Presidencia de la Nación

Recomendación para la gestión de los riesgos cibernéticos marítimos

Las tecnologías cibernéticas se han convertido en esenciales para el funcionamiento y la gestión de los numerosos sistemas cruciales para la seguridad de la navegación, la protección del transporte marítimo, y la prevención de la contaminación del medio marino. Estos sistemas han de cumplir con las normas internacionales y las prescripciones de los Estados de abanderamiento.

No obstante, la vulnerabilidad generada por el acceso, la interconexión o el establecimiento de redes entre estos sistemas pueden dar lugar a riesgos cibernéticos que deberían abordarse.

Con la entrada en vigor de la Ordenanza N° 05-18 “Normas de Gestión de la Seguridad operacional del buque y la prevención de la contaminación (NGS)”, la Prefectura estableció, conforme a la resolución MSC.428(98), que todo sistema de gestión de la seguridad aprobado debería tener en cuenta la gestión de los riesgos cibernéticos, de conformidad con los objetivos y prescripciones funcionales del Código Internacional de Gestión de la Seguridad – IGS - para salvaguardar el transporte marítimo ante las amenazas y vulnerabilidades cibernéticas actuales y emergentes, a más tardar en la primera verificación anual del Documento de Cumplimiento de la Compañía después del 1 de enero de 2021.

En estas directrices se presentan elementos funcionales que contribuyen a la gestión efectiva de los riesgos cibernéticos. Dichos elementos funcionales no son secuenciales; todos deberían ser simultáneos y continuos en la práctica y deberían incorporarse debidamente en un marco de gestión de los riesgos que incluye la identificación, protección, detección, y respuesta ante la misma.

Estos elementos funcionales abarcan las actividades y los resultados deseados de la gestión eficaz de los riesgos cibernéticos común a todos los sistemas cruciales que afectan a las operaciones marítimas y al intercambio de información, y constituyen un proceso continuo con mecanismos eficaces de retroalimentación.

La evaluación de estos riesgos cibernéticos deberá incluir, entre otras cuestiones, lo siguiente:

  • Los sistemas del puente.
  • Los sistemas de manipulación y gestión de la carga.
  • Los sistemas de propulsión y gestión de las máquinas y de control de suministro eléctrico.
  • Los sistemas de control de acceso.
  • Los sistemas de servicio a los pasajeros y de organización de los mismos.
  • Las redes públicas para los pasajeros.
  • Los sistemas administrativos y de bienestar de la tripulación.
  • Los sistemas de comunicación.

En materia de ciberseguridad, las medidas preventivas orientadas a la protección de la infraestructura informática se recogen en las disposiciones pertinentes del Código internacional de protección de los buques y las instalaciones portuarias (Código PBIP) y del Código internacional de gestión de la seguridad operacional del buque y para la prevención de la contaminación (Código IGS), las directrices emanadas de la OMI sobre la gestión de los riesgos cibernéticos marítimos (Circular MSC-FAL.1/Circ.3), como así también las recomendaciones de la industria; en tanto, las medidas de respuesta se exteriorizan desde el campo de la investigación criminal ante usos indebidos y/o ilícitos de las infraestructuras de información, las redes y los sistemas de comunicación, donde el Departamento Cibercrimen dependiente de esta Autoridad Marítima, efectiviza diligencias investigativas sobre las afectaciones a los sistemas de tecnologías de la información y operacional, vinculados a infraestructura informática crítica propia y del transporte marítimo, como asimismo las vinculadas al crimen organizado, con intervención de la justicia.

Así las cosas, se hace necesario generar un proceso de interacción permanente y constante con los operadores de buques, agentes navieros, proveedores de servicios, puertos e instalaciones portuarias, que pudieron ser víctimas de ataques cibernéticos en el marco de una investigación criminal, respecto a la detección de las vulnerabilidades de la infraestructura informática atacada, motivando las correspondientes recomendaciones en el caso concreto, independientemente de la comprobación de la participación criminal de los actores intervinientes, a fin de:

  • Preservar la evidencia sobre lo ocurrido y la documentación correspondiente en el esquema de la persecución penal pública.
  • Compartir información relacionada con incidentes al Equipo de Respuesta de Incidentes de Seguridad Informática del Ministerio de Seguridad (MINSEG-CSIRT) y otras organizaciones ligadas al transporte marítimo para difusión, en la búsqueda de mitigar el impacto de nuevas amenazas, vulnerabilidades o ataques.

Como resultado de recientes investigaciones llevadas a cabo por el Departamento Cibercrimen, se obtuvieron conclusiones que podrían ser de interés para la comunidad naviera y para la gestión de riesgo de las infraestructuras de información, vinculadas a:

  • Las infecciones se produjeron utilizando servicios de conexión remota (protocolo RDP) publicados en internet, sin las medidas mínimas de seguridad; y
  • Se han identificado direcciones IP vinculadas con los ataques informáticos, que se encuentran a disposición de la comunidad naviera (operadores marítimos y portuarios) y del SOC (Centro de Operaciones de Seguridad) que opera en el contexto Comité de Respuesta de Incidentes de Seguridad Informática del Ministerio de Seguridad (MINSEG-CSIRT).
Implementación de políticas y buenas prácticas en materia de ciberseguridad

A fin de prevenir los riesgos cibernéticos, se recomienda implementar políticas en materia de gestión de riesgos cibernéticos para proteger los activos informáticos y evitar situaciones o riesgos más comunes, como ser:

  • Abandonar el puesto de trabajo sin bloquear el equipo.
  • Anotar las contraseñas en pequeñas hojas de papel autoadhesivo (post-it) y/o esconderlo bajo el teclado o alfombrilla del ratón.
  • Utilizar contraseñas débiles.
  • Revelar credenciales e información de la compañía a través del teléfono.
  • Almacenar información de la compañía o información confidencial en USB sin cifrar, subirla a entornos cloud no autorizados, etc.

Una vez detectados los riesgos y las debilidades, si queremos garantizar un uso adecuado de los activos informáticos, debe establecerse una política de protección de los mismos, la cual, una vez implementada y firmada, tendrá que comunicarse a todas las partes interesadas de la compañía, y podrá incluir:

  • Normativa de protección de los activos informáticos, que reúna todas las medidas necesarias para su protección. Deberá ser revisada periódicamente y actualizada si hubiera cambios que lo requirieran.
  • Destrucción de documentación obsoleta, mediante mecanismos seguros, como las destructoras de papel o servicios externos contratados siempre que el nivel de confidencialidad de la misma así lo exija.
  • Bloqueos programados de sesión, de tal manera que un equipo se bloquee automáticamente tras un tiempo determinado en el que se detecte que no hay actividad.
  • Sistemas operativos actualizados, mediante las políticas de actualizaciones de software.
  • Antivirus actualizados y en estado activo.
  • Deshabilitar por defecto los puestos USB, únicamente siendo habilitados para usuarios que necesiten hacer uso de los mismos, de forma justificada y debidamente autorizada.
  • Seguridad en impresoras y equipos auxiliares, a través de mecanismos de impresión segura (con contraseña), en la impresión de documentos.
  • Uso de medios de almacenamiento seguros, tanto en red corporativa, nube o dispositivos extraíbles.
  • Prohibición de alteración de la configuración del equipo e instalación de aplicaciones no autorizadas, evitando así las posibles consecuencias ante una infección por virus o malware.
  • Política de mesas limpias, o la obligación de guardar la documentación del trabajo al ausentarse del puesto, ya sea circunstancial o por finalización de la jornada laboral.
  • No abandonar documentación sensible en impresoras o escáneres, evitando así que caiga en malas manos.
  • No revelar información a usuarios no debidamente identificados.
  • Obligación de confidencialidad, aceptando el compromiso de confidencialidad relativo a cualquier información a la que se tenga acceso el tiempo que dure la relación con la compañía.
  • Uso de contraseñas, acordes con la política de contraseñas.
  • Obligación de bloqueo de sesión y apagado del equipo.
  • Uso adecuado de Internet, a través de la normativa de uso de internet como herramienta de trabajo.
  • Uso responsable de portátiles y dispositivos móviles propiedad de la compañía.
  • Cifrado de la información confidencial.
  • Obligación de notificar incidentes de seguridad.

En este contexto, Prefectura recomienda a la comunidad de operadores navieros y portuarios, la necesidad de la notificación de un incidente informático al órgano judicial y/o policial, sin perjuicio de las tareas de contención y mitigación que puedan llevar adelante acorde a las normas de gestión de seguridad de la información implementadas, todo ello, con el fin de preservar la evidencia digital que pudiera hallarse dentro de los equipos informáticos afectados, requisito fundamental e indispensable para llevar adelante la investigación.

Dirección de Policía de Seguridad de la Navegación
División Control de Gestión
Prefectura Naval Argentina
Av. Eduardo Madero 235, 1er. piso, Oficina 1.28
(A1106ACC) Ciudad Autónoma de Buenos Aires, Argentina
Tel/Fax: 541143187680
Correo electrónico: [email protected]
argentina.gob.ar/prefecturanaval

Dirección de Inteligencia Criminal
Departamento Cibercrimen
Prefectura Naval Argentina
Av. Eduardo Madero 235, 6to. piso, Oficina 6.50
(A1106ACC) Ciudad Autónoma de Buenos Aires, Argentina
Tel/Fax: 541143187400 Interno 2640
Correo electrónico: [email protected]
argentina.gob.ar/prefecturanaval

Scroll hacia arriba