SeginfoCast #76 Fazer download aqui.
No episódio 76 do SeginfoCast, Luiz Felipe Ferreira conversa com o convidado Tulio Souza sobre Gestão de Segurança e Riscos Cibernéticos no Setor Marítimo, tendo como base documentos e diretrizes da Organização Marítima Internacional.
Como é o atual cenário da segurança cibernética no setor marítimo?
Tulio comenta que há muitos desafios a serem vencidos. Dentre as observações e pontos importantes, podem ser citados que o avanço e a dependência da tecnologia coloca em evidência os riscos cibernéticos enfrentados pelas empresas no geral. No Setor Marítimo não poderia ser diferente, tornando-se imprescindível se atentar aos mesmos, uma vez que existem diversos atores envolvidos e uma gama de sistemas de alta complexidade tecnológica e com enorme potencial de impacto em caso de falha.
Corroborando com o tema Segurança Cibernética, a Organização Marítima Internacional (IMO), órgão internacional vinculado às Nações Unidas, que trata da segurança do transporte marítimo internacional e outros temas relacionados, do qual o Brasil é signatário, vem estudando o assunto a alguns anos e impôs a data de 01 de janeiro de 2021 como um marco do início de uma nova era para a Segurança Cibernética do Setor Marítimo, obrigando empresas e navios para que tenham um processo de Gestão de Riscos Cibernéticos inseridos em seus já existentes Sistemas de Gestão de Segurança (baseados no ISM-CODE), a partir da primeira verificação do Documento de Conformidade a ser realizada em 2021.
Há casos de ataques cibernéticos no setor marítimo?
Mesmo não tendo tanta divulgação em grandes mídias, Tulio cita casos de ataques cibernéticos que impactaram diversas empresas do setor marítimo, trazendo prejuízos financeiros e danos de imagem. Como por exemplo: em 2017, um incidente de segurança relacionado ao ransomware NotPetya, que executou um dos maiores ataques cibernéticos da história, impactando também a dinamarquesa MAERSK, maior operadora de navios de contêineres e navios de abastecimento do mundo; em 2018 um ataque cibernético que afetou a empresa Chinesa COSCO Shipping; em 2020, a gigante Francesa de contêineres, CMA CGM SA, foi alvo de um ataque com o ransomware Ragnar Locker; e a própria Organização Marítima Internacional (IMO), que também foi vítima de um ataque cibernético sofisticado, que inativou por alguns dias os serviços de Internet da organização.
Atestando a relevância do tema, a IMO expediu em 2017 dois documentos que marcaram uma mudança de postura, incentivando e recomendando atuação direta para melhoria da Segurança Cibernética Marítima. São eles:
• A Resolução MSC.428(98) em junho de 2017, que reconheceu a necessidade urgente de aumentar a conscientização sobre ameaças e vulnerabilidades de risco cibernético para oferecer suporte ao transporte seguro; e
• As Diretrizes sobre Gerenciamento do Risco Cibernético Marítimo, MSC-FAL.1/Circ.3 (Guidelines on Maritime Cyber Risk Management), fornecem recomendações de alto nível sobre o Gerenciamento de Risco Cibernético Marítimo para proteger o transporte marítimo de ameaças e vulnerabilidades cibernéticas atuais e emergentes.
O entrevistado também comenta sobre as principais características desses documentos da IMO para Gestão de Riscos Cibernéticos, cujo objetivo é apoiar o transporte seguro e garantir sua proteção. Abordou que o gerenciamento eficaz de riscos cibernéticos deve começar no mais alto nível da administração e que deve ser incorporada uma cultura de conscientização do risco cibernético em todos os níveis de uma organização. Sendo o treinamento de fundamental importância para a garantia e manutenção das condições mínimas de segurança.
Apresenta que o documento da Circ.3 (Guidelines on Maritime Cyber Risk Management da IMO) cita ser relevante tratar os riscos dos ambientes de Tecnologia da Informação (TI) e da Tecnologia Operacional (TO); e que recomenda a utilização de padrões, melhores práticas internacionais e guias da indústria marítima, como a ISO27001, NIST Cybersecurity Framework ou The Guidelines on Cyber Security Onboard Ships, ficando ao critério de cada interessado aplicar a solução que melhor lhe atender.
Quais os impactos podem ocorrer para aqueles que não estiverem em conformidade?
Nosso entrevistado cita os riscos como danos de imagem, paralisação das operações e prejuízos financeiros como possíveis consequências para as empresas que não estiverem em conformidade.
Ressalta que o principal risco a ser observado é quanto à própria segurança e proteção dos navios, sistemas, meio ambiente e a salvaguarda da vida no mar, mas também há de se considerar as penalidades que a empresa pode sofrer por não estar em conformidade.
Cita que já existe, atualmente, fora do Brasil, até a previsão para que navios sejam barrados em portos caso não estejam em conformidade com essas normas de segurança cibernética da IMO e outras normas locais, como é o caso da regulamentação da Guarda Costeira dos Estados Unidos da América.
Assim, podemos concluir que os impactos que podem ocorrer são enormes e deve ser dada a devida importância para acelerar o trabalho para salvaguardar o transporte marítimo das ameaças e vulnerabilidades cibernéticas atuais e emergentes, tendo em vista o prazo já citado de 01 de janeiro de 2021 como marco fornecido pela própria IMO.
Como as empresas do setor marítimo podem se adequar aos guias da IMO?
Na conversa observamos que manter a segurança cibernética eficaz não é apenas um problema de TI, mas sim um aspecto operacional fundamental imperativo no ambiente marítimo do século XXI. Sob o aspecto de compliance, já estamos num período pelo qual se tornou obrigatória a gestão de riscos cibernéticos marítimos nas embarcações regulamentadas pela IMO. Logo, há a necessidade de se preparar e estabelecer os devidos controles de segurança.
Cita que a empresa pode definir seus objetivos de segurança conforme as normas existentes e suas necessidades, executar uma análise de riscos completa (incluindo aspectos de TI e TO) para conhecer o problema e selecionar o plano a seguir de acordo com as prioridades e recursos. O framework do NIST, bem como os demais padrões referenciados pela IMO, são excelentes parâmetros para executar esta tarefa.
Ressaltou que cada empresa e navio possuem suas peculiaridades. E, ao executar uma boa análise de gap, poderá identificar os problemas e implementar os controles necessários. É um fator facilitador ,altamente recomendável, poder contar com equipes especializadas e centros de controle que possuem acompanhamento 24h. O processo é longo e deve ser iniciado o quanto antes, para que a maturidade de segurança esteja sempre se aprimorando, uma vez que as ameaças estão em constante evolução, além de buscar a conformidade com as normas em vigor.
Para saber mais sobre o assunto:
Segundo o entrevistado, há diversos artigos disponíveis sobre o tema, onde o leitor poderá ter um contato inicial e poder seguir adiante e se aprofundar no tema. Podemos citar aqui os existentes no próprio Portal SEGINFO, além de um recente Webinar lançado pela Clavis, que possui soluções consagradas de segurança cibernética, como análise de gap e ferramentas – Octopus e o BART, incluindo o emprego do SOC, disponível 24 horas por dia, que já atendem grandes players do mercado marítimo e off-shore.
Sites e Artigos citados:
• https://seginfo.com.br/2021/03/25/artigo-risco-cibernetico-maritimo/
• https://seginfo.com.br/2020/12/14/evento-discutira-seguranca-cibernetica-no-setor-maritimo/
• https://seginfo.com.br/2020/10/08/caso-maersk-saiba-como-o-notpetya-foi-responsavel-por-um-dos-maiores-ataques-ciberneticos-da-historia/
• https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx
Uma outra dica é a leitura de livros especializados e que abordam o assunto direta ou indiretamente. Por exemplo, os livros que estão sendo traduzidos pela CLAVIS: Fifth Domain e o Sandworm – new era of cyberwar and the hunt of Kremlin’s most dangerous hackers, que devem ser lançados ainda este ano no idioma português para colaborar com a nossa comunidade de segurança da Informação.
Sobre o entrevistado:
Tulio Souza está atuando como Consultor do Grupo Clavis -Segurança da Informação, Head of Maritime Cyber Security e pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012).
Sobre o entrevistador:
Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN dos cursos EXIN Information Security Foundation, EXIN Privacy & Data Protection Foundation e EXIN Privacy & Data Protection Practitioner na Academia Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.