Μπορούμε να ρυθμίσουμε τις απειλές στον κυβερνοχώρο;
Πλησιάζει μια ακόμα ψηφιακή προθεσμία, αλλά αυτό δεν είναι σφάλμα της χιλιετίας, που υπόσχεται να δημιουργήσει χάος, αλλά παραδώσει λίγα μέσω πραγματικού αντίκτυπου. Οι τροπολογίες του ΔΝΟ στο Διεθνή Κώδικα Ασφαλούς Διαχείρισης τίθενται σε ισχύ από την 1η Ιανουαρίου του 2021 και ο κλάδος μπορεί να μην είναι τόσο προετοιμασμένος όσο θα έπρεπε.
Το 2020 απέδειξε για άλλη μια φορά την ευπάθεια μιας ήδη τεταμένης αλυσίδας θαλάσσιου εφοδιασμού στις επιθέσεις στον κυβερνοχώρο, από μερικές από τις μεγαλύτερες επιχειρήσεις έως τη ρυθμιστική αρχή του κλάδου, οι απειλές στον κυβερνοχώρο εξακολουθούν να διαταράσσουν τις ναυτιλιακές δραστηριότητες.
Τα κράτη μέλη του ΔΝΟ – ιδίως η αμερικανική ακτοφυλακή – ενθάρρυναν την υιοθέτηση ενός ψηφίσματος που ενθαρρύνει τους εφοπλιστές ως προς την εφαρμογή αυστηρότερων πολιτικών και πρακτικών ασφάλειας ΤΠ.
Όπως είναι γενικά αποδεκτό, ο κλάδος της ναυτιλίας δεν είναι από τους πρώτους, όταν πρόκειται για την τεχνολογία και αυτό εκτείνεται από μια προσέγγιση κωλυσιεργίας για την επικαιροποίηση των συστημάτων ΤΠ επί των πλοίων και μια απροθυμία να αποδεχτεί τη νεότερη τεχνολογία. Λαμβάνοντας υπόψη τις πιθανές αρνητικές επιπτώσεις των επιθέσεων στον κυβερνοχώρο, ο ΔΝΟ έχει αναγνωρίσει ότι πρόκειται για ρίσκο που πρέπει να ρυθμιστεί και να παρακολουθείται από πιο κοντά.
Εκ πρώτης όψεως οι αλλαγές είναι απλές. Από την 1η Ιανουαρίου 2020 ο ΔΝΟ απαιτεί τα μέτρα προφύλαξης στον κυβερνοχώρο πρέπει να αναφέρονται στο Έγγραφο Συμμόρφωσης του Κώδικα της ISM.
Η κύρια δυσκολία για τους ιδιοκτήτες είναι πώς να ερμηνεύσουν μία απόφαση γραμμένη σε πολύ γενικές γραμμές, η οποία επιδέχεται πολλαπλές ερμηνείες. Ποιες ενέργειες πρέπει να γίνουν και τι πρέπει απλά να είναι σε συμμόρφωση; Με ένα πολύ απλοποιημένο τρόπο, μπορεί να πει κανείς ότι η εφαρμογή των προτεινόμενων μέτρων που περιγράφονται στο IMO2021 σημαίνει ανάληψη δράσεων σε τρεις διαφορετικές κατηγορίες: ευαισθητοποίηση, διαδικασίες και τεχνολογία.
Το IMO2021 δείχνει ότι οι εταιρείες θα πρέπει να δημιουργήσουν ευαισθητοποίηση σχετικά με τον κίνδυνο στον κυβερνοχώρο σε ολόκληρο τον οργανισμό και ότι αυτό πρέπει να καθιερωθεί από πάνω προς τα κάτω. Δεν πρέπει να αντιμετωπίζεται ως ζήτημα «Τμήματος ΤΠ» που επιλύεται από μόνο του, όπως τα ψέματα περί κινδύνων στο σύνολο του οργανισμού. Οι περισσότεροι στον κλάδο θα πρέπει να έχουν ήδη δει τις κατευθυντήριες γραμμές βέλτιστης πρακτικής που εκδίδονται από την BIMCO, την INTERTANKO, την CLIA που μπορεί να χρησιμοποιηθούν ως σημείο εκκίνησης.
Ο κανονισμός προτείνει περαιτέρω ότι οι διαδικασίες θα πρέπει να εφαρμόζονται τόσο επί των πλοίων και στην ξηρά για την πρόληψη και την ανίχνευση κυβερνο-επιθέσεων. Το πλήρωμα έχει ανάγκη να έχει διαδικασίες επί του πλοίου σχετικά με τι πρέπει ή δεν πρέπει να γίνεται από την άποψη του υλικού, ενημερώσεων λογισμικού, ιστοσελίδες και πληροφορίες για phishing και άλλους κινδύνους. Μπορούν επίσης να επεκτείνουν αυτές τις διαδικασίες προς το τι πρέπει να κάνουμε όταν εντοπίζεται κίνδυνος – το πλοίο μπορεί να χρειαστεί να ενημερώσει την ακτή και τις σημειώσεις ή δράσεις που προβλέπονται για διορθωτικές ενέργειες.
Τα θέματα της ευαισθητοποίησης και διαδικασιών, κυρίως αντιμετωπίζουν τη συμπεριφορά, τη γνώση και την κατανόηση του τι πρέπει να κάνουμε για να κρατήσουμε τον κίνδυνο στο ελάχιστο. Η τεχνολογία αντιπροσωπεύει τα διαθέσιμα εργαλεία για τον μετριασμό του κινδύνου στον κυβερνοχώρο.
Τα παραδοσιακά μέσα προστασίας τυπικά θα περιλαμβάνουν την προστασία κατά των ιών, το τείχος προστασίας, τα φίλτρα περιεχομένου και τα διαχωρισμένα δίκτυα. Επιπλέον, πιο εξελιγμένα εργαλεία είναι διαθέσιμα, όπως η παρακολούθηση του συστήματος η οποία μπορεί να περιλαμβάνει απομακρυσμένες και αυτόματη δημιουργία δέσμης ενεργειών και ενημέρωση των λειτουργικών συστημάτων των Η/Υ και των προγραμμάτων ERP.
Υπηρεσίες ανίχνευσης κυβερνοχώρου είναι επίσης διαθέσιμες για βαθύτερες επιθεωρήσεις και διείσδυση στο δίκτυο ΤΠ, τον εντοπισμό των κινδύνων που δεν εντοπίζονται από τα τείχη προστασίας ή συνηθισμένα συστήματα anti-virus . Σημαντική επίσης είναι η κατανόηση ότι ένας αυξανόμενος αριθμός απειλών δεν προέρχεται μέσω των κινδύνων ΤΠ, αλλά από την Επιχειρησιακή Τεχνολογία (ΕΤ), την πλοήγηση του πλοίου, την πρόωση, τα φορτία και άλλα συστήματα που είναι συνδεδεμένο στο Διαδίκτυο, αλλά όχι κατ ‘ανάγκη ασφαλή.
Ο κυβερνοχώρος έχει μεγάλη σημασία, επειδή θεωρείται ευρέως ότι η ασφάλεια θα αποκτήσει μεγαλύτερη σημασία καθώς αυξάνεται η ψηφιακή τεχνολογία και συνδεσιμότητα στον τομέα της ναυτιλίας. Το θέμα για τους ιδιοκτήτες και τους διαχειριστές για πόσο καιρό μπορούν να αφαιρέσουν το βάρος της συμμόρφωσης από τους ναυτικούς και να χρησιμοποιήσουν μια συστημική προσέγγιση που εντοπίζει τις απειλές και διαχειρίζεται τους κινδύνους, ώστε η τεχνολογία να διαδραματίσει θετικό ρόλο.
Οι μεγαλύτεροι, από μακρόν παράγοντες του κλάδου είναι πιθανό να πληρούν ήδη τις απαιτήσεις ΔΝΟ2021, αλλά για μια μικρή επιχείρηση με περιορισμένο εξοπλισμό ΤΠ, παρουσιάζουν μια σημαντική, αν όχι ανεπιθύμητη πρόσθετη επιβάρυνση. Για κάποιον με περίπλοκο δίκτυο που περιλαμβάνει συστήματα ΤΠ και ΕΤ, παρουσιάζει μια επιπλέον σειρά εργασιών για το πλήρωμα, εκτός εάν μπορεί να αντιμετωπιστεί με ελάχιστη πρόσθετη διοικητική διαδικασία.
Η συμμόρφωση με τις εθελοντικές οδηγίες ασφάλειας στον κυβερνοχώρο μέχρι τώρα έχουν την τάση να πετυχαίνει ή να αποτυγχάνει με βάση το ανθρώπινο στοιχείο, επικαλούμενη την πρόθεση να κάνει το σωστό. Είναι ακριβώς αυτή η έλλειψη διαφάνειας για το πώς εκτελούνται οι εργασίες και καταγράφονται οι ενημερώσεις που ο κανονισμός αποσκοπεί να αλλάξει.
Τουλάχιστον, οι εταιρείες θα πρέπει να εφαρμόζουν τις διαδικασίες ελέγχου των κινδύνων και των μέτρων και του σχεδιασμού έκτακτης ανάγκης και κυρίως να αναπτύξουν και να εφαρμόσουν τις απαραίτητες δραστηριότητες για την ανίχνευση ενός κυβερνο-συμβάντος. Θα πρέπει να αναπτύξουν και να εφαρμόσουν τις δραστηριότητες και τα σχέδια για την παροχή ανθεκτικότητας και για την αποκατάσταση των συστημάτων που απαιτούνται για τις λειτουργίες στη ναυτιλία ή τις υπηρεσίες που υπέστησαν ζημία λόγω ενός κυβερνο-συμβάντος.
Είναι αμφίβολο εάν οι απειλές στον κυβερνοχώρο μπορεί πραγματικά να «ρυθμιστούν» με την έννοια ότι οι κίνδυνοι θα μειωθούν. Αυτό που ο ΔΝΟ θεσπίζει αποτελεί την ελάχιστη βασική απαίτηση την οποία όλοι οι φορείς θα πρέπει να τηρήσουν και να ξεπεράσουν. Συστήματα εξέτασης του κλάδου, όπως το SIRE και TMSA υπερβαίνουν ήδη τις απαιτήσεις και ο έλεγχος του κυβερνοχώρου είναι πιθανό να συνεχίσει να αυξάνεται.
Μια ενεργή στρατηγική για την προστασία των συστημάτων ΤΠ και ΕΤ από τις απειλές στον κυβερνοχώρο αποτελεί μια συνεχή επένδυση σε χρόνο και πόρους, αλλά η αδράνεια δεν αποτελεί επιλογή. Οι πλοιοκτήτες και οι φορείς εκμετάλλευσης θα πρέπει να λάβουν σοβαρά υπόψη τον κυβερνοχώρο. Εάν δεν το πράξουν σημαίνει ότι αναλαμβάνουν μεγαλύτερους κινδύνους.
More about new Cyber Security Regulations
Individual companies will clearly vary in terms of systems, personnel, procedures and preparedness. The risks to a specific ship will also be unique and dependent upon the specific integration of cyber systems aboard.
It is nonetheless up to ship owners and operators to assess their cyber risks and to implement appropriate mitigating measures. Each ‘Document of Compliance’ holder must consider their own cyber risks and implement necessary measures in their SMS.
For this reason, Voyager Worldwide has implemented a number of security measures. We have also prepared instructions that may help mitigate security risks. You can read more about these provisions here in our Voyager Cyber Security Procedures.