seus segmentos em toda a indústria, e nos beneficiamos muito da capacidade de operar em um ambiente cibernético interconectado. Da mesma forma, ser capaz de transmitir informações de diagnóstico de máquinas a bordo, tendo a capacidade de navegar em águas restritas usando dados de posição e navegação provenientes do espaço, e sendo capaz de fornecer às tripulações o luxo de streaming de vídeo da web O mar apresenta um risco significativo para a indústria em geral e para os segmentos interligados da economia em geral. O ataque NotPetya em 2017 foi um momento decisivo que forçou a indústria a avaliar sua postura de segurança cibernética. Claramente, se uma empresa global como a Maersk pode ser significativamente impactada, todas as outras companhias marítimas podem ser atacadas. Na melhor das hipóteses, um ataque resultará em uma perda financeira; na pior das hipóteses, um ataque poderia forçar uma empresa a cessar as operações indefinidamente.

Mesmo antes da NotPetya, órgãos reguladores, seguradoras, clubes de P & I, autoridades portuárias e outros segmentos do setor marítimo começaram a tomar medidas para minimizar a exposição do setor a ataques cibernéticos. A Guarda Costeira dos EUA divulgou um esboço da Circular de Inspeção de Navios e Navios 05-17, Diretrizes para Abordar Riscos Cibernéticos em instalações reguladas pela Lei de Segurança de Transporte Marítimo (MTSA), para introduzir a idéia de criar uma estrutura de risco cibernético para a indústria marítima baseada no National Instituto de Padrões e Tecnologia (NIST) Cybersecurity Framework. As associações de transporte marítimo, como a BIMCO e a ABS, lançaram suas próprias diretrizes de segurança cibernética, e inúmeras outras organizações e grupos lançaram as melhores práticas para mitigar o risco cibernético no setor marítimo. Embora a indústria em geral perceba que “algo deve ser feito”, o progresso feito para mitigar os riscos cibernéticos dentro do setor é tão variado quanto o setor é diversificado. A variedade de mitigação de riscos cibernéticos no setor baseia-se nos níveis variáveis ​​de recursos disponíveis de uma organização para outra, nos sistemas e tecnologias utilizados e nas diferenças nos modelos de governança de gerenciamento de riscos entre organizações e empresas. Além disso, diferenças sutis, mas também significativas, nos requisitos de segurança cibernética e órgãos reguladores entre a indústria naval, operadores portuários e terminais, autoridades portuárias e outras agências, empresas e organizações que compõem a “indústria marítima” adicionam uma camada adicional de complexidade podem diminuir a adoção de planos abrangentes de gerenciamento de riscos cibernéticos em toda a indústria.

Postar ações de ataque cibernético. Dada a necessidade imediata de entender o que deve ser feito para limitar os danos e proteger os sistemas de um ataque cibernético, a indústria marítima também precisa responder à pergunta: "O que devemos fazer depois de um ataque cibernético?" Para responder a essa pergunta, pergunta: “O que fazemos para nos preparar para um ataque cibernético?” Nesse caso, o setor marítimo tem o pedigree para tratar dessa questão e pode extrair os regulamentos, as melhores práticas e as experiências adquiridas em resposta a incidentes físicos, tais como como derramamentos de óleo, resposta de busca e resgate, ameaças terroristas e ações necessárias para assegurar a continuidade das operações devido a uma grande tempestade ou outras ameaças físicas.

Resposta a Incidentes Cibernéticos e Manuseio de Incidentes (IR / IH) implica planos de ação pré-determinados, exercícios de mesa e recursos de IR / IH são pré-preparados para minimizar os danos às operações marítimas e portuárias. Essas atividades visam minimizar os impactos negativos ao comércio, ao meio ambiente e à segurança da vida no mar ou na água. Além disso, não é diferente de uma grande resposta a desastres ambientais, a indústria deve estar preparada para abordar todos os aspectos de uma resposta a incidentes cibernéticos, incluindo o desenvolvimento de um plano bem pensado de envolvimento público, de partes interessadas e relações com investidores.

Planos de Ação Pré-determinados. Não é diferente de outros desastres, catástrofes ou situações de emergência, as organizações prudentes terão um plano de resposta a incidentes cibernéticos para executar planos de ação pré-determinados quando ocorrer um incidente cibernético. Infelizmente, um estudo recente do Ponemon Institute e da IBM descobriu que 77% dos entrevistados não têm um plano formal de resposta a incidentes cibernéticos aplicado de forma consistente em toda a organização. Os planos de resposta precisariam, no mínimo, incluir planos de ação respondendo a ransomware, ataques DDOS (Distributed Denial of Service), infiltração de rede e introdução de malware na rede de uma organização. Ativos móveis ou em andamento também devem incluir ações que levem em conta outros cenários, como perda do Sistema de Posicionamento Global (GPS) ou outros sistemas de Posição, Navegação e Cronometragem (PNT), impacto no sistema de controle de direção ou de máquinas e perda ou manipulação de sistemas de navegação eletrônica. Na maioria desses cenários em andamento, já existem planos de contingência para esses cenários causados ​​por outros meios, mas pode haver requisitos de resposta adicionais à natureza do ataque.

Uma vez desenvolvidos, esses planos de ação devem ser exercidos regularmente. Isso não é diferente de outros exercícios necessários. Muitas organizações incorporaram incidentes cibernéticos em exercícios de mesa ou criaram exercícios de mesa específicos para incidentes cibernéticos para ver como seus planos de ação funcionam bem.

Ataque em andamento. Ser capaz de identificar e entender que um ataque está em andamento deve ser incorporado nos programas de treinamento de uma organização. Da mesma forma, as soluções de hardware e / ou software precisarão ser configuradas ou adquiridas para ajudar os funcionários e as equipes a determinar se um ataque cibernético está ocorrendo. Dependendo do tipo de ataque, as características do ataque podem ser óbvias, mas nem sempre.

Como uma organização comunica a natureza do ataque e como ele responde externamente a um incidente cibernético é tão crítico quanto as ações técnicas e de engenharia tomadas para gerenciar um ataque internamente nos sistemas da organização. As organizações precisam desenvolver um plano de ação de comunicações e relações públicas para garantir a confiança entre clientes, investidores, parceiros, outras partes interessadas e o público de que a organização pode efetivamente responder a um incidente cibernético, minimizando a interrupção das operações e do comércio.

Análise pós-incidente . Dependendo da natureza do ataque, uma organização pode esperar que a aplicação da lei trate um incidente cibernético como um crime, tornando assim os sistemas e a rede que foram atacados em uma cena de crime. Portanto, para identificar as origens de um ataque, uma organização também deve implementar procedimentos para preservar evidências durante e após um ataque. Isso requer a implementação de um procedimento de cadeia de custódia, procedimentos de manuseio de evidências digitais, atividades físicas forenses digitais potencialmente desempenhadas e um Plano de Continuidade de Operações, que pode incluir o uso de um sistema de backup durante uma investigação.

A análise pós-incidente precisará incluir um post-mortem para determinar como evitar ataques semelhantes no futuro. Assim como a implementação de salvaguardas de segurança cibernética, a identificação e ação sobre as lições aprendidas em um ciberataque devem ser conduzidas de cima para baixo.

Reconstituição. Na maioria dos casos, as organizações têm um processo sistemático para reconstituir as operações. Esses processos precisarão ser estendidos para incluir incidentes pós-ciberataque. As organizações precisarão determinar a rapidez com que podem retornar à capacidade operacional total. A liderança organizacional deve continuar a comunicar a todas as partes interessadas quais medidas estão sendo tomadas para retornar a um status totalmente operacional.

A preparação para um ataque cibernético é um componente crítico para as organizações marítimas garantirem que os impactos ambientais, comerciais e de segurança sejam reduzidos ao mínimo. Felizmente, o setor tem planos de resposta para outros tipos de eventos catastróficos que podem ser usados ​​como modelo para preparar e responder a ataques cibernéticos.


(Conforme publicado na edição de abril de 2018 da Maritime Reporter & Engineering News )