Nos finais de 2019 assistimos a um corrupio no mundo do Shipping, para que a partir de 1 de janeiro de 2020 entrasse em vigor a norma conhecida como “IMO 2020”. Para alguns armadores, o impacto foi relativamente curto e a crise pandémica veio também amenizar algumas coisas neste aspeto. As frotas foram passando com a velocidade e a disponibilidade possível pelos estaleiros para montagem dos “filtros de partículas” (Scrubbers), enquanto outras unidades usaram combustíveis compatíveis com as regras impostas pela IMO (International Maritime Organization) tendo em conta as emissões de enxofre para a atmosfera.
A novembro de 2020, e apesar da baixa verificada durante 2020 no preço dos combustíveis – que permitiu grandes poupanças a todos os armadores, bem como atrasar o investimento na instalação dos ditos filtros, e em alguns casos até cancelar a montagem dos mesmos – os maiores armadores tinham já, segundo a Alphaliner, grandes partes da frota com estes equipamentos instalados (MSC – 43%, Maersk – 30%, Evergreen – 57%, CMA CGM – 21%, HMM – 80%, COSCO – 9%, Hapag Lloyd – 10%, Yang Ming – 20%, PIL – 40% e ONE – 5%).
Mas para este ano de 2021, a IMO tem igualmente uma resolução que entrou em vigor no passado 1 de janeiro, da qual pouco se ouviu falar até agora por cá, mas sobre a qual a urgência é grande, o impacto nas empresas tem sido igualmente enorme e cada vez maior no Shipping em geral, na área da Cibersegurança. Os ataques têm-se verificado numa escala mundial a alguns armadores e seus sistemas, paralisando operações durante algum tempo, deixando os clientes num mar de incertezas e as suas cargas ao longo da cadeia global de abastecimento, com custos enormes para todos.
Os desenvolvimentos registados nos últimos tempos na conectividade longe dos cais, ao longo da navegação em águas profundas, permite hoje aos navios um contato mais direto com os seus armadores, e a quantidade de informação transmitida é também maior, incluindo a condição de algumas cargas, nomeadamente as refrigeradas. Um veículo automóvel autónomo, segundo a Intel, gera 4000 GB de dados por dia, a cada dia. Com os sensores hoje instalados nos navios mais recentes, que levam para as suas salas de controlo uma enormidade de informação sobre o estado dos motores, movimento do navio, sistemas de controlo e navegação, entre outros, a quantidade de informação armazenada é cada vez maior. A tecnologia “gémeos digitais” (Digital Twins), usada por alguns armadores nas suas novas construções, obriga a que a digitalização dos navios seja reproduzida num ambiente virtual, suportado por informação advinda dos casos reais, aumentando também a quantidade de informação recolhida a todo o momento.
Um estudo de 2019, da IHS Markit / BIMCO, registou que 58% dos inquiridos tinham já incorporado nas suas empresas ou frota, em 2018, instruções sobre cibersegurança. Em 2017, este número era de 37% apenas, e as empresas que reportavam ciberataques desceu de 314% para 22% apenas, parecendo bons indicadores, contudo nem todos os incidentes são por vezes reportados. Um outro relatório da Associação Britânica de Portos, lançado em junho de 2020, sugeria que o teletrabalho levou a um incremento deste tipo de ataques a partir de fevereiro de 2020.
A cibersegurança foi classificada como o segundo maior risco para o Shipping em 2019, a seguir aos desastres naturais (de relembrar o que terá sido um dos maiores desastres até ao momento, com o navio ONE APUS, com cerca de 2000 contentores borda fora, não contabilizando os estragos das unidades no convés), segundo um relatório da Allianz. Ainda de acordo com dados da IBM, as empresas demoram em média 197 dias para identificar uma falha e 69 dias para conter a mesma. O ataque a navios pode comprometer seriamente a sua segurança, mas também a das cargas e pessoas a bordo. Um outro relatório da Verizon Connect, sobre acesso indevido a dados (Data Breach), indica que quase um terço destes ataques utilizam uma técnica designada por “phishing”, que é um indicador que onde existem vulnerabilidades nos sistemas, o “fator humano” pode expô-las de um modo alarmante.
Em 2017, sim 2017, a IMO emitiu a MSC-FAL.1/Circ “Guidelines on maritime cyber risk management”. Estas orientações forneciam recomendações para as ameaças e vulnerabilidades existentes nessa altura e outras técnicas emergentes, que permitiam uma melhor preparação para lidar com ciberataques. O Comité Marítimo de Segurança da IMO adotou depois essas recomendações através da resolução MSC.428(98) “Maritime Cyber Risk Management in Safety Management Systems”. Esta resolução encorajava as empresas a assumirem os ciber riscos para os seus sistemas de segurança, tal como definido no International Safety Management Code (Código ISM), aquando da primeira verificação de segurança (Document of Compliance – DOC) após 1 de janeiro de 2021.
Não será de estranhar no futuro o desvio intencional de navios da sua rota, alguns deles com cargas perigosas que possam provocar danos maiores, ou até a penetração em sistemas de estabilidade de navios com intuito de afundamento.
Em detalhe, os armadores devem definir uma estrutura de alto nível da sua política de segurança, desenvolvendo um inventário completo dos riscos que correm, incluindo os sistemas a bordo dos navios e em terra, ao nível operacional (Operation Technology – OT), de informação (Information Technology – IT) e seus equipamentos. Deste modo podem melhor compreender os riscos a um nível global em todos os sistemas, para poderem avaliar os riscos que correm e o seu impacto em caso de ataque informático.
Na parte dos navios, devem fazer uma análise de cibersegurança que exponha as ameaças e vulnerabilidades, bem como a exposição dos sistemas IT e OT em caso de ciberataques. Peritos em cibersegurança devem determinar riscos, avaliar o impacto e considerar medidas para mitigar os possíveis ataques, nas suas várias vertentes. Os armadores devem depois definir políticas e procedimentos de cibersegurança, adaptados aos seus navios e equipamentos. Estas recomendações devem definir o papel e responsabilidades a bordo em caso de ataque, o treino do pessoal e estratégias para lidar com os mesmos.
São muitos os sistemas a bordo que devem estar protegidos, nomeadamente:
- Sistemas na ponte de comando;
- Sistemas de gestão de cargas;
- Gestão de equipamentos e propulsão e sistemas de controlo de energia;
- Controlo de acessos;
- Sistemas de serviço e gestão de passageiros;
- Redes públicas para passageiros;
- Sistemas administrativos para a tripulação;
- Sistemas de comunicação.
As vulnerabilidades podem ser encontradas não apenas nos navios mais antigos, mas igualmente em algumas unidades recentemente entregues, e podem passar por sistemas operacionais obsoletos e sem as devidas atualizações, sistemas antivírus desatualizados ou inexistentes, uso de senhas e contas base/defeito em alguns sistemas, gestão insegura da rede de comunicações com falhas de proteção e delimitação de acessos e gestão inadequada de acessos. Associado a tudo isto podemos juntar, como já acima enunciado, o erro humano, através do uso do email abrindo potenciais ataques por esta via, técnicas de malware e phishing, memórias USB como porta de entrada de vírus e outros problemas para os sistemas, conexão com dispositivos infetados (telemóveis, tablets, computadores), uso de rede sem-fios sem políticas ativas de segurança.
A metodologia sugerida pela norma IMO compreende o enquadramento do National Institute of Standards and Technology (NIST). Os cinco pontos desta ferramenta devem ser considerados como parte da resposta na gestão do risco em caso de ciberataque (Identificar, proteger, detetar, responder e recuperar) tal como identificado na figura 1.
Identificar – Definir o papel e responsabilidades para a gestão do ciber risco e identificar os sistemas, ativos, dados e áreas que, quando sob ataque, tragam riscos para a operação do navio.
Proteger – Implementar medidas e processos para controlo de risco bem como um plano de contingência em caso de ciberataque, assegurando o normal funcionamento do navio.
Detetar – Desenvolver e implementar as atividades necessárias para detetar um ciberataque no menor espaço de tempo.
Responder – Desenvolver e implementar atividades e planos para tornar os sistemas resilientes ao ataque, e recuperarem os mesmos para o normal funcionamento da operação dos navios ou trabalhar com os sistemas disponíveis.
Recuperar – Identificar medidas para recuperação e restauração dos sistemas necessários para o normal funcionamento dos navios, depois de um ciberataque.
De um modo geral, este enquadramento da NIST pode ser utilizado por outras indústrias como ferramenta para preparação e recuperação de ciberataques.
Resta saber se estarão os navios preparados para fazer face a este tipo de ataques em 2021, ou se a IMO 2021 trará mais alguma luz para este tema pelo menos na vertente marítima. É difícil de perceber se as tripulações, já de si cada vez mais escassas em número, conseguem ter mais competência acumulada, pois dificilmente peritos informáticos estarão a bordo nestas alturas, sendo que estes episódios acontecerão naturalmente nos navios mais expostos a estas vulnerabilidades, e nesses será quase impossível travar estes ataques em tempo útil.
Temos assistido a vários acidentes com navios de todo o tipo e com um impacto variado, e estes ataques são apenas mais um na lista de possíveis acidentes com navios. Não será de estranhar no futuro o desvio intencional de navios da sua rota, alguns deles com cargas perigosas que possam provocar danos maiores, ou até a penetração em sistemas de estabilidade de navios com intuito de afundamento. São apenas algumas ideias básicas que em situações de Ethical Hacking foram já facilmente comprovados o seu sucesso e que devem ser tidas em consideração. Vamos esperar qual o caminho a seguir neste campo, e será de esperar pelo menos que estejam mais bem preparados, em resultado da IMO 2021.
PEDRO GALVEIA