Segurança Cibernética no Porto: Novas Diretrizes do IAPH no Código ISPS

Os líderes da indústria portuária recentemente submeteram as diretrizes de segurança cibernética à Organização Marítima Internacional (IMO) para consideração. Os Estados Membros da IMO devem aproveitar esta oportunidade e alterar o Código Internacional de Segurança de Navios e Instalações Portuárias (ISPS) para promulgar padrões de segurança cibernética para portos e instalações portuárias. Especificamente, os Estados membros da IMO devem alterar o código, usando as novas diretrizes do setor como modelo, para exigir que as instalações portuárias realizem avaliações regulares de segurança cibernética e desenvolvam planos distintos de segurança cibernética.

Introdução

Líderes da indústria portuária recentemente submeteram as diretrizes de segurança cibernética à Organização Marítima Internacional (IMO) para consideração. Os Estados Membros da IMO devem aproveitar esta oportunidade e buscar alterar o Código Internacional de Segurança de Navios e Instalações Portuárias (ISPS) para promulgar padrões de segurança cibernética para portos e instalações portuárias. Especificamente, os Estados membros da IMO poderiam alterar o código, usando as novas diretrizes do setor como modelo, para exigir que as instalações portuárias realizem avaliações regulares de segurança cibernética e desenvolvam planos distintos de segurança cibernética.

As Diretrizes de Cibersegurança da IAPH para Portos e Instalações Portuárias

No início de setembro, a Associação Internacional de Portos e Portos (IAPH), uma associação comercial que representa os portos em todo o mundo, anunciou a publicação de diretrizes cibernéticas para portos e instalações portuárias. Com a ajuda do Banco Mundial, o IAPH desenvolveu essas diretrizes de segurança cibernética para mitigar, de acordo com o resumo executivo da publicação, “o maior risco para as autoridades portuárias e a comunidade portuária em geral”. Uma revisão da extensa lista de incidentes cibernéticos ocorridos no ano passado, conforme compilada pelo Centro de Estudos Estratégicos e Internacionais, reforça a visão do IAPH de que os ataques cibernéticos são uma ameaça global preeminente. Recentemente, em um discurso nas Nações Unidas, o presidente Biden reconheceu a urgência desse risco, enfatizando a importância de “fortalecer nossa infraestrutura crítica contra ataques cibernéticos” e estabelecer “regras claras … para todas as nações no que se refere ao ciberespaço”. Desnecessário dizer que as diretrizes do IAPH são um movimento bem-vindo em direção a uma aspiração de quase uma década de melhorar a resiliência da segurança cibernética no setor marítimo.

O trabalho recente da IAPH em direção à resiliência cibernética não é o único marco cibernético de 2021 no setor de transporte marítimo. Em vez disso, no início do ano, as diretrizes da IMO para gestão de risco cibernético marítimo, embora adotadas quase quatro anos antes, entraram em vigor para partes do Sistema de Transporte Marítimo (MTS). Não é por acaso que esses dois conjuntos de diretrizes surgiram no mesmo ano. Com efeito, as últimas orientações são uma consequência necessária das primeiras porque o conjunto anterior, de facto, não abrange as instalações portuárias. Os líderes dos portos não tiveram escolha a não ser preencher a lacuna, e o fizeram rapidamente.

O IAPH fez mais do que avançar e atacar o problema. Também coordenou seus esforços com a IMO. Esta coordenação substantiva é evidente em duas submissões de 2021 ao Comitê de Segurança Marítima (MSC) da IMO. No MSC 103/92 de março, o IAPH, reconhecendo a lacuna das instalações portuárias, enfatizou que “portos e instalações portuárias se beneficiariam” de uma estrutura semelhante à aplicada aos navios no início do ano. O IAPH foi motivado por riscos cibernéticos que considera “as ameaças mais significativas para os portos hoje”, citando um “aumento de quatro vezes nos ataques cibernéticos na indústria marítima” em um período de quatro meses no ano passado. Igualmente motivador foi a esperada intensificação das ameaças cibernéticas da digitalização acelerada de portos, um esforço contínuo de modernização desencadeado, inter alia, pela pandemia de coronavírus.

Impulsionado por esses riscos duradouros e crescentes, o IAPH declarou ao MSC sua intenção de desenvolver “um único conjunto abrangente de diretrizes personalizadas para Portos e Instalações Portuárias”. De modo impressionante e efetivo, apenas quatro meses depois, via MSC 104/7/1, o IAPH relatou a conclusão de seu trabalho – as Diretrizes de Segurança Cibernética IAPH para Portos e Instalações Portuárias.

O guia de 73 páginas contém diversas medidas valiosas de segurança cibernética e instrui os operadores de instalações sobre muitos tópicos fundamentais para a segurança no domínio cibernético. Isso inclui adesão da administração, treinamento de pessoal, avaliação de risco, equipe adequada, detecção de ameaças e resposta a incidentes. Embora este artigo não pretenda explorar cada disposição em profundidade, destacar alguns recursos é útil para ilustrar a utilidade das diretrizes. Por exemplo, o guia endossa expressamente as instalações portuárias que realizam treinamentos, simulações e exercícios exclusivos de segurança cibernética. Além disso, incentiva os operadores das instalações a compartilhar informações cibernéticas com reguladores governamentais e parceiros da indústria. As diretrizes também reconhecem a importância da resposta planejada a incidentes de segurança cibernética e relatórios. Finalmente, e talvez o mais importante, as novas diretrizes do IAPH favorecem as instalações portuárias que conduzem avaliações regulares de segurança cibernética e desenvolvem planos distintos de segurança cibernética.

Para incorporar tais medidas em uma estrutura governamental internacional, o IAPH solicitou à IMO que considerasse as novas diretrizes e medidas na próxima sessão do MSC, que está programada para ocorrer em outubro.

Alteração do Código Internacional de Segurança de Navios e Instalações Portuárias

Os líderes da indústria portuária recentemente submeteram as diretrizes de segurança cibernética à Organização Marítima Internacional (IMO) para consideração. Os Estados Membros da IMO devem aproveitar esta oportunidade e alterar o Código Internacional de Segurança de Navios e Instalações Portuárias (ISPS) para promulgar padrões de segurança cibernética para portos e instalações portuárias. Especificamente, os Estados membros da IMO devem alterar o código, usando as novas diretrizes do setor como modelo, para exigir que as instalações portuárias realizem avaliações regulares de segurança cibernética e desenvolvam planos distintos de segurança cibernética.

As diretrizes cibernéticas anteriores da IMO, aquelas adotadas em 2017 e colocadas em vigor em 2021, foram consideradas uma mudança no jogo. Certamente, elas foram um passo vital em direção a uma abordagem uniforme para combater as ameaças cibernéticas no setor de transporte marítimo. Notavelmente, os Estados membros da IMO confiaram no Código Internacional de Gestão da Segurança (ISM CODE) como base legal para essas diretrizes. O Código ISM é um sistema de gerenciamento de segurança adotado em 1987 para ajudar os líderes do setor de transporte marítimo a gerenciar os riscos de segurança. Independentemente de saber se um sistema de gerenciamento de segurança é o melhor instrumento para mitigar ameaças à segurança em geral, não é a ferramenta certa para promover a segurança cibernética nas instalações portuárias. Isso ocorre porque o Código ISM, fundamentalmente, se aplica apenas a navios, não a instalações portuárias.

Felizmente, existe um instrumento internacional projetado especificamente para proteger as instalações portuárias de ataques – o Código Internacional de Segurança de Navios e Instalações Portuárias (ISPS). Vinte anos atrás, neste mês, atores subversivos exploraram vulnerabilidades no sistema de transporte global e atacaram locais civis nos Estados Unidos. O Código ISPS foi desenvolvido em resposta direta a esses ataques e se tornou o “regime de segurança obrigatório abrangente” da IMO. Um dos objetivos expressos do código é avaliar e detectar “ameaças de segurança a … instalações portuárias … [e] implementar medidas de segurança preventivas contra tais ameaças.” Em última análise, se os Estados-Membros da IMO pretendem proteger de forma abrangente as instalações portuárias contra ataques de dentro do domínio cibernético, devem recorrer ao Código ISPS.

Mesmo que o Código ISPS seja a ferramenta certa para extrair da caixa de ferramentas internacional, o instrumento primeiro precisa ser calibrado. Na verdade, as disposições do código existentes, embora implícitas, de segurança cibernética são “soft law”, orientações instrutivas não vinculativas, que não podem ser cumpridas. Essa lei cibernética branda torna as instalações portuárias alvos cibernéticos frágeis. Nas últimas semanas, atores subversivos apoiados por um governo estrangeiro, de acordo com o testemunho da Diretora da Agência de Infraestrutura e Segurança Cibernética dos EUA, violaram servidores e plantaram código malicioso em uma instalação portuária em Houston, Texas. Ao discutir essa violação recente, um especialista em segurança cibernética previu que tais incidentes trariam uma estrutura “muito mais regulatória” em vez do modelo “aspiracional” atual.

O Código ISPS tem duas partes: uma Parte A obrigatória e uma Parte B recomendatória. É importante ressaltar que não há disposições de segurança cibernética, explícitas ou implícitas, na Parte A. Enquanto isso, a Parte B sugere a segurança cibernética, pois incentiva as instalações portuárias a considerarem “rádio e equipamentos de telecomunicações, incluindo sistemas e redes de computadores ”quando avaliam vulnerabilidades de segurança física. Incentivar as instalações a considerar certas ameaças é uma aspiração notável, mas não é uma regra de segurança cibernética clara e executável. Isso tudo para dizer que o Código ISPS, promulgado com o propósito específico de prevenir ataques ao MTS, é a ferramenta certa para o trabalho, mas para ser um instrumento eficaz contra ameaças no domínio cibernético, ele deve ser alterado.

Certamente, a alteração do Código ISPS levará em consideração os fatos de modo muito cuidadoso. Um ajuste que os Estados membros da IMO podem considerar é alterar a Seção 18 da Parte B para abranger treinamento, simulações e exercícios específicos para a segurança cibernética. Esses requisitos ciberespecíficos não existem atualmente. A seção 9 das diretrizes IAPH fornece exemplos úteis. Além disso, os Estados Membros podem considerar a alteração da Seção 15 da Parte A e da Parte B para exigir expressamente uma avaliação da segurança cibernética com base nos fatores do modelo do IAPH. A avaliação da segurança cibernética seria separada e um complemento da avaliação da segurança das instalações já exigida pela Seção 15 do código.

Outro ajuste ao Código ISPS, que vale a pena ser considerado, é uma mudança na Seção 16 da Parte A e na Parte B para exigir que as instalações portuárias se preparem e os governos aprovem planos distintos de segurança cibernética. O IAPH fornece um modelo como linha de base. Como a avaliação de segurança cibernética, o plano de segurança cibernética seria um documento independente, um complemento ao plano de segurança das instalações já exigido. Estes são apenas alguns exemplos de possíveis ajustes do Código ISPS que podem ser usados ​​para incorporar efetivamente o trabalho do IAPH ao direito internacional.

Em uma nota de segurança cibernética da comunidade portuária de 2020, o IAPH parece reconhecer a necessidade de alterar o código. No capítulo cinco da nota, a IAPH conclui perspicazmente “que a função do [Port Facility Security Officer] deve evoluir para abranger a segurança cibernética … em vez de se concentrar puramente em ameaças físicas.” Indiscutivelmente, como a função do Oficial de Segurança das Instalações Portuárias é controlada pelo Código ISPS, segue-se que, para evoluir essa função, os Estados Membros da IMO devem evoluir o código. Além disso, o IAPH parece reconhecer que quaisquer ajustes devem ser abrangentes. Como afirma na nota de 2020, devido à “natureza imprevisível e em constante mudança [sic] das ameaças cibernéticas … uma abordagem limitada ou parcial provavelmente não será suficiente.”

Os líderes da indústria portuária recentemente submeteram as diretrizes de segurança cibernética à Organização Marítima Internacional (IMO) para consideração. Os Estados Membros da IMO devem aproveitar esta oportunidade e alterar o Código Internacional de Segurança de Navios e Instalações Portuárias (ISPS) para promulgar padrões de segurança cibernética para portos e instalações portuárias. Especificamente, os Estados membros da IMO devem alterar o código, usando as novas diretrizes do setor como modelo, para exigir que as instalações portuárias realizem avaliações regulares de segurança cibernética e desenvolvam planos distintos de segurança cibernética.

Conclusão

O MSC da IMO se reúne na mês de outubro. O IAPH forneceu ao MSC diretrizes de segurança cibernética para instalações portuárias totalmente desenvolvidas e solicitou que o MSC as considerasse. Este convite deve ser devidamente aceito e usado como um trampolim para promulgar os padrões da IMO internacionalmente. As ameaças e vulnerabilidades cibernéticas são bem conhecidas e espera-se que se multipliquem com a digitalização contínua em todo o MTS. Este seria um momento oportuno de os Estados-Membros da IMO agirem. Quando eles se reunirem em outubro, eles devem aproveitar o ímpeto do IAPH e iniciar o processo de alteração do Código ISPS, com a mais forte consideração dada à obrigatoriedade de avaliações regulares de segurança cibernética e planos distintos de segurança cibernética.

O comandante Michael C. Petta, USCG, é o vice-presidente, o diretor de operações marítimas e um professor de direito internacional no Stockton Center for International Law do U.S. Naval War College. As opiniões apresentadas são do autor e não refletem necessariamente a política ou posição da Guarda Costeira dos EUA, do Departamento de Segurança Interna dos EUA, da Marinha dos EUA, do Naval War College ou do Departamento de Defesa dos EUA.

Fonte: cimsec.org

Posts relacionados: IAPH lança diretrizes de Segurança Cibernética para portos e instalações portuárias / Guarda Costeira dos EUA lança nova estratégia cibernética e [Artigo] Segurança Cibernética no Setor Marítimo com foco na IMO – uma nova era a partir de janeiro de 2021