Como o transporte marítimo está enfrentando as ameaças à Segurança Cibernética

Há muito tempo com foco na mitigação de riscos físicos, como a pirataria, o setor de transporte marítimo está atualmente às voltas com um novo desafio: como responder a um aumento dramático nas ameaças e riscos à segurança cibernética.

De fevereiro a junho de 2020, a empresa de consultoria em segurança cibernética Naval Dome documentou um crescimento de 400% nas tentativas de invasões contra alvos marítimos. Impulsionado pelo aumento do número de caminhos de acesso remoto a bordo de navios e pela convergência de novos alvos de tecnologia da informação (TI) em ambientes tradicionalmente de tecnologia operacional (TO ) – bem como o valor percebido em atingir uma indústria que transporta quase 90% do comércio mundial – esses ataques representam uma nova ameaça séria à espinha dorsal do comércio global.

“Essa convergência está cada vez mais difundida por causa da natureza das tendências de digitalização, como o uso de sensores integrados e rastreamento de dados de sistemas operacionais para fins de manutenção preditiva, que abrem mais superfícies de ataque no lado de TI, que podem entrar nos ambientes de TO”, disse Don Ward, vice-presidente sênior de Serviços Globais da Mission Secure, um provedor global de soluções de proteção cibernética TO. “Freqüentemente, vemos que os clientes pensam que têm certas partes de seu sistema em ilhas, isolados de outros sistemas – inevitavelmente, em cada avaliação mais detalhada encontramos uma porta dos fundos (backdoor) para esses ambientes.”

É um ato de equilíbrio que todas as indústrias em maturação digital enfrentam: obter ganhos de eficiência com a integração da tecnologia mais recente de hoje e, ao mesmo tempo, buscar limitar as vulnerabilidades potenciais de fazê-lo. O setor marítimo ainda está alcançando suas contrapartes aeroespaciais e automotivas na implementação das melhores práticas de segurança cibernética modernas, mas agentes mal-intencionados não ficarão esperando que ele chegue lá.

“A indústria marítima em geral é um alvo fácil, já que está um pouco atrás da curva em termos de preparação, proteção e detecção”, disse Keith Chappell, diretor técnico da Cyber ​​Prism, que fornece serviços de segurança cibernética para proteger sistemas para empresas, governo e Infraestrutura nacional crítica.

Isso não impediu que os operadores adotassem uma tecnologia que reduza o tempo de envio e fornecesse dados mais precisos sobre a condição de um navio. Mas fazer isso sem integração segura, proteção e estratégias de resposta rápida pode aumentar o perigo de ataques cibernéticos.

“A proteção da cibersegurança terá obviamente um custo, mas também a vejo como um facilitador para esses recursos de digitalização – ou você desconecta totalmente sua embarcação ou implementa barreiras e consegue ver os benefícios da digitalização”, disse Jarle Coll Blomhoff, líder do grupo,Cyber ​​Safety and Security, para a DNV, uma sociedade classificadora e de registro internacional credenciada que fornece soluções de gerenciamento de risco para a indústria marítima.

Aumento da conectividade gera desafios

“Uma década atrás, um navio de navegação moderno pode não ter nenhum computador digno de nota. Agora você tem todos os tipos de sistemas digitais – GPS, sistemas de identificação automática (AIS) e exibição de gráficos eletrônicos e sistemas de informação (ECDIS) – que às vezes se conectam a sistemas de back-end em nuvem para processamento ou análise de dados ”, disse Nate McFeters, Transporte Diretor de práticas de garantia do NCC Group, uma empresa de segurança global que avalia e gerencia ameaças cibernéticas para clientes industriais e governamentais.

Ameaças à TI são comuns há décadas em todos os setores e são enfrentadas com proteções robustas e atualizadas com frequência, que permitem uma conexão segura com a Internet. A tecnologia operacional que gerencia funções físicas, como propulsão e controle de potência, é um assunto totalmente diferente.

Construído para fins industriais e de missão crítica específicos por fornecedores terceirizados, que se apegam firmemente aos seus protocolos proprietários e muitas vezes insistem em fazer as próprias alterações de softwares – tudo isso apresenta novos riscos. Por exemplo: “significa que você tem técnicos terceirizados cutucando seu firewall e deixando-o vulnerável a qualquer laptop ou dispositivo que eles conectam para atuar em seus programas. Sabe-se lá se estes dispositivos que já até poderiam ter sido invadidos ”, diz Ward – esses sistemas representam um alvo mais facilmente penetrável se puderem ser acessados ​​externamente.

“Em redes OT (Operational Technology), você encontrará muitos sistemas operacionais baseados em Windows e Linux desatualizados que estão sendo executados em versões mais antigas porque o software do sistema de controle está vinculado a isso”, disse Ward. “O processo de atualização no mundo TO é raro, uma vez a cada três a cinco anos, se não mais.”

Isso representa uma diferença marcante do software de TI, que é atualizado por motivos de segurança mensalmente, semanalmente e ocasionalmente em uma base ad hoc. Embora TO seja “muito robusto em termos de fatores ambientais”, diz Chappell, observando que o equipamento de bordo é projetado para funcionar por meio de choques físicos como umidade, grandes vibrações ou interferência de equipamentos de alta tensão, é muito menos equipado para lidar com o tráfego de rede não está esperando.

“Há uma crença equivocada de que os sistemas TO são completamente isolados da internet”, disse Chappell. “Isso ainda é verdade no setor marítimo para algumas organizações e alguns navios, mas está se tornando menos verdade o tempo todo. Conforme as demandas por informações de negócios aumentam, mais e mais sistemas estão se conectando às redes de TI e se integrando aos sistemas de comunicação.”

A combinação de sistemas de TI e TO utilizados pelos navios de navegação de hoje expandiu as superfícies de ataque disponíveis para as partes motivadas, sejam criminosos independentes ou atores patrocinados por algum estado. Mais dados estão sendo transmitidos de e para os navios, os membros da tripulação têm novas maneiras de criar caminhos de acesso por meio de dispositivos pessoais e a tecnologia de conectividade do século 21 é frequentemente adicionada aos poucos aos navios construídos no século 20.

McFeters contrasta a indústria marítima com a automotiva, que ele diz ter amadurecido rapidamente na última década em sua compreensão das vulnerabilidades de segurança causadas pela adição de caminhos de acesso remoto, como sistemas de infoentretenimento e compatibilidade Bluetooth.

“Estamos vendo o mesmo aumento nos caminhos de ataque para TO em navios – a diferença é que o marítimo não está tão longe quanto outras indústrias em termos de compreensão desse risco e de projetar suas embarcações com isso em mente”, disse McFeters.

Problemas no Horizonte

O risco de ataques cibernéticos a alvos de TI está bem documentado, incluindo vários casos de destaque no setor marítimo.

Talvez o incidente mais famoso tenha sido o ataque NotPetya de junho de 2017 a alvos ucranianos que se espalharam além das fronteiras do país para atingir empresas internacionais, incluindo a gigante de navegação dinamarquesa Maersk, dizimando os dados da empresa e custando-lhe mais de US$ 300 milhões. Um ataque de 2018 à China Ocean Shipping Company (COSCO) usando o ransomwareSamSam, no qual as redes isoladas da empresa permitiram que ela retornasse rapidamente às operações normais, tornou-se um estudo de caso obrigatório para a importância da segregação de rede e o desenvolvimento proativo de planos de resposta.

Mas o que acontece quando um sistema TO é afetado?

“Estivemos a bordo de navios nos quais o acesso ao ECDIS é perdido após ser atingido por um ataque de malware. O pior exemplo é a queda do sistema de automação do navio a bordo e eles tiveram que reverter para as operações manuais ”, disse Blomhoff, acrescentando que os backups manuais integrados às operações marítimas e a habilidade de marinheiros experientes reduzem o perigo nessas situações. “E isso é sempre uma faceta, não apenas devido à segurança cibernética – também pode ser de um curto-circuito ou bug causando falha no software.”

Blomhoff diz que a principal diferença entre os níveis de ameaça de TI e TO é que, com a TI, os ataques acontecem com frequência, mas com consequências limitadas, enquanto o TO enfrenta, até agora, um número mais limitado de ataques que têm o potencial de afetar severamente a segurança.

“O principal risco é que agora você está conectando cada vez mais sistemas de controle a bordo, e eles não foram necessariamente projetados para serem conectados”, disse ele. “Se o malware chega a bordo do navio porque você se conecta via telefone ou USB diretamente a um sistema de ponte, é certamente plausível ver algum vírus chegando a sistemas críticos e, nesse cenário, é apenas uma questão de tempo antes que eles causem danos.”

Ataques cibernéticos também podem ser implantados para facilitar o crime mais tradicional, como acessar trocas de e-mail entre um navio e a costa, identificar uma fatura de uma corretora e gerar outra fatura com a mesma aparência, mas com detalhes diferentes. Eles também podem ser usados ​​para fornecer aos piratas informações preciosas que, se forem capazes de embarcar no navio, darão a eles uma vantagem na aquisição de mercadorias específicas e na partida rápida.

“Certamente há exemplos em que piratas embarcaram em navios e eles sabem exatamente quais contêineres queriam acessar e onde estão, o que significa que têm muito menos tempo de contato a bordo do navio”, disse Chappell. “Isso só pode ser habilitado por manifestos que vazam ou exfiltrados, potencialmente por pessoas obtendo acesso a esses dados de forma nefasta.”

A melhor defesa é um bom ataque

As empresas de consultoria em segurança marítima oferecem uma variedade de medidas proativas para dar aos operadores de embarcações tranquilidade sobre sua preparação para ameaças de segurança cibernética. As estratégias variam de empresa para empresa, mas normalmente incluem segmentação de rede, análise de risco (incluindo a designação de especialistas para descobrir vulnerabilidades por meio de testes de penetração e “Red team” adversário) e treinamento de conscientização cibernética para membros da tripulação.

“Tentamos trabalhar com os fornecedores para construir bons mecanismos de segurança cibernética em seus sistemas como a primeira camada de defesa, então temos outra seção com a segregação de rede – mantendo os sistemas de TI e de bem-estar da tripulação longe dos sistemas TO – e, finalmente, há um terceiro nível com os procedimentos de segurança física que o armador implementa para manter o navio seguro ”, disse Blomhoff.

A segmentação de rede é um elemento fundamental fundamental para uma infraestrutura de segurança robusta, diz McFeters, especialmente porque os ambientes marítimos ficam para trás em relação aos padrões de segurança das indústrias mais maduras digitalmente.

“No setor marítimo em particular, eu operaria sob a premissa de que um sistema será comprometido em algum ponto”, disse McFeters. “A coisa mais importante que você pode fazer é segregar suas redes para que algo como malware não se espalhe para sistemas TO, porque geralmente esses sistemas não terão patches e serão um alvo mais fácil.”

Embora a segmentação de rede seja uma prioridade, ela não deve assustar as operadoras e evitar a convergência de dados para maximizar o valor da tecnologia integrada.

“É fácil dizer que estamos seguros porque todos os nossos sistemas estão isolados (air gapped), mas essa é uma visão autodestrutiva”, disse Chappell. “Os operadores obtêm benefícios reais ao obter esses dados dos sistemas operacionais e usá-los para aumentar as informações de negócios, ou ao serem capazes de observar o consumo de combustível e dizer à equipe em terra exatamente quanto combustível eles precisam comprar na próxima parada de abastecimento. É extremamente valioso, mas a integração precisa ser feita de maneira controlada.”

As estratégias de defesa proativa também incluem exercícios de segurança projetados para testar firewalls e segmentação, como o uso de invasores de “chapéu branco” ou testes de penetração (pentests) e cenários de mesa para identificar os pontos fracos (varredura de vulnerabilidades). Como parte de suas ofertas de avaliação de segurança, algumas empresas como a DNV implanta atacantes éticos certificados para verificar as defesas e requisitos com base na notação de classe e para fazer testes de penetração exploratórios para encontrar lacunas incomuns. A Clavis também realiza este tipo de serviço.

“É um bom exercício para manter suas defesas contra uma imagem de risco em constante evolução”, disse Blomhoff. As empresas e proprietários não precisam ser especialistas em segurança cibernética pois podem contratar serviços especializados e unidades consultivas que podem mostrar as defesas durante os testes.

Mesmo a análise de segurança mais intensa pode se revelar infrutífera se os membros da tripulação não receberem treinamento adequado em segurança cibernética. O comportamento humano sempre ignora a segurança, diz Ward, observando que o aumento do uso de dispositivos pessoais e a tendência crescente da equipe de suporte trabalhando remotamente afetam a prontidão da segurança cibernética marítima tanto quanto qualquer setor, ampliando a superfície de ataque.

“As pessoas inevitavelmente cometem erros que criam vias de acesso em ambientes de TO. Isso pode incluir dispositivos de streaming de mídia de um trabalhador de turno durante o tempo de inatividade ou até mesmo ao trazer uma impressora pessoal. Eles conectam seus próprios pontos de acesso e, se não tiverem nenhuma criptografia de segurança ou controle de acesso, ficará totalmente aberto e desprotegido ”, disse Ward.

A educação em segurança cibernética não deve ser sobre punição, diz Chappell, mas sim sobre conscientizar os membros da tripulação de que decisões como usar um pendrive comprado em terra para assistir a filmes podem afetar sua segurança pessoal e a de seus companheiros de tripulação. Colocá-los em uma posição de sucesso também significa agilizar os processos de resposta em caso de um incidente cibernético.

“O que importa é tornar mais fácil para as pessoas fazerem a coisa certa”, disse Chappell. “Quando as coisas dão errado, deve ser como os exercícios de salva-vidas. Nossos planos de resposta adotam o formato de ‘Se isso acontecer, faça isso’ em uma folha A4 laminada de uma página. Coisas realmente simples que você pode fazer às 3h da manhã quando estiver cansado e arrastado para fora do beliche – a preparação pode ser tão simples como reinstalar o cabeamento de áreas da ponte ou da casa das máquinas para usar cabos de cores diferentes, então ‘Se você não confie mais no ECDIS por qualquer motivo, remova os cabos azuis nos gabinetes 3, 4 e 5.”

Resolução do problema

Conscientizar a segurança cibernética é apenas parte da batalha; a capacidade, ou desejo, de alocar financiamento é igualmente importante para manter uma infraestrutura de segurança forte. Ward observa que as empresas marítimas têm uma meta de custo por dia que procuram, que não inclui necessariamente fundos para segurança cibernética.

No passado, isso às vezes resultou em “sistemas confusos” compostos de equipamentos com calçadeira sem um projeto de sistema coerente e, às vezes, até mesmo incluindo produtos eletrônicos de classe de consumo perigosamente vulneráveis. Mas Weston Hecker, principal evangelista cibernético e atacante ético para a missão segura, diz que as atitudes estão mudando em direção a uma postura mais defensiva.

“Os clientes estão percebendo a gravidade dessas ameaças”, disse Hecker. “Parte disso é que o tópico é inevitável hoje em dia – aparentemente sempre há um grande ataque surgindo, em comparação com anos anteriores, quando mal estava nas manchetes.”

A Organização Marítima Internacional (IMO), o órgão regulador das Nações Unidas para a indústria de transporte marítimo, deixou claro que a segurança cibernética deve ser uma consideração importante no futuro. A partir de janeiro de 2021, suas diretrizes revisadas expandiram os padrões de preparação para a segurança cibernética que devem ser cumpridos durante as auditorias.

É uma mensagem forte que aumentará a conscientização da indústria, diz Chappell, mas pode inadvertidamente levar à complacência de verificação de caixa.

“Os requisitos da IMO estabelecem um limite mínimo, mas as organizações cibernéticas farão muito mais”, disse ele. “Há um risco real de acabarmos em uma situação semelhante a muitos setores regulamentados, onde padrões obrigatórios relativamente baixos na verdade estimulam um direcionamento para o simples cumprimento de checklists, e os melhores desempenhos históricos reduzem seus gastos e esforços para simplesmente cumprir o evento sem se preocupar com a realidade da segurança, que é o que importa.”

Isso poderia ter ramificações econômicas e geopolíticas mais amplas que vão além do balanço de qualquer empresa. Como o incidente Ever Given de março de 2021 deixou dolorosamente claro, qualquer interrupção no transporte marítimo tem efeitos em cascata que afetam todos os países e indústrias.

“Com terminais de contêineres ou navios de transporte, estamos falando sobre um alvo escolhido para atores patrocinados pelo estado”, disse McFeters. “A quantidade de dificuldade que você pode causar a uma economia nesses ambientes é severa.”

As implicações desta ameaça ainda não foram totalmente exibidas ao público, em parte porque as políticas de confidencialidade da empresa tornam impossível saber o número total e a escala dos ataques aos sistemas TO, e em parte porque a indústria é construída em camadas de redundâncias – industriais e movidos a energia humana – que minimizam a probabilidade de um evento catastrófico.

Por exemplo, McFeters diz que, da perspectiva do operador, os riscos resultantes de ataques como spoofing de GPS “podem estar sendo exagerados até certo ponto”.

“Quando você fala com os capitães, se eles não confiam no GPS ou ECDIS ou em um de seus instrumentos, eles vão apenas fazer o cálculo ou alguma outra forma de navegação analógica – afinal, temos navegado os mares pelas estrelas por muito tempo ”, observou.

O que preocupa mais os McFeters é o risco de que sistemas embarcados desatualizados na embarcação possam ser acessíveis externamente ou se tornarem acessíveis quando entrarem no porto. Os piores cenários, como uma tomada de controle de motor perto da costa, podem ser remotos, mas mesmo a possibilidade justifica um exame rigoroso.

“Acho que muitos desses ataques aumentados que estamos vendo são muito mais como ataques oportunistas – como epidemias de malware – que têm sido eficazes porque você tem um ambiente de TO em grande parte que ainda está em pé de uma perspectiva de TI”, disse McFeters. “Meu maior medo é que um desses invasores mais oportunistas perceba a que eles tiveram acesso e cause resultados operacionais. Isso poderia girar em algo que permite controlar parte da embarcação, como os motores ou hélices, e causar problemas críticos de segurança? Essa é uma área onde ainda temos muitas perguntas sem respostas.”

Uma realidade é certa. A IMO impôs a Gestão de Riscos Cibernéticos a partir da primeira inspeção de conformidade a partir de janeiro de 2021 e as empresas precisam se preparar para tal. E essa preparação deve ser planejada com certo tempo de antecedência para ser efetiva. Uma análise de gap pode ser um ponto de partida, junto com uma jornada de adequação de controles de segurança da informação que estejam integrados ao Sistema de Gestão de Segurança (SMS) já existente, de acordo com as prioridades da análise de riscos e conforme prescrevem as normas da IMO.

Para maiores informações, reveja o post deste Portal quanto apresentamos o [Artigo] Segurança Cibernética no Setor Marítimo com foco na IMO – uma nova era a partir de janeiro de 2021

Os desafios de Segurança Cibernética ao Setor Marítimo são imensos, mas é imprescindível contar com profissionais atuantes no ramo da segurança da informação para apoiar a jornada de adequação e crescimento da maturidade de segurança.

Fonte: www.tsi-mag.com com adaptações e Seginfo