Digitalização em portos e terminais: avanços tecnológicos trazem maior risco

Atualmente, os portos e terminais inteligentes estão adotando novas tecnologias – operações remotas, sistemas autônomos e plataformas integradas de informação e comunicação – para melhor rastrear e monitorar navios e agilizar entregas, armazenamento e alfândega. O objetivo é aumentar a produtividade e melhorar a experiência do cliente.

A busca para aumentar a velocidade, diminuir os atrasos, incentivar a visibilidade das operações da cadeia de suprimentos e permitir retornos mais eficientes significa que os portos e terminais aprofundaram sua dependência tecnológica. Embora a oportunidade de aproveitar os maiores volumes de frete e o melhor rendimento superem os riscos associados, se gerenciados corretamente, o aumento da dependência tecnológica vem com o aumento da exposição ao risco cibernético.

Os ajustes e investimentos isolados em tecnologias, normalmente feitos ao longo de muitos anos, levaram a uma estrutura de tecnologia legada não homogênea e mais suscetível a ameaças cibernéticas.

Além disso, maiores recursos de dados e tecnologias conectadas – tanto internamente quanto com partes interessadas externas – introduzem novos pontos de acesso e vulnerabilidades que podem fornecer aos atuais agentes de ameaças avançadas um ponto de entrada em uma rede.

Maiores vulnerabilidades em uma superfície de ataque expandida

Como acontece em qualquer setor, as novas tecnologias adotadas por portos e terminais vêm com vulnerabilidades que são prontamente acessadas por agentes de ameaças por meio de bancos de dados públicos online.

Novas tecnologias e o aumento em seus pontos de conexão levam a uma superfície de ataque expandida – as potenciais vulnerabilidades e fraquezas conhecidas e desconhecidas podem acontecer através das pessoas, hardware, software e componentes de rede que podem apresentar aos criminosos cibernéticos um ponto de entrada.

Um grande incidente cibernético pode potencialmente paralisar um porto ou terminal por horas, dias ou até semanas. E como os portos e terminais são infraestruturas críticas, as interrupções podem se espalhar pelas cadeias de suprimentos globais, causando atrasos significativos e outros problemas.

Além disso, os ataques cibernéticos podem levar a danos físicos que ameaçam não apenas as operações, mas a segurança dos trabalhadores e de outros. Atores de ameaças, por exemplo, podem manipular os sensores e termostatos de um porto, levando a um incêndio com potencial para ameaçar navios atracados, especialmente aqueles que transportam combustíveis e produtos químicos inflamáveis.

Esses riscos ressaltam a importância de portos e terminais investirem em uma estratégia de digitalização inteligente, que identifique e aborde vulnerabilidades e crie uma organização resiliente capaz de resistir e se recuperar de um ataque cibernético.

As ameaças cibernéticas não se limitam a software malicioso (malware) que pode se espalhar de ou para fornecedores e clientes, mas também pode incluir:

O aumento das ameaças cibernéticas estimulou algumas agências, incluindo a Agência da União Europeia para Cibersegurança (ENISA), a publicar orientações destinadas a melhorar a segurança cibernética. O relatório Cyber Risk Management for Ports da ENISA, publicado em dezembro de 2020, que visa introduzir uma abordagem específica à avaliação do risco de cibersegurança nos portos.

Em 2017, a Organização Marítima Internacional (IMO), responsável pela regulamentação do transporte marítimo, e o Comitê de Segurança Marítima (MSC), publicaram uma série de recomendações para ajudar as empresas marítimas, incluindo portos e terminais, a gerenciar seu crescente risco cibernético. Ambos reconheceram a necessidade premente de aumentar a conscientização sobre ameaças e vulnerabilidades cibernéticas.

Autoavaliações e planejamento de cenários ajudam a avaliar o quadro de ameaças

Para proteger suas operações de uma ameaça cada vez mais desafiadora, recomenda-se que os portos e terminais incorporem controles eficazes de segurança cibernética em seus sistemas e processos. Juntamente com proteções de engenharia mais eficazes e ágeis, os controles certos podem ajudar as organizações a proteger os ativos contra acesso não autorizado, danos, roubo e perda.

As ações que todos os portos e terminais podem considerar para melhorar a segurança cibernética incluem:

Avaliação de risco cibernético: Um primeiro passo importante para melhorar a segurança cibernética é realizar uma avaliação cibernética aprofundada com terceiros interessados na identificação dos principais ativos de TI (tecnologia da Informação) e TO (Tecnologia Operacional) e os serviços portuários que eles suportam. Ao revisar o ambiente cibernético geral e a superfície de ataque, os portos e terminais podem entender melhor seu perfil de segurança cibernética. Essas ferramentas — baseadas nas melhores práticas de cibersegurança — podem ajudar a avaliar a maturidade de um programa de segurança cibernética. Por exemplo, uma avaliação pode revelar que um parceiro logístico tem acesso privilegiado desnecessário à rede de um porto. Os insights podem ser críticos para permitir que as organizações identifiquem e resolvam proativamente as lacunas que podem levar a vulnerabilidades perigosas.

Planejamento de cenário: Parte integrante de uma estratégia de gerenciamento de riscos cibernéticos, o planejamento de cenários permite que sua organização entenda o impacto de possíveis ataques e ensaie sua resposta contra eles. Profissionais de segurança cibernética, trabalhando com sua organização, podem identificar vulnerabilidades e recomendar ações para melhorar suas defesas.

Quantificação: Compreender os custos reais de vários cenários ajudará a informar onde investir, estrategicamente, recursos limitados. Por exemplo, quanto custaria a um porto se as operações fossem total ou parcialmente paralisadas por algumas horas ou alguns dias? E quais seriam as repercussões financeiras e outras se um desligamento completo do sistema levasse a um grave acidente?

Analisar e quantificar uma variedade de cenários – juntamente com sua resposta esperada – deve fornecer uma imagem mais clara dos possíveis impactos financeiros de eventos cibernéticos. Isso, por sua vez, ajudará nas decisões sobre investimentos em segurança cibernética, incluindo a compra do seguro cibernético adequado.

Cinco ações para gerenciar exposições cibernéticas

À medida que a digitalização introduz novas vulnerabilidades, portos e terminais podem considerar a integração das cinco etapas descritas pela estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) em sua autoavaliação:

Gerenciando o risco cibernético por meio de controles de segurança cibernética

A perspectiva de maior eficiência no futuro fará com que os portos e terminais continuem a adotar tecnologias inteligentes. No entanto, à medida que sua superfície de ataque se expande, também aumentam seus possíveis desafios financeiros, regulatórios e de reputação.

Ter controles de higiene cibernética em vigor é fundamental para reduzir o risco cibernético. Além disso, muitas seguradoras cibernéticas estão examinando cuidadosamente os controles cibernéticos de uma organização. As empresas que não atendam as expectativas podem enfrentar a perspectiva de não renovação ou não garantiram sua cobertura ou preço preferencial.

Embora os controles de higiene cibernética tenham sido as melhores práticas estabelecidas há muitos anos, nem todas as empresas os incorporaram aos processos do dia-a-dia. Embora existam 12 controles principais que devem ser adotados, as organizações podem começar focando em:

Onde começar?

Embora o risco cibernético não possa ser completamente eliminado, a estratégia de gerenciamento de risco adequada, juntamente com um programa robusto de seguro cibernético, pode ajudar a mitigar o risco e a se recuperar mais rapidamente de um evento. Portos e terminais podem tomar medidas para se tornarem mais ciberresistentes, começando com estas cinco etapas:

1. Melhorar o treinamento e a consciência cibernética. Muitos funcionários em todos os níveis do setor marítimo não receberam o treinamento digital apropriado para se prepararem para seu papel no gerenciamento dos riscos de segurança cibernética enfrentados por um setor cada vez mais digitalizado. As ações das pessoas são um desafio significativo para as organizações que buscam se tornar mais resilientes, e reduzir o erro humano é crucial para manter portos e terminais seguros. É importante reconhecer que os trabalhadores tendem a ter diferentes níveis de consciência cibernética com base em diferentes experiências e capacidades. O treinamento e a educação adequados de sua força de trabalho são cruciais para reforçar a resiliência cibernética.
2. Invista em pessoal especializado em cibersegurança. O treinamento geral é essencial para reduzir o erro humano que pode levar a violações cibernéticas. Mas, considerando os riscos potenciais associados ao aumento da digitalização, os portos e terminais também devem considerar investir em pessoal com sólida experiência em processos de segurança cibernética para liderar o esforço. Essa equipe deve incluir especialistas adequados ao tamanho e complexidade do seu negócio; para organizações maiores, a equipe deve ser liderada por um CISO participante do conselho.
3.  Compreender os riscos de terceiros. Portos e terminais operam dentro de um complexo ecossistema de fornecedores, usuários e clientes. Um porto, por exemplo, pode ter centenas de partes interessadas fornecendo serviços, cada um com vários pontos fortes e fracos de segurança cibernética. Mapear os pontos de contato e como as operações se conectam ajudará na compreensão de como cada participante contribui para as vulnerabilidades de segurança cibernética. É importante mapear e avaliar o risco do fornecedor e incluir requisitos para proteger uma organização nos contratos. A comunicação frequente com as partes interessadas é fundamental para entender quaisquer mudanças na segurança cibernética. Além disso, é recomendável que as organizações considerem revogar o acesso desnecessário que fornecedores terceirizados têm aos seus sistemas de TI.
4. Aborde os pontos fracos do sistema. Muitas portas e terminais estão operando com ativos legados – incluindo sistemas de tecnologia operacional, redes de TI, dispositivos de usuário final e componentes de comunicação – que estão desatualizados e/ou não receberam as atualizações de segurança necessárias. A integração de novas tecnologias com sistemas legados também pode causar desafios de segurança. Especialistas em segurança cibernética com visibilidade em toda a organização podem ajudar a identificar pontos fracos do sistema que podem aumentar as exposições cibernéticas e recomendar ações para enfrentar esses desafios. Isolar sistemas e equipamentos legados é uma pratica recomendável, quando não possível fazer a substituição destes ativos.
5. Acompanhe as mudanças regulatórias. Os regulamentos de segurança cibernética estão sendo escritos por jurisdições em todo o mundo, criando um ambiente regulatório complexo e em constante mudança. A IMO e seu Comitê de Segurança Marítima forneceram recomendações sobre gerenciamento de riscos cibernéticos marítimos, enquanto diferentes domicílios têm seus próprios requisitos e penalidades por não conformidade. Os grupos portuários podem operar sob mais de um regime regulatório, exigindo diligência para garantir que suas operações atendam a todos os requisitos. O ambiente regulatório provavelmente permanecerá complexo e as empresas marítimas precisarão dedicar recursos para permanecer em conformidade. Além disso leis de proteção de dados como a LGPD, GDPR possuem escopo extraterritorial e podem ter implicações a empresas operando além de suas matrizes.

Enfrentar os desafios de hoje e avançar para a resiliência cibernética exige uma mudança de mentalidade. Embora os portos e terminais tenham muitos anos de experiência na proteção de seus ativos contra ataques físicos e acidentes, eles precisam aplicar o mesmo foco na proteção das operações contra ataques cibernéticos e eventos cibernéticos por meio de uma estratégia robusta de segurança cibernética que inclui treinamento e controles cibernéticos aprimorados. Onde os riscos de eventos cibernéticos são corretamente compreendidos, quantificados e gerenciados, as oportunidades de digitalização os superam e são de grande alcance.