Διαχείριση Cyber Risk: Τι πρέπει να γνωρίζετε τώρα οι ναυτικοί επαγγελματίες

Andrew Kinsey13 Ιουνίου 2019
© pickup / Adobe Stock
© pickup / Adobe Stock

Η προθεσμία του ΙΜΟ του Ιανουαρίου 2021 για τα ναυτιλιακά συμφέροντα για την ενσωμάτωση της διαχείρισης του κυβερνοχώρου στα υπάρχοντα συστήματα διαχείρισης της ασφάλειας προσεγγίζει γρήγορα. Είναι σημαντικό οι ενδιαφερόμενοι να κατανοήσουν τις ευπάθειές τους. Ο ΙΜΟ έχει εκδώσει κατευθυντήριες γραμμές MSC-FAL.1 / Circ.3 για τη διαχείριση κινδύνου θαλάσσιου κυβερνοχώρου που κάνει καλή δουλειά για να περιγράψει τα πολλά ευάλωτα συστήματα στο πλαίσιο θαλάσσιων επιχειρήσεων, όπως:

1.Μπλοωτικά συστήματα.

2. Συστήματα διαχείρισης και διαχείρισης φορτίων.

3.Συστήματα διαχείρισης και ελέγχου ισχύος και ελέγχου ισχύος μηχανών.

4. Συστήματα ελέγχου πρόσβασης.

5.Συστήματα εξυπηρέτησης και διαχείρισης επιβατών.

6.Διακυκλωμένα δίκτυα προσώπων με πτέρυγα

7.Διαχειριστικά συστήματα και συστήματα ευημερίας των πληρωμάτων. και

8.Κοινοτικά συστήματα.

Οι κατευθυντήριες γραμμές του ΙΜΟ εγείρουν επίσης ένα σημαντικό σημείο στην κατανόηση της διάκρισης μεταξύ τεχνολογίας πληροφοριών (IT) και λειτουργικού τεχνολογικού συστήματος (OT). Εν ολίγοις, η πληροφορική επικεντρώνεται στη χρήση δεδομένων ως πληροφοριών, ενώ η ΟΤ επικεντρώνεται στη χρήση δεδομένων για τον έλεγχο ή την παρακολούθηση των φυσικών διαδικασιών.

Αυτές οι διακρίσεις καθίστανται σημαντικές όταν έρχεται χρόνος να πραγματοποιηθεί εκτίμηση κινδύνου για τις δραστηριότητές σας.

Οι αξιολογήσεις κινδύνου πρέπει να είναι το πρώτο βήμα κατά την εξέταση της έκθεσης στον κυβερνοχώρο της εταιρείας σας, του τερματικού σταθμού ή του σκάφους σας. Όλα τα τμήματα της επιχείρησής σας που ελέγχονται ή υποστηρίζονται από συστήματα υπολογιστών πρέπει να εντοπιστούν και πιθανόν να είναι περισσότερα από ό, τι αντιλαμβάνεστε.

Το Λιμενικό Σώμα των Ηνωμένων Πολιτειών έχει πολύ καλές οδηγίες για το πώς να ξεκινήσετε την κατανόηση και την αναγνώριση της έκθεσής σας στον κυβερνοχώρο ( https://homeport.uscg.mil ).

Αυτή η καθοδήγηση περιλαμβάνει πληροφορίες από την ομάδα απαντήσεων της Cyber Emergency Response Team (ICSCERT), η οποία παρέχει ένα ευρύ φάσμα πληροφοριών, εργαλείων και υπηρεσιών που μπορούν να βοηθήσουν τις εταιρείες να αξιολογήσουν την ασφάλειά τους, να προσδιορίσουν τις συνιστώμενες πρακτικές και να βελτιώσουν την ασφάλεια στον κυβερνοχώρο . ( http://ics-cert.us-cert.gov/ )

Αυτό δημιουργεί ένα πολύ σημαντικό σημείο όσον αφορά τον κυβερνοχώρο και το θαλάσσιο περιβάλλον. Συχνά αντιμετωπίζουμε μοναδικούς κινδύνους στον ναυτιλιακό τομέα και ενώ η απειλή στον κυβερνοχώρο στη θάλασσα έχει ορισμένα μοναδικά χαρακτηριστικά, οι περισσότερες απειλές είναι οι ίδιες με εκείνες που αντιμετωπίζουν οι παράκτιες επιχειρήσεις. Η απειλή του κυβερνοχώρου δεν σας νοιάζει αν βρίσκεστε στο λιμάνι ή στη θάλασσα. Όσο είστε συνδεδεμένοι στο Διαδίκτυο, είστε σε κίνδυνο. Το Τμήμα Εσωτερικής Ασφάλειας έχει πολυάριθμες συμβουλές και πόρους στον κυβερνοχώρο για να σας βοηθήσει να εκπαιδεύσετε τα πληρώματά σας και το προσωπικό υποστήριξης της ξηράς. Αυτό περιλαμβάνει το Stop. Νομίζω. Συνδέω-συωδεομαι. Καμπάνια. Απλές πληροφορίες όπως αυτό πρέπει να συμπεριληφθούν ως τακτικό μέρος της εκπαίδευσης του πληρώματος.

Ένα πληρέστερο πρόγραμμα έχει αναπτυχθεί από τα Εθνικά Συστήματα Βιομηχανικού Ελέγχου για το Κέντρο Ηλεκτρονικής Ασφάλειας και Επικοινωνιών (NCCIC). Η ομάδα του συστήματος βιομηχανικών ελέγχων (ICS) έχει αναπτύξει καθοδήγηση για να βοηθήσει τους ιδιοκτήτες να προετοιμάσουν την επιχείρησή τους και τα δίκτυά τους για να χειριστούν και να αναλύσουν ένα κυβερνοχώρο. ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf ) Καθοδήγηση όπως αυτό πρέπει να ενσωματωθεί στα τμήματα Διαχείρισης Κινδύνου Κινδύνου των Συστημάτων Διαχείρισης Ασφάλειας όπως απαιτείται από το IMO.

Οι προετοιμασίες για την πρόληψη ή την ελαχιστοποίηση ενός κυβερνοχώρου είναι η πρώτη σας γραμμή άμυνας, ωστόσο, οι εταιρείες εξακολουθούν να χρειάζονται ένα σχέδιο απόκρισης που να περιγράφει τον τρόπο ανταπόκρισης όταν συμβαίνει ένα κυβερνοχώρο. Ένα σημαντικό μέρος αυτού του σχεδίου είναι να συνεργαστείτε με τον ασφαλιστικό σας μεσίτη και ασφαλιστές για να καταλάβετε πώς να διαχειριστείτε σωστά τον κίνδυνο σας με επαρκή ασφαλιστική κάλυψη.

Το κλειδί εδώ είναι να προσδιορίσουμε τι είναι και δεν καλύπτεται προς το παρόν. Τα μεγάλα άγνωστα είναι οι αποκαλούμενες "σιωπηλές" κυβερνητικές εκθέσεις στις περισσότερες παραδοσιακές ασφαλιστικές πολιτικές, οι οποίες σχεδιάστηκαν όταν ο κυβερνοχώρος δεν αποτελούσε ακόμη σημαντικό κίνδυνο και δεν το εξετάζει ρητά. Αυτό μπορεί να δημιουργήσει αβεβαιότητα για τις επιχειρήσεις, τους μεσίτες και τους ασφαλιστές σχετικά με τα σενάρια ζημιών που καλύπτονται. Στο σύνολο του ομίλου, η Allianz εξετάζει τους κινδύνους του κυβερνοχώρου σε πολιτικές ιδιοκτησίας και ατυχημάτων (P / C) στους ασφαλιστικούς τομείς των εμπορικών, εταιρικών και ειδικών ασφαλιστικών εταιρειών και έχει αναπτύξει μια νέα στρατηγική αναδοχής για την αντιμετώπιση "αθόρυβων" κυβερνητικών εκθέσεων, διασφαλίζοντας ότι όλες οι πολιτικές P / C θα ενημερωθούν και θα αποσαφηνιστούν όσον αφορά τους κινδύνους στον κυβερνοχώρο. Θέλουμε να καταργήσουμε την αβεβαιότητα κάλυψης για τους επαγγελματίες πελάτες μας.

Συχνά λέω στους πελάτες μου ότι η ασφάλεια στον κυβερνοχώρο είναι ένας αγώνας χωρίς φινίρισμα. Ο ΙΜΟ έχει δώσει στη ναυτιλιακή βιομηχανία προθεσμία για την τήρηση των πρακτικών αντιμετώπισης του κυβερνοχώρου έως τον Ιανουάριο του 2021. Είναι σαφές ότι η εργασία δεν θα τελειώσει εκεί. Οι απειλές στον κυβερνοχώρο θα συνεχίσουν να εξελίσσονται σε συχνότητα και σοβαρότητα καθώς θα εξαρτώνται περισσότερο από την τεχνολογία. Η Τεχνολογία θα είναι θετική τόσο για την αύξηση της ασφάλειας των πλοίων όσο και για τη μείωση του κινδύνου, αλλά απαιτεί να παραμείνουμε σε επαγρύπνηση για νέες και αναδυόμενες απειλές. Αυτή η επαγρύπνηση είναι απαραίτητη για το μέλλον της βιομηχανίας, διότι η εφησυχασμός δεν αποτελεί επιλογή.

Περίπου ο συντάκτης: Captain Andrew Kinsey, Σύμβουλος για την αντιμετώπιση θαλάσσιων κινδύνων, Allianz Global Corporate & Specialty

Κατηγορίες: Κυβερνητική ενημέρωση, Τεχνολογία