Ciberseguranca, uma realidade na Industria Portuária?

A resposta é sim!

Afinal, os portos são responsáveis por garantir a movimentação de quase nove bilhões de toneladas de mercadorias em todo o mundo (90% do volume mundial).

Para permanecer competitivo e eficiente, a transformação digital dos portos tornou-se de vital importância.

A última década assistiu ao nascimento dos “portos inteligentes”, que utilizam novas tecnologias para automatizar e acelerar os processos logísticos.

No entanto, o problema é que essa transformação foi acompanhada por um aumento de ataques contra o transporte marítimo.

Quais são os vetores de risco específicos da atividade portuária? Como podemos garantir a cibersegurança do porto?

Aqui estão algumas dicas para resolver está questão desafiadora!

O cenário mundial e a cibersegurança

Especialistas do setor, afirmam que a falta da cibersegurança pode comprometer equipamentos digitais, como pontes portuárias e guindastes, pois podem ser operadoras remotamente e mover-se inesperadamente, possivelmente causando até mesmo incidentes destrutivos para infraestrutura portuária e potencialmente fatal.

Um bom exemplo dessa vulnerabilidade aconteceu na França, dado o seu papel crucial nos intercâmbios internacionais, o Comité Interministerial do Mar salientou em 2015 que um “um grande ataque cibernético em um grande porto poderia interromper massivamente toda a cadeia de suprimentos e, consequentemente, a economia do país .”

Grande *ataques cibernéticos podem sim, atrapalhar toda a cadeia de suprimentos e, prejudicar a economia de um país.

Essas descobertas são ainda mais alarmantes considerando que a superfície de cibersegurança das infraestruturas portuárias continua a aumentar à medida que a modernização digital dos portos aumenta.

Quando produtividade e a cibersegurança colidem

À medida que buscam se tornar inteligentes, os portos estão investindo em tecnologias como:

• Internet das coisas;
• IIoT, por exemplo, sensores conectados),
• Inteligência artificial
• Digital twin.

Juntas, essas tecnologias oferecem grande potencial para automação e aceleração de processos.

Por exemplo, o porto de Yangshan, na China, conseguiu automatizar completamente a operação de seu ship-to-shorepórticos e outras pontes rolantes em 2017.

Um feito impressionante, já que os processos de carga e descarga de navios eram até então considerados a parte mais complexa da cadeia para automatizar.

Enquanto isso, portos como Rotterdam e Hamburgo se destacam pela automação de seus processos de roteamento de contêineres.

A International Association of Ports and Harbors ( IAPH ), associação sediada em Tóquio que representa os maiores portos comerciais do mundo, confirma que de uma perspectiva cibernética, a superfície de ataque dos Portos no mundo todo está aumentando.

O problema é que se o passado é um indicador para o futuro dos Portos Inteligentes, o resultado será um perfilamento de potenciais pontos de entrada para redes e maior porosidade entre sistemas de informação (TI) e operacionais (OT).

O controle remoto desses sensores (anteriormente manuais) e sistemas para controle eletrônico de máquinas portuárias (guindastes, pórticos, pontes, etc.) agora é possível.

Vetores de risco gerais a serem levados em consideração

Além dos vetores de risco específicos de sua atividade, os Portos se deparam com agravantes comuns a todos os setores econômicos, conforme destacado no relatório do IAPH .

Em primeiro lugar, muitos deles dão baixa prioridade às questões de segurança cibernética, colocando as considerações de negócios em primeiro lugar.

Isso porque, o trabalho de manutenção ou a aplicação de patches de segurança muitas vezes resulta em uma desaceleração, ou mesmo uma parada completa, nos processos de negócios.

A prioridade das organizações portuárias ainda é cumprir sua missão primordial.

Isso significa que muitos ainda não priorizam atualizações essenciais para sua cibersegurança.

Os ecossistemas de software portuário são extremamente complexos e muitas vezes dependem de tecnologias de terceiros desatualizadas ou tecnologias que faltam habilidades humanas dentro da organização.

E assim os criminosos cibernéticos continuam explorando vulnerabilidades de software.

Um bom exemplo disso foi o Porto de Houston, que sobreviveu a um ataque que explorou uma falha crítica em uma solução de gerenciamento de senhas.

Neste sentido, uma das prioridade das organizações portuárias deve ser também a de incluir atualizações essenciais para cibersegurança.

Além disso, a aceleração da transformação digital dos portos é inevitavelmente acompanhada por um aumento na demanda por perfis qualificados para operar essas novas tecnologias.

Mas quando se trata de segurança cibernética, estudos revelam que 57% das organizações em todo o mundo sofrem com a falta de habilidades nessa área.

E o setor portuário não é exceção...

Ciberataques portuários: graves consequências econômicas

Em 2018, foram registrados 7 incidentes públicos nos principais portos internacionais, em comparação com 26 em 2021.

E esse número presumivelmente documenta apenas os incidentes relatados publicamente: o número real pode ser muito maior.

Mas quanto custa um ataque cibernético a uma Porto?

A resposta não é simples.

Especialmente porque nem todos têm o mesmo impacto, e cada porto tem um valor econômico diferente.

Após a descoberta em 2013 de que sua rede de computadores havia sido infiltrada por um cartel de drogas, o porto de Antuérpia teve que investir cerca de 200.000 euros em um novo sistema (incluindo uma nova solução de gerenciamento de senhas).

Isso é relativamente pequeno em comparação com os danos infligidos ao armador dinamarquês Maersk em 2017.

Maersk foi vítima do NotPetyavírus. Por meio de sua rede, os 12 terminais portuários que opera em todo o mundo foram afetados e fechados.

O grupo foi forçado a investir na substituição de sua infraestrutura de TI (ou seja, cerca de 4.000 servidores, 45.000 PCs e 2.500 aplicativos reinstalados).

Oficialmente, a Maersk sofreu perdas de até US$ 300 milhões.

Hackers e os ataques cibernéticos

Embora a cibersegurança forcem as autoridades portuárias e os operadores de transporte marítimo a investir em sua proteção, eles são significativamente mais lucrativos para os criminosos cibernéticos.

Segundo a agência cibernética francesa ANSSI, a principal motivação desses “piratas 2.0” continua sendo a promessa de ganhos financeiros .

Os hackers costumam escolher seus alvos por oportunismo. Eles atacam onde quer que esteja a brecha e onde as recompensas provavelmente serão mais rápidas, seja um porto grande ou pequeno, um hospital ou uma escola.

Depois do dinheiro, outro fator motivador para os cibercriminosos é a espionagem estratégica ou industrial .

Essa espionagem pode estar relacionada a informações como dados de roteamento para contêineres de transporte, como o exemplo do porto de Antuérpia discutido anteriormente neste artigo.

Entre 2011 e 2013, o porto foi vítima de narcotraficantes que seqüestraram o sistema de roteamento para transportar drogas para a Europa.

Finalmente, o surgimento de tensões geopolíticas provavelmente exporá cada vez mais os portos a ataques cibernéticos que visam apenas sabotar suas operações ou a imagem das autoridades portuárias relevantes.

Por exemplo, acredita-se que a rivalidade entre o Irã e Israel tenha sido a causa do desligamento completo dos sistemas portuários de Shahid Rajaee no Irã.

Requisitos legais a nível nacional e internacional

Diante do aumento destes ataques, as autoridades portuárias estão tomando medidas – geralmente de acordo com as obrigações legais.

A nível europeu, a diretiva Network and Information Security (NIS) também identifica vários operadores de serviços essenciais (OSEs) que“são obrigados a tomar medidas de segurança apropriadas e relatar ataques cibernéticos graves à autoridade nacional competente.

Essas medidas incluem prevenção de riscos, proteção de redes e sistemas de informação, bem como gerenciamento de incidentes e suas consequências.

Fase 01: Identificação de ativos e serviços cibernéticos

Recomenda-se que todas as autoridades portuárias iniciem suas investigações de segurança cibernética identificando e mapeando com precisão os sistemas de TI e OT dos quais dependem, bem como os serviços que suportam.

Devido à forte interligação dos sistemas portuários com os de outros players da cadeia de valor do transporte fluvial marítimo, é importante que este mapeamento inclua também os sistemas de todos os parceiros.

Fase 02: Análise de risco de segurança cibernética

Uma vez realizada a tarefa de mapeamento de sistemas e serviços de TI/OT, torna-se mais realista realizar uma análise de risco de segurança cibernética.

A autoridade portuária deve então ser capaz de desenvolver uma metodologia confiável para identificar e avaliar os riscos cibernéticos inerentes à operação de seus sistemas e serviços.

Fase 03: Definição das medidas de segurança e soluções a serem adotadas

Esta fase se concentra principalmente na identificação e priorização de medidas e soluções de segurança a serem implementadas para reduzir os riscos a níveis aceitáveis.

As fases 1 e 2 são, portanto, essenciais para alocar adequadamente os recursos financeiros, humanos e técnicos e implementar medidas prioritárias de acordo com as necessidades específicas de cada porto.

Fase 04: Avaliação da maturidade da segurança cibernética

Por fim, esse roteiro deve incluir uma autoavaliação dos níveis de maturidade das autoridades portuárias em termos de cibersegurança.

Isso lhes permite reavaliar seus pontos fortes e fracos específicos a cada atualização dos sistemas de TI e OT e avançar em ciclos, identificando novas medidas de segurança a serem introduzidas no futuro.

O cenário dos Portos no Brasil

Infelizmente no Brasil, o interesse dos operadores portuários em investir em cibersegurança ainda é baixo.

Assim, o que vemos é um setor expoto (com exceção daqueles que já possuem investimento estrangeiro).

Mesmo se tratando de um serviço imprescindível para econômia de um país, muitos gestores enxergam esse investimento como custo.

Acreditamos que devido ao grande aumento da movimentação portuaria nacional em um curto prazo esse cenário mude e investimentos sejam feitos para garantir a cibersegurança dos Portos.

Considerações Finais

Independentemente do nível de adoção digital em um porto ou instalação portuária, o auxiliar inevitável da digitalização é o risco cibernético.

Nenhum porto ou instalação portuária está imune a ela.

Dado que a maioria dos ataques envolve pessoas e cenários de sistemas fragmentados, todos os portos e instalações estão em risco.

Além disso, as desigualdades da exclusão digital e o pesado papel que a indústria marítima desempenha no centro do comércio global e da troca de informações ressalta a natureza compartilhada do risco cibernético dentro da comunidade global de portos e instalações portuárias.