Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Apuntes de ciberseguridad marítima

 | El Vigía
Markus Gómez Dabic (asociado senior del dpto. Litigación y Arbitraje Madrid)

A medida que la tecnología de la información y operacional continúa desarrollándose, en un mundo cada vez más interconectado, el sector marítimo va tomando conciencia de los riesgos derivados de la seguridad de los sistemas informáticos, tanto en tierra como a bordo. Asimismo, los tipos de amenazas y sus potenciales consecuencias han experimentado cambios, abarcando desde el riesgo de ataques por activistas, hasta el espionaje industrial o el terrorismo. Tal y como destacan informes del sector asegurador, si hasta el año 2010 la mayoría de ataques cibernéticos estaban motivados por la obtención de información sensible, actualmente los ataques son más sofisticados y tratan de provocar daños materiales o incluso tomar el control de sistemas de operaciones y cadenas de distribución de mercancías.

En el ámbito de la navegación marítima, se ha identificado que la tecnología esencial empleada a bordo de buques, tales como los sistemas de navegación GPS, AIS (Automatic Identification System) y ECDIS (Electronic Chart Display and Information System), son especialmente vulnerables a posibles ciberataques, al no contener mecanismos propios de encriptación de datos o de autentificación de señales. Las potenciales consecuencias de estos ataques para la seguridad marítima, la infraestructura portuaria y el comercio internacional son devastadoras.

En respuesta a estos retos, la Mesa Redonda de las Asociaciones Marítimas, que agrupa al sector naviero internacional a través de Bimco, ICS, CLIA, Intercargo e Intertanko, acaba de publicar unas directrices sobre ciberseguridad abordo de los buques, que tratan de ayudar a navieros y operadores marítimos a evaluar sus riesgos, establecer los procedimientos y adoptar las medidas necesarias para garantizar la seguridad de los sistemas informáticos a bordo de sus buques.

Las directrices describen los tipos de riesgos de ciberseguridad existentes, ofrecen pautas para implementar un sistema de evaluación de riesgos, señalan medidas para la reducción de riesgos, el seguimiento y monitorización de los mismos, y establecen criterios para que cada empresa pueda diseñar su propio plan de contingencia, respuesta e investigación de posibles ataques cibernéticos. Por un lado, cabe señalar que, aunque parezca sorprendente, las directrices no aluden a la posibilidad de aseguramiento y cobertura de los riesgos cibernéticos.

En el ámbito del seguro marítimo, la mayoría de pólizas de cascos y máquinas de buques, pólizas de astilleros e instalaciones portuarias venían incluyendo en sus condicionados la Cláusula de Exclusión del Instituto ICC por Ataques Cibernéticos (CL 380) 10/11/2003, o alguna variante de la misma. Esta cláusula excluye las pérdidas, daños o gastos causados por el uso de un ordenador, sistema informático, programa de software o cualquier sistema electrónico como medio para causar daños (por ejemplo, daños derivados de un ataque terrorista).

Además, los seguros de protección e indemnización (P&I) no cubren, salvo cobertura especial concedida por el Grupo Internacional de Clubes de P&I, un ataque cibernético a buques o instalaciones portuarias que sea considerado un acto de guerra o un ataque terrorista.

Asimismo, aunque existen pólizas de riesgos cibernéticos (no marítimas), las mismas suelen excluir los daños y pérdidas materiales y/o personales/físicos de su ámbito de cobertura. En definitiva, el mercado asegurador está trabajando en dar una respuesta a los riesgos de ciberseguridad marítima, y va ofreciendo productos adaptados a las necesidades del sector.

Por otro lado, las directrices sobre ciberseguridad a bordo de los buques señalan que los procedimientos de gestión de riesgos cibernéticos de las navieras deberán ser complementarios a los procedimientos de gestión de riesgos y seguridad ya implementados bajo la normativa vigente de seguridad de las operaciones en los buques, definida en el código internacional de gestión de la seguridad operacional del buque y la prevención de la contaminación (Código IGS) y en el código internacional para la protección de los buques y de las instalaciones portuarias (Código PBIP), que son instrumentos de carácter obligatorio para todos los países parte de cada convenio.

Sin embargo, las directrices no detallan cómo se deben conjugar estos distintos instrumentos legales con la gestión de la ciberseguridad a bordo. Es decir, el Código IGS y el Código PBIP están enfocados, respectivamente, a cuestiones de seguridad de las operaciones, personas y medio ambiente, así como a la seguridad física de los buques e instalaciones, pero no contemplan en detalle cuestiones de seguridad de los sistemas informáticos.

Una posible vía de coordinación de estos instrumentos jurídicos y operacionales sería modificar los requisitos de los Manuales de Gestión de la Seguridad del Buque (Código IGS) y de los Planes de Protección del Buque (Código PBIP) para incluir los mecanismos de control y los procedimientos para garantizar la seguridad de los sistemas informáticos a bordo. Otra vía sería dar a la ciberseguridad a bordo la entidad autónoma de un instrumento jurídico propio que, a través de u n convenio internacional, o de normas de soft law, pudiera aplicarse a los buques e instalaciones comprendidas en el ámbito de aplicación de dicho instrumento legal.

Habrá que esperar a posteriores desarrollos legislativos en el seno de la Organización Marítima internacional (OMI) para ver qué alternativa se utiliza. Lo que sí es previsible es que, con motivo de la creciente concienciación del sector marítimo de las amenazas, reales o potenciales, que genera la ciberseguridad para la navegación, se incrementen las obligaciones de control a los operadores marítimos. A su vez, estas obligaciones pueden generar también oportunidades para la industria: piénsese por un lado, en la industria de componentes electrónicos marítimos, así como en la necesidad de contar con profesionales encargados de implementar los procedimientos que garanticen la seguridad de los sistemas informáticos a bordo y en tierra.

En definitiva, la industria naval internacional, el sector asegurador y los operadores marítimos y portuarios se enfrentan a los cambiantes riesgos derivados de la seguridad de los sistemas informáticos, y a la especial vulnerabilidad de los actuales sistemas de navegación marítima. Y los navieros y operadores tendrán que reaccionar ante estos riesgos y amenazas.