El sector logístico-portuario mueve aproximadamente el 90 por ciento de las mercancías de todo el mundo, teniendo un elevado impacto en indicadores macroeconómicos como el PIB mundial. En España, contamos con una red de puertos de interés general formada por 46 puertos, considerados como infraestructuras estratégicas, e incluso algunos de ellos como infraestructuras críticas por prestar servicios esenciales. Los de Algeciras, Barcelona o Valencia figuran entre los principales de Europa por tráfico y conectividad. Y la actividad del sistema portuario estatal aporta cerca del 20 por ciento del PIB del sector del transporte, lo que representa el 1,1 del PIB español.
Desde hace años se han incrementado notablemente la cantidad y relevancia de los ciberataques al sector. El impacto económico y reputacional de una hipotética parada operacional de los servicios esenciales que prestan es muy elevado, pues afectaría a prácticamente todos los sectores de la economía.
España ha realizado un gran esfuerzo para mejorar la ciberresiliencia de los puertos
Por todo ello, en España se ha realizado un gran esfuerzo para mejorar la ciberresiliencia de estas infraestructuras mediante el desarrollo del marco regulatorio en ciberseguridad (Esquema Nacional de Seguridad, Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, Directiva NIS, Ley PIC); el impulso de estrategias sectoriales a través de Puertos del Estado, como Puertos 4.0; y la creación de estrategias locales de las Autoridades Portuarias.
Este impulso se ha visto acelerado dado el incremento de la cibercriminalidad en el pasado reciente, en forma de ciberataques de alto impacto.
Impulso a la ciberseguridad de los puertos
La mejora de la ciberseguridad a través del cumplimiento normativo es fundamental para su incorporación como proceso, como parte de la cultura de las organizaciones. Esta aproximación es necesaria, pero no es suficiente en el contexto actual de un sector con retos específicos. Desafíos como son los riesgos derivados de su transformación digital, la complejidad e interrelación de las infraestructuras IT y OT portuarias o las fuertes interdependencias entre actores del ecosistema portuario y su cadena de suministro.
La contratación por parte de Puertos del Estado de servicios gestionados de ciberseguridad para todo el sistema portuario debe aportar a los puertos una capacidad adicional en materia de gobierno de la ciberseguridad, pero también nuevas capacidades de concienciación sobre su superficie de exposición y vulnerabilidades. Y, sobre todo, una capacidad de detección y respuesta ante ciberincidentes generales, especialmente, específicos a su negocio, a través de un SOC/CSIRT sectorial.
Adicionalmente, atendiendo a los marcos de referencia internacionales de ciberseguridad IT y OT y a la extensa recopilación de buenas prácticas y recomendaciones sectoriales, los puertos deberían plantearse también a corto plazo mejorar sus controles de seguridad. Pero no de manera arbitraria, sino para aplicar políticas de mínima confianza en el acceso y uso de los activos críticos más expuestos a ataques de alto impacto, como puede ser ransomware masivo o sabotaje de infraestructura OT mediante, por ejemplo, la protección del directorio corporativo, la gestión de cuentas privilegiadas, la protección de redes OT o la securización del nuevo paradigma de teletrabajo y uso de herramientas de nube pública.