[Artigo] Risco Cibernético Marítimo: As diretrizes sobre Segurança Cibernética a bordo de navios, versão 4

"The Guidelines on Cyber Security Onboard Ships, Version 4" – por: Bruno Salgado, Davidson BoccardoRafael Soares, Tulio Souza e Victor Santos.

Em 23 de Dezembro de 2020 foi publicada a quarta edição do “The Guidelines on Cyber Security Onboard Ships”. Este documento, elaborado por um grupo de empresas e partes interessadas da indústria marítima[1], tem como objetivo melhorar a segurança e proteção dos marítimos, do meio ambiente, da carga e dos navios, e contêm atualizações gerais das melhores práticas no campo da gestão de risco cibernético marítimo a bordo de navios. Agora encontra-se disponível para auxiliar no desenvolvimento de uma estratégia de gerenciamento de risco cibernético marítimo adequada de acordo com os regulamentos relevantes definidos pela International Maritime Organization (IMO).

Histórico e contexto atual

A primeira versão destas Diretrizes da Indústria Marítima sobre Segurança Cibernética a bordo de navios foi publicada em 2016; a 2ª.versão em julho de 2017; a 3ª.versão em dezembro de 2018; e, a 4ª.versão em dezembro de 2020.
Observa-se, que esta última versão foi publicada em momento muito oportuno, uma vez que os armadores e proprietários de navios enfrentam a necessidade de implementar o gerenciamento de risco cibernético em seus Sistemas de Gestão de Segurança (SMS) a partir de sua primeira auditoria do Documento de Conformidade após 1º de janeiro de 2021, por imposição da própria IMO (Resolução MSC.428(98)).

Com a plena e crescente evolução tecnológica do setor marítimo, os navios cada vez mais utilizam sistemas que dependem de digitalização, integração e automação, envolvendo tanto a Tecnologia da Informação (TI) quanto a Tecnologia Operacional (TO). Novas tecnologias como robôs ou drones remotamente pilotados, acessos remotos (satélite ou demais links), Internet das Coisas (IoT), projetos como o e-Navigation, dentre outros, estão sendo conectados em rede – e com mais frequência conectadas à Internet. Desta forma, novas ameaças, vulnerabilidades e, consequentemente, novos riscos, como os de acesso não autorizado ou ataques maliciosos aos sistemas dos navios e redes são pontos que exigirão um bom e eficaz gerenciamento de risco cibernético.

Características e informações relevantes do Guideline

As Diretrizes contidas no documento citado por este artigo, além de ser uma referência externa recomendada pela IMO em seu Guidelines on Maritime Cyber Risk Management, tem como característica principal, a inclusão de tópicos com orientações aprimoradas sobre um modelo de gestão de risco cibernético aprimorado para o setor marítimo, que leva em consideração a ameaça como produto de sua capacidade, oportunidade e intenção; e, explica a probabilidade de um incidente cibernético como produto da vulnerabilidade e da ameaça, alertando às companhias de navegação para que não baixem a guarda.

A cultura de segurança da informação deve envolver todos os níveis da empresa, desde a alta direção. Todos, de certa forma, são responsáveis por ajudar neste processo. Treinamentos específicos devem fazer parte da implementação das medidas para mitigar os riscos envolvidos. O elemento humano é considerado peça fundamental na estrutura de segurança e deve estar consciente dos riscos cibernéticos marítimos relacionados ao seu trabalho.

Finalmente, esta publicação oferece conselhos sobre como responder e se recuperar de incidentes cibernéticos. Contudo, as abordagens para a gestão de risco cibernético deverão ser específicas de cada empresa e navio, utilizando com base, as orientações fornecidas neste Guideline, bem como pelos requisitos dos regulamentos e diretrizes nacionais, internacionais e de seu estado de bandeira.

Aos fabricantes e partes da cadeia logística industrial

Outro ponto relevante destas Diretrizes é que os dados contidos na “Recomendação sobre Resiliência Cibernética (No. 166)” da International Association for Classification Societies (IACS) foram incorporados no documento, os quais se aplicam ao uso de sistemas baseados em computador, que fornecem funções de controle, alarme, monitoramento, segurança ou comunicação interna que estão sujeitas aos requisitos de uma sociedade classificadora. Apesar da recomendação IACS aplicar-se apenas a navios recém-construídos, poderá servir de orientação para os navios existentes.

Considerações Finais

A atualização destas Diretrizes podem trazer luz a pontos ainda desconhecidos para muitos profissionais do setor marítimo e off-shore.
A segurança cibernética deixou de ser um problema somente de um departamento de TI e passa a dominar um amplo espectro de ameaças e vulnerabilidades a, praticamente, todos os atores do setor marítimo, cada vez mais digitalizado, integrado e autônomo, além de estar em rápida e exponencial evolução nestes últimos anos.
Entretanto, vale ressaltar que ainda existem problemas básicos, que podem ser sanados com poucos recursos e empenho de cada empresa, como evitar problemas de: uso de senhas fracas e descuidos ao acessar os sistemas, controles fracos de acesso, autenticação e autorização, sistemas desatualizados, troca de tripulantes sem o devido treinamento e conhecimento dos problemas de riscos cibernéticos, dentre outros.


Os prejuízos financeiros e às imagens já podem ser identificados a cada caso de ataque cibernético, como os casos recentes da MAERSK, COSCO, CMA CGM e da própria IMO. Contudo, uma boa estratégia de gestão dos riscos cibernéticos marítimos poderá fazer com que a empresa ganhe maior solidez e confiança de seus clientes, além de estar em conformidade com as normas e imposições das autoridades e instituições que regulam o setor, agregando valor a sua marca e serviços prestados. A segurança cibernética vai muito além de somente estar em conformidade, pois ela protege e minimiza riscos ao seu negócio.

Para saber um pouco mais sobre este assunto, conhecer soluções que já estão disponíveis no mercado brasileiro, você pode ler a matéria publicada neste blog em 15 de março de 2021 e assistir ao Webinar sobre o Primeiro Painel sobre Segurança Cibernética no Setor Marítimo, clicando aqui.

[1] BIMCO, Chamber of Shipping of America, Digital Containership Association, INTERCARGO, Interferry, ICS, InterManager, INTERTANKO, IMCA, IUMI, OCIMF, Superyacht Builders Association e WSC.

[1]A saber: a IMO vem se posicionando nos últimos anos quanto à preocupação dos riscos cibernéticos marítimos, tendo publicado em 2017 um Guideline(a) e uma Resolução (b), chamando a atenção de empresas e países para o tema, obrigando para que a gestão do risco cibernético venha a fazer parte do Sistema de Gestão de Segurança já existente.

a) MSC-FAL1/Circ.3 – Guidelines on maritime cyber risk management. Acessado em 27/02/2020. Encontrado em https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat).pdf  
b) Resolução MSC.428 (98) – Maritime Cyber Risk Management in Safety Management Systems. Acessado em 27/02/2020. Encontrado em: https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/Resolution%20MSC.428(98).pdf