A Organização Marítima Internacional (OMI) data de janeiro de 2021 para que proprietários e gerentes de navios incorporem o gerenciamento do risco cibernético em Sistemas de Gerenciamento de Segurança existentes é mais próxima do que muitos imaginam, especialmente dado o perfil complexo que o risco apresenta e a necessidade de um procedimento bem detalhado ajudar a proteger os ativos e negócios marítimos. A falha em tratar adequadamente os riscos cibernéticos é muito maior do que o simples fato de que uma embarcação poderia ser detida pelas Autoridades do Estado do Porto se ela não estivesse em conformidade. É bom que os riscos que um evento cibernético representa para o interesse marítimo estejam surgindo, mas é importante lembrarmos que esse é apenas um dos muitos riscos que enfrentamos. Examinando falhas passadas que lidam com riscos tradicionais, podemos entender melhor como subestimamos ou normalizamos os riscos presentes em nosso ambiente. Com o recente lançamento do Relatório Final do NTSB sobre o afundamento do El Faro , passei um tempo revisando o relatório e relembrando minhas próprias experiências. Fico triste ao ver muitas semelhanças nas condições presentes tanto para a perda de El Faro quanto para a da Marine Electric em 1983. Várias declarações e constatações do Relatório NTSB afetam inúmeras operações a bordo - não apenas o clima pesado que foi o caso com a aeronave. El Faro. As operações de bordo impactadas incluirão os procedimentos e salvaguardas do Cyber Security.
O Relatório NTSB contém as seguintes passagens relativas aos Sistemas de Gestão de Segurança da embarcação:
"Sistema de gestão da Segurança. De acordo com o código ISM, é responsabilidade da empresa - o proprietário ou qualquer outra organização que tenha assumido a responsabilidade pela operação de um navio - estabelecer um SMS para seus navios. De acordo com a seção 1.2.2 do código, o SMS deve “avaliar todos os riscos identificados para seus navios, pessoal e meio ambiente e estabelecer salvaguardas apropriadas”. Dessa forma, o código (seção 7) determina que a “empresa deve estabelecer procedimentos planos e instruções, incluindo listas de verificação, conforme apropriado, para operações chave de bordo relativas à segurança do pessoal, navio e proteção do meio ambiente. ”Além disso, o código exige que a empresa“ identifique potenciais situações de emergência a bordo e estabeleça procedimentos para responder para eles."
Além disso:
"Resumo. Basta ter um SMS não é suficiente para evitar catástrofes. É necessário ter pessoal dedicado designado para fornecer aos capitães orientações e procedimentos eficazes. Treinamento e auditoria robustos garantem que as orientações e os procedimentos sejam seguidos. As PDs devem estar ativamente envolvidas na manutenção do SMS e devem monitorar suas embarcações atribuídas durante toda a viagem. ”
O relatório NTSB também contém as seguintes recomendações:
Essas passagens e as três recomendações decorrentes do incidente de El Faro devem ser lembradas quando se planeja os próximos procedimentos SMS de segurança cibernética e os problemas que surgirão na redação, implementação e auditoria de procedimentos efetivos.
Embora o sistema de gerenciamento de segurança da embarcação seja a melhor plataforma para a qual o programa de segurança cibernética possa residir, não podemos ignorar o fato de que este é um risco não tradicional. Não podemos nos aproximar dos nossos procedimentos e processo de auditoria da mesma forma que temos a maioria dos nossos riscos operacionais dentro do SMS. O mundo acelerado da segurança cibernética e o risco que apresenta estão, de várias formas, em oposição direta ao nosso ambiente marítimo tradicional e aos riscos que enfrentamos há gerações. Você não pode ouvi-lo ou vê-lo como um risco tradicional. Mas está continuamente fazendo incursões adicionais na maneira como operamos e gerenciamos embarcações diariamente. Esse fato não vai mudar e os riscos associados ao uso dessa tecnologia não vão desaparecer. Infelizmente, essa é a abordagem de risco com a qual muitos dentro da comunidade Marítima abordam a segurança cibernética. Isso deve mudar, porque a natureza do risco cibernético é tal que poderia ter impactos catastróficos em todo o nosso setor. A natureza dos portos e rotas de navegação é tal que o destino de uma empresa afeta a sorte de todos.
Algumas das principais questões que precisamos perguntar incluem:
À medida que nos aproximamos do prazo final da IMO Cyber em 2021, é importante ter em mente o objetivo de nossos Sistemas de Gerenciamento de Segurança e garantir que nossos procedimentos de segurança cibernética sejam práticos, funcionais e eficazes. Também é importante observarmos o papel que os auditores e o apoio da margem têm na efetiva implantação dessas políticas. Como o NTSB declarou no relatório El Faro: Simplesmente ter um SMS não é suficiente para evitar catástrofes. É necessário ter pessoal dedicado designado para fornecer aos capitães orientações e procedimentos eficazes. Treinamento e auditoria robustos garantem que as orientações e os procedimentos sejam seguidos.
Até esse ponto, a necessidade de auditorias independentes de segurança cibernética para garantir que os procedimentos sejam adequados é uma saída dos nossos critérios normais de auditoria de SMS. No entanto, dada a natureza desse risco e o impacto potencial da falha na proteção adequada de uma embarcação, uma nova abordagem é justificada. Um ponto importante que nós da Allianz Global Corporate & Specialty levantamos com nossos segurados é o fato de que a segurança cibernética é uma corrida sem um acabamento. À medida que avançamos no curso da utilização da tecnologia para abordar as preocupações e os desafios do transporte marítimo, a necessidade de plataformas de segurança cibernética pró-ativas e personalizáveis continuará a crescer. O primeiro passo neste processo é identificar sua exposição atual. Embora os riscos cibernéticos continuem a evoluir e se desenvolver, não podemos perder de vista os riscos tradicionais que os navios e marinheiros enfrentam. Talvez a lição mais importante da perda do SS El Faro seja que aprendemos com nosso passado coletivo para proteger nosso futuro.
(Conforme publicado na edição de abril de 2018 da Maritime Reporter & Engineering News )