Para ofrecer una respuesta coordinada ante los ataques globales, nace la necesidad de crear estrategias conjuntas internacionales y nacionales entre los Estados, organizaciones internacionales, empresas operadoras de servicios esenciales y proveedores de servicios digitales en la prevención, detección y gestión de riesgos cibernéticos, a fin de aminorar o eliminar daños de diversa índole y graves pérdidas financieras.
La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, (Directiva NIS) dispone el establecimiento por parte de los Estados de requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales así como, la creación de un grupo para la cooperación estratégica e intercambio de información entre los Estados, de una red de equipos de respuesta a incidentes “CSIRT” y de puntos de contacto únicos, es decir, la creación de procedimientos de intercambio de información y de actuación ante cualquier incidente.
A tal fin, los operadores de servicios esenciales deben disponer de políticas, sistemas de gestión de la seguridad y planes de seguridad cibernética. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y de los sistemas de información y, para prevenir y reducir al mínimo el impacto de los incidentes.
En el sector del transporte marítimo y fluvial la Unión Europea dispone que los requisitos y procedimientos de seguridad se aplicaran a la totalidad de operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes de las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques.
Sistemas operativos obsoletos y no compatibles; software antivirus obsoletos o perdidos y protección contra malware; configuraciones de seguridad inadecuadas; redes y prácticas ineficaces; administración y el uso de cuentas y contraseñas de administrador predeterminadas poco seguras; redes informáticas de a bordo que carecen de medidas de protección de límites y segmentación de redes; equipos o sistemas críticos para la seguridad; controles de acceso inadecuados para terceros, incluidos contratistas y proveedores de servicios; información crítica para el negocio, sensible a los datos y comercialmente confidencial compartida con otros agentes o proveedores de servicio; sistemas de TI (tecnología de la información) y OT (tecnología de la operación), el software y el mantenimiento subcontratados a proveedores de servicios sin disponer del nivel de seguridad provisto por el proveedor; visitas a buques de terceros que requieren una conexión a dispositivos a bordo; el uso de medios extraíbles para descargar datos y/o realizar otras tareas; sistemas en los que el contratista supervisa y mantiene el sistema desde un acceso remoto, etc., pueden contribuir a la vulnerabilidad de los sistemas informáticos y operacionales.
El control de las operaciones o de la cadena de suministro perseguido en un ciberataque puede provocar daños y perjuicios para la seguridad marítima, la aviación, el comercio internacional, el control del tráfico aéreo o marítimo y las infraestructuras portuarias o aéreas.
En consecuencia, debe identificarse los controles técnicos y de procedimiento existentes para proteger la TI a bordo y los sistemas OT a fin de detectar vulnerabilidades cibernéticas específicas de las operaciones clave así como, aquellas que podrían comprometer la confidencialidad, la integridad y funcionamiento del equipo, la red y el sistema. Para ello, deberá revisarse la configuración de todos los dispositivos, servidores, enrutadores y tecnologías de seguridad cibernética, toda la documentación y los procedimientos de seguridad cibernética disponibles para TI, sistemas y dispositivos. La política de seguridad debe contemplar la formación, información y concienciación del personal promoviendo e impulsando las buenas prácticas.
A través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, se ha incorporado al ordenamiento jurídico español la Directiva (NIS) en la que se indica que los operadores notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios así como, aquellos sucesos o incidencias que puedan afectar a pesar de que no hayan tenido un efecto adverso real y sin perjuicio, del deber de denunciar aquellos hechos que sean constitutivos de delito.
En caso de incidente debe iniciarse una investigación para determinar sus causas y consecuencias a fin de llevar a cabo las acciones correctivas y tomar medidas de protección.
El Real Decreto-Ley 12/2018 establece un régimen sancionador que prevé sanciones de hasta un millón de euros si bien, es favorable a que se subsanen las deficiencias a fin de asegurar la fiabilidad y seguridad de las actividades económicas.
Cristina Paloma Martí
Abogado y directora del Área Derecho Marítimo Transporte y Logística en IMB Grup