Ciberseguridad

El funcionamiento de los mercados resulta gravemente afectado por las amenazas y ataques de los ciberdelincuentes y hacktivistas al ciberespacio a través del acceso ilícito a sistemas informáticos, interceptación de datos, interferencias en el funcionamiento de un sistema informático, etc. Para ofrecer una respuesta coordinada ante los ataques globales, nace la necesidad de crear estrategias conjuntas internacionales y nacionales entre los Estados, organizaciones internacionales, empresas operadoras de servicios esenciales y proveedores de servicios digitales en la prevención, detección y gestión de riesgos cibernéticos, a fin de aminorar o eliminar daños de diversa índole y graves pérdidas financieras.

La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, (Directiva NIS) dispone el establecimiento por parte de los Estados de requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales así como, la creación de un grupo para la cooperación estratégica e intercambio de información entre los Estados, de una red de equipos de respuesta a incidentes “CSIRT” y de puntos de contacto únicos, es decir, la creación de procedimientos de intercambio de información y de actuación ante
cualquier incidente.

A tal fin, los operadores de servicios esenciales deben disponer de políticas, sistemas de gestión de la seguridad y planes de seguridad cibernética. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y de los sistemas de información y, para prevenir y reducir al mínimo el impacto de los incidentes.

En el sector del transporte marítimo y fluvial la Unión Europea dispone que los requisitos y procedimientos de seguridad se aplicaran a la totalidad de operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes de las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques.

Sistemas operativos obsoletos y no compatibles; software antivirus obsoletos o perdidos y protección contra malware; configuraciones de seguridad inadecuadas; redes y prácticas ineficaces; administración y el uso de cuentas y contraseñas de administrador predeterminadas poco seguras; redes informáticas de a bordo que carecen de medidas de protección de límites y segmentación de redes; equipos o sistemas críticos para la seguridad; controles de acceso inadecuados para terceros, incluidos contratistas y proveedores de servicios; información crítica para el negocio, sensible a los datos y comercialmente confidencial compartida con otros agentes o proveedores de servicio; sistemas de TI (tecnología de la información) y OT (tecnología de la operación), el software y el mantenimiento subcontratados a proveedores de servicios sin disponer del nivel de seguridad provisto por el proveedor; visitas a buques de terceros que requieren una conexión a dispositivos a bordo; el uso de medios extraíbles para descargar datos y / o realizar otras tareas; sistemas en los que el contratista supervisa y mantiene el sistema desde un acceso remoto, etc., pueden contribuir a la vulnerabilidad de los sistemas informáticos y operacionales.

El control de las operaciones o de la cadena de suministro perseguido en un ciberataque puede provocar daños y perjuicios para la seguridad marítima, la aviación, el comercio internacional, el control del tráfico aéreo o marítimo y las infraestructuras portuarias o aéreas.

En consecuencia, debe identificarse los controles técnicos y de procedimiento existentes para proteger la TI a bordo y los sistemas OT a fin de detectar vulnerabilidades cibernéticas específicas de las operaciones clave así como, aquellas que podrían comprometer la confidencialidad, la integridad y funcionamiento del equipo, la red y el sistema. Para ello, deberá revisarse la configuración de todos los dispositivos, servidores, enrutadores y tecnologías de seguridad cibernética, toda la documentación y los procedimientos de seguridad cibernética disponibles para TI, sistemas y dispositivos. La política de seguridad debe contemplar la formación, información y concienciación del personal promoviendo e impulsando las buenas prácticas.

A través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, se ha incorporado al ordenamiento jurídico español la Directiva (NIS) en la que se indica que los operadores notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios así como, aquellos sucesos o incidencias que puedan afectar a pesar de que no hayan tenido un efecto adverso real y sin perjuicio, del deber de denunciar aquellos hechos que sean constitutivos de delito.

En caso de incidente debe iniciarse una investigación para determinar sus causas y consecuencias a fin de llevar a cabo las acciones correctivas y tomar medidas de protección.

El Real Decreto-Ley 12/2018 establece un régimen sancionador que prevé sanciones de hasta un millón de euros si bien, es favorable a que se subsanen las deficiencias a fin de asegurar la fiabilidad y seguridad de las actividades económicas.

Área de Derecho Marítimo, Transporte y Logística Comercio Internacional y Aduanas de IMBGrup

Share Button