La Guardia Costera de EE. UU. aplicará medidas de ciberseguridad más estrictas para el tráfico y la infraestructura marítimos comerciales, con nuevos requisitos y autoridad ampliada para hacer frente a las crecientes amenazas.
La autoridad ampliada del servicio sigue un orden ejecutiva desde principios de 2024 que le permita:
- Exigir que los buques, las instalaciones y los puertos mitiguen los riesgos cibernéticos.
- Reciba informes de incidentes cibernéticos que involucren a cualquier embarcación, puerto, puerto o instalación costera.
- Tomar el control de los buques que representan una amenaza cibernética para la infraestructura marítima de EE. UU.
Esto efectivamente coloca la ciberseguridad de la infraestructura digital del transporte marítimo bajo la supervisión del Departamento de Seguridad Nacional (DHS). El FBI también recibió autoridad en este ámbito, en coordinación con las agencias del DHS.
“Las regulaciones actualizadas también facultan al comandante de la Guardia Costera para prescribir condiciones y restricciones para la seguridad de las instalaciones costeras y de los buques en el puerto, incluidas medidas para prevenir, detectar, evaluar y remediar un incidente cibernético real o amenazado. Requieren informes al capitán del puerto, a la Oficina Federal de Investigaciones y a la Agencia de Seguridad de Infraestructura y Ciberseguridad para obtener evidencia de sabotaje, actividad subversiva o incidentes cibernéticos reales o amenazados que involucren o pongan en peligro cualquier embarcación, puerto, puerto o instalación costera”. dijo Kurt Fredrickson, portavoz de la Guardia Costera, en un correo electrónico a SEÑAL Medios de comunicación.
El gobierno federal invertirá más de 20 mil millones de dólares en infraestructura portuaria estadounidense durante los próximos cinco años, según un informe de la Casa Blanca liberar. A medida que los ataques cibernéticos ganaban en número y sofisticación, el DHS apuntó hacia China.
El aumento de los ataques se atribuyó a Volt Typhoon, un actor asociado con Beijing y el ransomware, según Cyber Trends And Insights In The Marine Environment 2023 de la Guardia Costera. informe.
Mientras tanto, la Guardia Costera de EE.UU. emitió un aviso de reglamentación propuesta que debía presentarse en abril de este año. Después de esto, se espera una regulación final.
“Además de la orden ejecutiva, la Guardia Costera propone actualizar sus regulaciones de seguridad marítima agregando regulaciones específicamente enfocadas en establecer requisitos mínimos de ciberseguridad para embarcaciones con bandera de EE. UU., instalaciones de la plataforma continental exterior e instalaciones de EE. UU. sujetas a la Ley de Seguridad del Transporte Marítimo de 2002. regulaciones”, dijo Fredrickson.
«Yo esperaría que la regla final salga en algún momento durante los próximos 12 meses», dijo Josh Koleda, director de prácticas de garantía de transporte para América del Norte en NCC Group.
Mientras tanto, la Guardia Costera está en acción.
“Estamos viendo que la Guardia Costera aumenta los equipos de ciberprotección. Ahora cuentan con tres equipos de protección cibernética que salen y realizan evaluaciones, búsqueda de amenazas y respuesta a incidentes”, afirmó Joseph Re, director general de Sev1Tech, División Marítima.
La serie de regulaciones se puede explicar desde un punto de vista sistémico. «Todo el ecosistema es tan seguro como su eslabón más débil», afirmó Re.
La Guardia Costera dijo que las empresas tendrán que planificar y contratar.
“Requiere un plan de ciberseguridad; requiere un oficial de ciberseguridad”, dijo Re, un veterano de la Guardia Costera con casi tres décadas.
Aún así, la mayoría de los mandatos ya se han establecido en regulaciones anteriores de diferentes agencias, y la nueva regulación sigue siendo integral pero dentro de lo esperado, según Koleda.
A medida que las agencias establezcan nuevos estándares mínimos de ciberseguridad, los operadores privados tendrán que encontrar formas de intensificar sus disposiciones.
«Las tecnologías nuevas y emergentes crean nuevas rutas de ataque», dijo Re.
Subrayando esto, Egon Rinderer, director de tecnología de Shift5, comparó un barco con una ciudad. «Hay sistemas de energía y sistemas de soporte vital y todo, desde una planta de tratamiento de aguas residuales hasta la purificación del agua, pasando por la generación y distribución de electricidad, la dirección y la navegación».
Y múltiples sistemas ofrecen mayores oportunidades para los atacantes.
