Cibersegurança para infraestruturas marítimas: Nova ordem executiva

Durante e após a emergência da pandemia de COVID-19, todos aprendemos o quão frágeis as cadeias de abastecimento globais podem ser. E o recente colapso da Ponte Francis Scott Key em Baltimore, Maryland — que se espera ter um impacto significativo no transporte da indústria automóvel — serve como um forte lembrete de que essas cadeias de abastecimento dependem fortemente de infraestruturas seguras.

A colisão que causou o colapso da ponte parece muito provavelmente ter sido um acidente. Mas há todas as razões para acreditar que, em caso de crise ou conflito internacional, o sabotamento deliberado da infraestrutura portuária seria uma forma eficaz de causar danos estratégicos. E essa infraestrutura está cada vez mais automatizada e dependente de TI, tornando-a potencialmente vulnerável a ciberataques.

Nova ordem executiva

A 21 de fevereiro deste ano, a administração Biden-Harris anunciou uma nova ordem executiva destinada a reforçar a cibersegurança da infraestrutura marítima dos Estados Unidos.

A ordem executiva tem vários componentes:

• A ordem aumenta a autoridade do Departamento de Segurança Interna (DHS) para abordar ameaças de cibersegurança marítima e dá à Guarda Costeira dos EUA o poder de exigir e aplicar normas específicas de cibersegurança para embarcações de transporte e instalações portuárias. Incidentes cibernéticos envolvendo sistemas de tecnologia marítima (MTS) devem, doravante, ser relatados à Guarda Costeira, que também ganha autoridade para controlar o movimento de embarcações consideradas uma ameaça de cibersegurança.
• De acordo com a ordem executiva, a Guarda Costeira dos EUA emitiu um Aviso de Proposta de Regulamentação sobre cibersegurança no sistema de transporte marítimo, a fim de estabelecer requisitos mínimos de cibersegurança que cumpram normas internacionais e reconhecidas pela indústria para melhor gerir as ciberameaças.
• A ordem também orienta a Guarda Costeira a emitir uma Diretiva de Segurança Marítima que exige ações específicas de gestão de riscos de cibersegurança em relação a guindastes de navio para terra fabricados na República Popular da China (RPC).

O ângulo da China

A atenção específica às gruas fabricadas na China é interessante. Baseia-se nas descobertas de que estas gruas — que estão em uso em um grande número de portos em todo o mundo, incluindo nos EUA — contêm vulnerabilidades que podem torná-las suscetíveis à exploração por partes maliciosas.

Além disso, há uma preocupação de que o software destes guindastes possa incluir backdoors ou outros tipos de malware concebidos para permitir que entidades governamentais chinesas assumam o controlo ou sabotem estas peças críticas de equipamento em caso de crise ou conflito.

O Departamento de Transportes dos EUA também emitiu um novo documento de recomendação que detalha a natureza específica destas preocupações. A recomendação observa que a maior parte das gruas de navio para terra são fabricadas pela ZPMC (Shanghai Zhenhua Heavy Industries Company Limited), e que estão concebidas para serem controladas, assistidas e programadas a partir de localizações remotas, dependendo da sua configuração.

Além disso, o aconselhamento destaca que existem riscos na crescente integração e utilização da plataforma de gestão logística LOGINK, que agrega dados logísticos de muitas fontes, incluindo dados potencialmente protegidos e sensíveis sobre envio e transporte.

Finalmente, o aviso destaca os riscos de utilizar equipamentos de inspeção de segurança fabricados pela Nuctech Company, Ltd., uma entidade controlada pelo estado chinês. O facto de este equipamento incluir inteligência artificial altamente sofisticada e capacidades de reconhecimento facial, entre muitas outras, apresenta riscos significativos para a segurança nacional. Além disso, o governo dos EUA determinou que os equipamentos de menor desempenho da Nuctech podem prejudicar os esforços dos EUA para intercetar o tráfico internacional de materiais nucleares e outros materiais radioativos.

O aviso conclui com uma lista extensa e específica de ações recomendadas a serem tomadas por qualquer proprietário ou operador de equipamentos MTS, incluindo a melhoria dos controlos de acesso, segmentação e monitorização das comunicações.

Custos e benefícios

Estas novas regras imporão custos significativos aos proprietários e operadores de equipamentos de transporte marítimo e portuário, mas muitos desses custos serão compensados pelo financiamento proporcionado pela Lei Bipartidária de Infraestruturas de 2023 e pela Lei de Redução da Inflação.

Além disso, o governo está a disponibilizar fundos para apoiar a produção doméstica de equipamentos MTS por empresas dos EUA, com o objetivo de permitir a substituição económica de equipamentos vulneráveis fabricados na China por equipamentos mais seguros produzidos internamente ao longo do tempo.

No que diz respeito aos benefícios destas medidas, o benefício óbvio de destaque será a redução dos riscos cibernéticos para as cadeias de abastecimento dos EUA e globais. Um benefício adicional será medido em novos empregos na indústria de transformação para os trabalhadores dos EUA.