Por Carla Adriana C Gibertoni Fregona
Advogada e consultora jurídica, Sócia do escritório Pádua Advogados, especialista em Direito Marítimo, Mestre em Relações Internacionais pela Universidade de Barcelona, Autora do livro Teoria e Prática do Direito Marítimo, Professora convidada em cursos de Pós graduação em Direito Marítimo e Direito Empresarial, Membro da Comissão de Direito Marítimo, Portuário e Aduaneiro da OAB/ES, do IBDMAR e ABDM.
Vivemos num mundo em permanente mudança. A inovação tecnológica alimenta uma evolução rápida onde a velocidade da indústria ameaça ultrapassar a regulação. De acordo com o relatório “AGCS Safety & Shipping Review 2017”, os riscos do futuro no transporte marítimo podem resumir-se aos seguintes aspetos:
– Pressão da regulação (Convenções IMO);
– Pressão econômica sobre armadores (menores margens);
– Situação política em algumas regiões (Yemen e Sul da China);
– Negligência da tripulação e deficiente manutenção;
– Ciberataques;
– Pirataria, assaltos à mão armada e raptos;
– Crescente dimensão dos navios;
– Tecnologia e o excesso de confiança “e-navigation”;
– Navios autônomos.
É evidente que a cada dia surgem novos riscos e novos modelos para lidar com os mesmos. Os valores monetários associados a sinistros, podem disparar para números nunca antes vistos no transporte marítimo, sobretudo em razão da evolução tecnológica.
Dada a dimensão dos navios e as responsabilidades associadas, o cenário “4bn”, reflete o montante das indenizações, numa hipotética colisão de dois navios, um de passageiros (cruzeiros) e outro de carga de conteiners, seguido do encalhe de ambos, e poluição num local ambientalmente sensível, sendo ambos os navios considerados perdas totais construtivas.
Não podemos esquecer que existem hoje navios que transportam mais de 6000 passageiros e mais de 2000 tripulantes, com mais de 360 metros de comprimento e 70 de altura. Os navios porta-containers ultrapassaram já os 400 metros de comprimento e o transporte de mais de 20.000 continers num só navio.
Diante de um novo mundo digital, o que se espera da chegada dos navios autônomos é um cenário disruptivo sujeito a ataques cibernéticos de consequências desastrosas e a níveis de automatização que podem trazer, para o setor segurador marítimo, tanto ameaças como oportunidades.
Segundo a Rolls-Royce, companhia que trabalha ativamente no desenvolvimento de navios autônomos, o futuro tem já calendário:
– Navio costeiro operado remotamente: 2020
– Navio costeiro sem tripulação (unmanned), com controlo remoto: 2025
– Navio oceânico sem tripulação (unmanned), com controlo remoto: 2030
– Navio oceânico sem tripulação e autónomo (autonomous): 2035
Curiosamente, numa pesquisa realizada no setor marítimo em 2017 e publicado no Allianz Risk Barometer, o erro humano, apesar de tanta tecnologia, continua a preocupar, e com tendência crescente.
Nesse cenário de inovações há que se considerar os riscos cada vez mais presentes de ciberataques ou crimes cibernéticos que colocariam em risco não só o navio mas toda a cadeia logística envolvida.
Não é à toa que o CEO da IBM classifica o crime cibernético como “a maior ameaça para todas as empresas do mundo”. Incidentes cibernéticos podem causar inúmeros prejuízos reputacionais, bem como trazer um impacto negativo nas receitas, na avaliação da empresa num levantamento de capital, aquisição e retenção de clientes e no recrutamento de melhores talentos.
Segundo o relatório, encomendado pela IBM Security e conduzido pelo Instituto Ponemon, o custo de uma invasão de dados aumentou 12% nos últimos 5 anos, passando para US$ 3,92 milhões, em média. E podem ficar mais caros quando não resolvidos rapidamente.
O relatório registrou ainda que o ciclo de vida médio de uma violação é de 279 dias, com as empresas levando 206 dias para identificar uma invasão após a ocorrência e um prazo adicional de 73 dias para contê-la. No entanto, as empresas que conseguiram detectar e conter uma violação em menos de 200 dias gastaram US$ 1,2 milhão a menos.
O risco de eventos cibernéticos é definido pelo Institute of Risk Management como “qualquer risco de perda financeira, interrupção ou dano à reputação de uma organização, a partir de alguma falha nos seus sistemas de tecnologia de informação”.
Um ciberataque a uma companhia pode implicar vários tipos de perdas, incluindo perdas de propriedade intelectual, financeiras, interrupção de operações, impacto na reputação, custos legais e custos de intervenção e de recuperação de sistemas, entre outros.
Um ciberataque a um país pode mudar a sua história. Aos seus órgãos de representação de poderes abalam a segurança jurídica.
No setor marítimo, ao longo da última década, os navios tornaram-se mais automatizados, informatizados e conectados em rede, com progressiva digitalização da informação, tanto das operações dos próprios navios, como das cargas.
Esta é uma boa notícia e um sinal do progresso, permitindo a partilha de informação e simplificação de processos, com melhorias de eficiência nunca vistas, num mundo em constante mudança e sob enorme pressão em termos de custos, margens de negócio e tempos de operação.
Porém, a evolução trouxe também o incremento da vulnerabilidade de sistemas críticos dos navios, que incluem os sistemas de navegação e de governo, equipamentos de propulsão e sistemas auxiliares, entre outros, que ficaram expostos a ciberataques maliciosos.
Para demonstrar a vulnerabilidade de um navio aos ciberataques, uma equipe de engenharia da empresa israelita Naval Dome, realizou uma série de ataques em sistemas de navegação, motores e outros sistemas de controlo de máquinas, em navios em operação real. Os ataques foram capazes de mudar a posição reportada do navio, induzir a indicação do radar, ligar e desativar a máquinas e anular sistemas de controle, governo e lastro.
Em 27 de junho de 2017, a companhia Maersk foi vítima de um ciberataques, tendo publicado a seguinte notícia:
“A.P. Møller – Mærsk A / S – atualização de ataque cibernético
Podemos confirmar que a Maersk foi atingida como parte de um ataque cibernético global chamado Petya, em 27 de junho de 2017.
Os sistemas TI estão em baixo em vários sítios e unidades de negócio. Contivemos o ataque e estamos trabalhando num plano de recuperação técnica com os nossos principais parceiros de TI e agências globais de segurança cibernética.
Desligamos uma série de sistemas para ajudar a conter o ataque. Neste momento, as nossas unidades de negócio Maersk Oil, Maersk Drilling, Maersk Supply Services, Maersk Tankers, Maersk Training, Svitzer e MCI não foram afetadas operacionalmente. Foram tomadas medidas de precaução para garantir a continuidade das operações.
Os navios Maersk Line permanecem em funcionamento, manobráveis, capazes de comunicar e as tripulações estão seguras. Os terminais APM foram afetados em vários portos.
Continuamos a avaliar e gerir a situação para minimizar o impacto da situação nas nossas operações, clientes e parceiros. Os planos de continuidade de operações estão sendo implementados e priorizados. O impacto agregado no nosso negócio será avaliado.
Copenhagen, 28 de junho de 2017”
Posteriormente, a Maersk revelou que o ciberataque provocou a perda de 200 a 300 milhões de US$. Informou também que, em resposta a este novo tipo de malware, a companhia implementou medidas de proteção diferentes e adicionais, continuando a rever os seus sistemas para se defender contra futuros ataques.
A questão é que os ciberataques representam hoje uma das principais ameaças à indústria de transporte marítimo. Um ciberataque, em vários setores da economia, já não é uma questão de “se”, mas sim de “quando”.
A Organização Marítima Internacional e os ciberataques
A IMO tem realizado um trabalho de sensibilização e informação na indústria do transporte marítimo, e encoraja (e irá exigir) as companhias a implementarem medidas de proteção contra possíveis ataques, nos seus sistemas de gestão de segurança (International Safety Management Code ISM), até 2021.
O objetivo geral consiste em apoiar a segurança e a proteção do transporte marítimo, para que seja operacionalmente resiliente aos riscos cibernéticos.
De acordo com a IMO, o risco cibernético marítimo refere-se a uma medida da extensão a que um ativo tecnológico pode ser ameaçado, por uma circunstância ou evento potencial, que possa resultar em falhas operacionais em navios, relacionadas com a navegação, segurança ou proteção, como consequência da corrupção, perda ou comprometimento da informação e de sistemas.
“A gestão de risco cibernético significa o processo de identificação, análise, avaliação e comunicação de um risco cibernético, aceitando, evitando, transferindo ou mitigando até um nível aceitável, considerando os custos e os benefícios das ações tomadas, para as partes interessadas.”
Em 5 de julho de 2017, a IMO publicou o documento MSC-FAL.1/Circ.3, intitulado “Guidelines on maritime cyber risk management”, com diretrizes e recomendações sobre gestão de risco cibernético marítimo, para proteger o transporte de ameaças e vulnerabilidades cibernéticas atuais e emergentes, onde estabelece que os sistemas vulneráveis dos navios incluem, mas não estão limitados a:
- Sistemas de ponte de comando;
- Sistemas de gestão e movimentação de carga;
- Sistemas de gestão de propulsão e de máquinas e sistemas de controlo de potência;
- Sistemas de controle de acessos;
- Sistemas de gestão e serviço de passageiros;
- Redes públicas de passageiros;
- Sistemas administrativos e de assistência da tripulação; e
- Sistemas de comunicação.
Identificar: definir as funções e responsabilidades das pessoas e equipes, para a gestão do risco cibernético e identificar os sistemas, ativos, dados e capacidades que, quando interrompidos, representam riscos para as operações do navio;
Proteger: implementar processos e medidas de controlo de risco e planos de contingência, para proteção contra um evento cibernético, garantindo a continuidade das operações de transporte;
Detectar: desenvolver e implementar as atividades necessárias, para detectar um evento cibernético em tempo útil;
Responder: desenvolver e implementar atividades e planos para garantir resiliência, e para restaurar os sistemas necessários para operações ou serviços de transporte, impactados por um evento cibernético;
Recuperar: identificar medidas para manter backups e restaurar sistemas informáticos, necessários para operações de navegação afetadas por um evento cibernético.
No entanto, apesar de toda a estrutura para evitar e conter incidentes cibernéticos, o fator humano é responsável pelo maior número de falhas:
“80% das falhas cibernéticas são atribuídas a erro humano; 67% dos oficiais de proteção das companhias não considera séria a ameaça de ciberataques; 100% dos oficiais de sistemas de informação não realizam formação aos tripulantes dos navios; 91% dos oficiais de proteção dos navios sentem a necessidade de obter formação e competências em cibernética.”
Os funcionários das empresas são uma das maiores vulnerabilidades de segurança cibernética, sendo considerados um “soft target” por criminosos, devido à falta de compreensão dos riscos enfrentados.
Em vez de usar métodos de hacking tecnicamente complexos e demorados, para quebrar os sistemas de uma empresa, os cibercriminosos preferem, geralmente, focar os próprios funcionários para obter informações e o acesso a sistemas.
Os riscos cibernéticos não são uma questão de TI (tecnologia de informação), mas sim riscos empresariais, que podem afetar fortemente os negócios e as operações. Assim, é da responsabilidade da equipe de gestão, a implementação de políticas adequadas, a sensibilização para as consequências de ciberataques, a promoção de uma cultura de proteção permanente, e a sensibilização para as boas práticas, através da promoção de programas de formação adequados.
A BIMCO partilha a sua visão sobre a importância da formação e sensibilização dos recursos humanos, no relatório intitulado “The Guidelines on Cyber Security on board Ships”, sublinhando a importância da participação de tripulações e pessoal de terra. “Deve existir um programa de sensibilização para todos os marítimos, abrangendo pelo menos o seguinte:
– Riscos relacionados com e-mails e comportamento seguro;
– Riscos relacionados com o uso da Internet;
– Riscos relacionados ao uso de dispositivos próprios;
– Riscos relacionados com a instalação de software no hardware da empresa;
– Riscos relacionados com dados em que não são realizadas verificações anti-vírus ou verificações de autenticidade;
– Proteção de informação de utilizadores, senhas e certificados digitais;
– Riscos cibernéticos em relação à presença física de pessoal externo à empresa;
– Detecção de atividade suspeita e comunicação da mesma;
– Consciência sobre as consequências ou o impacto de incidentes cibernéticos, na segurança e nas operações do navio;
– Compreender como implementar rotinas de manutenção preventiva;
– Procedimentos para proteção contra medias removível de provedores de serviços”
Com tudo isso, parece legítimo acreditar que o potencial de um ataque a um navio de carga ou de passageiros pode ser facilmente realizado por via cibernética, a distância confortável, sem necessidade de recursos materiais.
Enquanto algumas companhias têm já implementados planos de ciber segurança, muitas outras não têm qualquer consciência das ameaças e dos riscos que correm.
O setor do turismo marítimo, onde existem milhares de embarcações, algumas de grandes dimensões, poderão ser um ponto fraco do sistema de proteção global. Controlar um super iate de forma remota, pode transformar um veículo marítimo de lazer numa poderosa arma letal para pessoas, outras embarcações, marinas, etc. Efetivamente, os “superyachts” de milhões de dólares, são suscetíveis inclusive ao ciber-sequestro, devido a redes Wi-Fi menos seguras, às quais se pode ter acesso a uma certa distância.
Numa recente conferência de super iates, realizada em Londres, especialistas em cibercrime demonstraram que poderiam assumir o controle do Wi-Fi de uma embarcação, em menos de meia hora.
Associar um ataque para roubo de carga ou mesmo um ataque terrorista a um ciberataque, dada a elevada falta de sensibilização e a atual vulnerabilidade da indústria do transporte marítimo em geral, poderá ter elevada probabilidade de ocorrência. As consequências podem ser inimagináveis e catastróficas. Por esta razão, parece sensato incluir na pauta das revisões de Convenções como a Convenção STCW, mais uma formação e certificação obrigatória para todos os marítimos, ou, pelo menos, uma atualização da atual formação obrigatória em proteção.
FONTE: IBDMAR