[Artigo] Segurança Cibernética no Setor Marítimo com foco na IMO – uma nova era a partir de janeiro de 2021

Autores: Bruno Salgado, Davidson BoccardoRafael Soares, Tulio Souza e Victor Santos.

O objetivo deste artigo é divulgar as mais recentes informações sobre a Segurança Cibernética no Setor Marítimo com base nas orientações sobre gestão de riscos cibernéticos da Organização Marítima Internacional (IMO). Além disso, apresenta o Webinar, ocorrido em dezembro de 2020 – Primeiro Painel sobre Segurança Cibernética para o Setor Marítimo – onde o leitor poderá ter acesso às palestras e aos debates sobre os desafios e oportunidades desta área, conhecer soluções que estão sendo empregadas atualmente para apoio às empresas e navios objetivando a conformidade com a própria IMO, seja quanto ao prazo (a partir de 01 de janeiro de 2021) e recomendações para que a Gestão de Riscos Cibernéticos esteja alinhada com os processos do Sistema de Gestão de Segurança existentes nas empresas e embarcações.

1) Segurança Cibernética no Setor Marítimo – Contextualização

Evidentemente o século XXI é marcado pelo avanço tecnológico, deste modo, os processos organizacionais passam a depender ainda mais dos meios digitais. Essa crescente migração dos negócios para as redes, coloca em evidência os riscos cibernéticos enfrentados pelas empresas no geral. No setor marítimo, pouco se falava sobre tais exposições à ataques, mas é imprescindível se atentar aos mesmos, uma vez que o setor é repleto de sistemas de alta complexidade tecnológica e com enorme potencial de impacto em caso de falha.

Os últimos anos têm sido desafiadores para a indústria marítima e partes interessadas, seja pelo fato de estarmos vivenciando uma aceleração nos processos de digitalização e integração de sistemas jamais vistos no setor (evolução da indústria 4.0 e afins), seja pela imposição do cenário da pandemia global de 2020, ou seja, pelos crescentes ataques afetando as operações e causando danos reais a grandes players do mercado. Estima-se que, somente no ano de 2018, ataques cibernéticos causaram US$ 600 bilhões em perdas.

Atentando para este cenário, a IMO vem estudando o tema e impôs a data de 01 de janeiro de 2021 como um marco do início de uma nova era para a Segurança Cibernética do Setor Marítimo, obrigando empresas e navios para que tenham um processo de Gestão de Riscos Cibernéticos inseridos no Sistema de Gestão de Segurança (ISM) a partir da primeira verificação do Documento de Conformidade a ser realizada em 2021.

2) WEBINAR – Primeiro Painel sobre Segurança Cibernética no Setor Marítimo (I CiberMar)

Com o intuito de trazer à discussão os desafios e ações necessárias para o tratamento de riscos cibernéticos no Setor Marítimo, a CLAVIS Segurança da Informação apresentou um Webinar, coordenado pelo Prof. Doutor Raphael Machado – Primeiro Painel sobre Segurança Cibernética no Setor Marítimo (I CiberMar) – com palestras curtas, proferidas por especialistas da Academia e do Setor Produtivo Privado, seguidas de espaço para discussões.

O I CiberMar teve também como uma de suas motivações a divulgação de uma oportunidade de bolsa de doutorado para desenvolvimento de tese no tema de Segurança Cibernética no Setor Marítimo, numa parceria UFF/CNPq/Clavis.

Nele você terá acesso completo às três apresentações realizadas:

Segurança Cibernética no Setor Marítimo: desafios e oportunidadesRaphael Machado.

O Domínio Cibernético e as Ameaças Digitais no Ambiente NavalAlan de Sá.

Soluções Tecnológicas para a Segurança Cibernética do Setor MarítimoVictor Santos e Tulio Alvarez.

Dentre os aspectos discutidos foram citados fatos recentes que comprovam que o mundo marítimo tem sido sujeito a ataques cibernéticos, cujos impactos afetaram algumas das maiores transportadoras, bem como portos e outras organizações. Abaixo encontram-se os principais pontos apresentados neste WEBINAR:

O evento ocorrido em 2017, relacionado ao ransomware NotPetya, que executou um dos maiores ataques cibernéticos da história, impactando também a dinamarquesa MAERSK, maior operadora de navios de contêineres e navios de abastecimento do mundo, com uma força de trabalho de mais de 90.000 colaboradores e paralisando totalmente seus serviços pelo mundo.

O leitor poderá encontrar detalhes sobre este ataque à MAERSK, no qual o impacto negativo foi gigantesco, e diversos outros eventos relacionados a ataques cibernéticos dos últimos anos no livro Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most, de Andy Greenberg, escritor sênior do WIRED. Nesse livro, o autor revela uma constante busca para identificar e rastrear os invasores, um grupo de atacantes chamado de Sandworm, supostamente ligados à Rússia, cuja leitura demonstra a capacidade, complexidade e impactos de ameaças cibernéticas como o NotPetya e outros, num trabalho que torna este livro uma leitura obrigatória para os profissionais de segurança da informação, militares, administradores de setores da infraestrutura crítica e demais interessados.

A empresa Clavis Segurança da Informação vem trabalhado em parceria com a Editora Alta Books para o lançamento da tradução do livro para português do Brasil, adaptando a história contada por Andy para nossa língua oficial, deste modo impulsionando o conhecimento aprofundado sobre os marcos aqui discutidos que circulam mundo afora.

Em 2018 outra empresa do setor, a Chinesa COSCO Shipping foi vítima de um ataque cibernético, afetando serviços como e-mail e telefonia em parte de suas operações relacionadas no continente americano.

Em 2020, a gigante Francesa de contêineres, CMA CGM SA, foi alvo de um ataque com o ransomware Ragnar Locker, atingiu os escritórios da empresa na China e paralisou toda a utilização de equipamentos tecnológicos da empresa em todo o mundo.

Apenas três dias após o ataque ao CMA CGM SA, a International Maritime Organization (IMO), vinculada à Organização das Nações Unidas (ONU), anunciou que também foi vítima de um ataque cibernético sofisticado, que inativou por alguns dias os serviços de Internet da organização.

Atestando a relevância do tema a IMO expediu, em 2017, dois documentos que marcaram uma mudança de postura, incentivando e recomendando atuação direta para melhoria da Segurança Cibernética Marítima. São eles:

A Resolução MSC.428(98) em junho de 2017, que reconheceu  a necessidade urgente de aumentar a conscientização sobre ameaças e vulnerabilidades de risco cibernético para oferecer suporte ao transporte seguro; reconheceu também, que Administrações, Sociedades Classificadoras, armadores e navios operadores, agentes de navios, fabricantes de equipamentos, prestadores de serviços, portos e instalações portuárias, e todas as outras partes interessadas da indústria marítima devem acelerar o trabalho para salvaguardar o transporte marítimo remessa de ameaças e vulnerabilidades cibernéticas atuais e emergentes; e, dentre outros aspectos, incentivar as administrações a garantir que os riscos cibernéticos sejam devidamente tratados nos Sistemas de Gestão de Segurança existentes (conforme definido no Código ISM), o mais tardar na primeira verificação anual do Documento de Conformidade da empresa após 1 de janeiro de 2021; e

As Diretrizes sobre Gerenciamento do Risco Cibernético Marítimo, MSC-FAL.1/Circ.3 (Guidelines on Maritime Cyber Risk Management), fornecem recomendações de alto nível sobre o Gerenciamento de Risco Cibernético Marítimo para proteger o transporte marítimo de ameaças e vulnerabilidades cibernéticas atuais e emergentes e incluem elementos funcionais que apoiam o gerenciamento de risco cibernético eficaz. As recomendações podem ser incorporadas aos processos de gestão de risco existentes e são complementares às práticas de gestão de segurança e proteção já estabelecidas pela IMO.

Nas diretrizes publicadas pela IMO, as principais recomendações incluem:

O gerenciamento eficaz de riscos cibernéticos deve começar no nível de gerenciamento sênior e deve incorporar uma cultura de conscientização sobre riscos cibernéticos em todos os níveis da organização.

Uma abordagem baseada em risco deve ser adotada com uma avaliação abrangente para comparar as posturas de gerenciamento de risco cibernético atuais e desejadas de uma organização. Considerando que não há organizações similares, essa comparação pode revelar lacunas que podem ser abordadas para atingir os objetivos de gerenciamento de risco por meio de um plano de gerenciamento de risco cibernético priorizado.

A distinção entre sistemas de Tecnologia da Informação (TI) e Sistemas de Tecnologia Operacional (TO) deve ser considerada. A proteção de informações e troca de dados dentro desses sistemas também devem ser analisadas.

Os 5 domínios do NIST Cybersecurity Framework devem ser considerados como parte da resposta à análise de gerenciamento de risco (Identificar, Proteger, Detectar, Responder e Recuperar).

Um plano para divulgar e melhorar a conscientização sobre os riscos cibernéticos em toda a organização deve ser implementado.

Ao mesmo tempo em que a principal recomendação do setor marítimo para o gerenciamento de riscos cibernéticos – o “Guidelines on Maritime Cyber Risk Management” da IMO – é bastante clara quanto aos objetivos desejados para o gerenciamento de riscos cibernéticos no setor, ela não determina uma metodologia específica a respeito de como implementar tal atividade. Entretanto, cita que podem ser utilizados padrões, melhores práticas internacionais e guias da indústria marítima, como a ISO27001, NIST Cybersecurity Framework ou The Guidelines on Cyber Security Onboard Ships apoiado e produzido por BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF and IUMI; ficando ao critério de cada interessado aplicar a solução que melhor lhe atender.

A Clavis Segurança da Informação, homologada como Empresa Estratégica de Defesa, apresentou sua solução de Segurança Gerenciada para o setor marítimo e Off-Shore, alinhada aos requisitos da IMO, cujos serviços são personalizados de acordo com a demanda do solicitante, englobando tarefas desde a realização de diagnósticos de segurança e a gestão de ativos de Tecnologia até o monitoramento de ameaças e a resposta a incidentes.

Esta solução otimizada para o setor, chamada de OCTOSEA, funciona com monitoramento 24h e atende inúmeros parceiros do mercado marítimo, incluindo 3 empresas listadas na Bolsa de Valores do Brasil, e envolve implementação e operação de um SOC/MSS, e o emprego das ferramentas OCTOPUS/SIEM e BART.

Para ter uma ideia do funcionamento desta solução, são realizados alguns passos, como por exemplo: uma correlação entre as informações de monitoramento de ativos, das recomendações oriundas das Diretrizes da IMO – MSC-FAL.1/Circ.3 (Guidelines on Maritime Cyber Risk Management), e de uma série de normas, políticas e guias de boas práticas (como: ISO 27001, NIST, CIS), sendo possível caracterizar o conjunto de vulnerabilidades associadas a estes ativos e os riscos que representam para a organização. Os relatórios e alertas gerados pelos Sistemas e Ferramentas, permitem ao cliente ter uma visão abrangente a respeito dos riscos existentes e assim elaborar ações consistentes para tratamento das vulnerabilidades, priorizando aquelas que representem riscos mais relevantes para as atividades críticas da organização.

Ressalta-se que ela vem em momento oportuno para apoiar as empresas e partes interessadas do Setor Marítimo e Off-Shore, que necessitam se preparar para estar em Conformidade com os padrões da IMO, possibilitando o alinhamento da Gestão de Riscos Cibernéticos Marítimo ao Sistema de Gestão de Segurança (ISM) já existente.

Posts relacionados:

[Artigo] Gerenciamento e Correlação de Eventos de Segurança, conheça o Octopus SIEM

Caso Maersk: Saiba como o NotPetya foi responsável por um dos maiores ataques cibernéticos da história

Evento discutirá Segurança Cibernética no Setor Marítimo

Fontes:

1) Página da IMO sobre Maritime Cyber Risk: https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx acessado em 20/12/2020.

2) MSC-FAL.1 Circ.3 Guidelines on Maritime Cyber Risk Management https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat).pdf

3) Resolução da IMO – MSC 428(98): https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/Resolution%20MSC.428(98).pdf

4) ISO 27001:

https://www.iso.org/isoiec-27001-information-security.html

5) NIST CYBERSECURITY FRAMEWORK: 

https://www.nist.gov/cyberframework

6) Guidelines on CyberSecurity Onboard Ships v4: 

https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/ANNEX%20Guidelines%20on%20Cyber%20Security%20Onboard%20Ships%20v.4.pdf

7) Livro Sandworm: A new era of cyberwar and the hunt for the Kremlin’s Dangerous Hackers:

https://www.amazon.com.br/Sandworm-Cyberwar-Kremlins-Dangerous-Hackers-ebook/dp/B07GD4MFW2/ref=sr_1_1?__mk_pt_BR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=sandworm&qid=1614717263&s=books&sr=1-1