Cyber Hack: Ενίσχυση Ναυτιλίας, Ασφάλεια Λιμένων

Ο καπετάνιος Andrew Kinsey, σύμβουλος ανώτερου θαλάσσιου κινδύνου, Allianz Global Corporate & Specialty15 Οκτωβρίου 2019
© denisismagilov / Adobe Stock
© denisismagilov / Adobe Stock

Η Ακτοφυλακή Ασφάλειας των Θαλάσσιων Φρουρών των Ηνωμένων Πολιτειών 06-19 (USCG MSA 06-19) περιγράφει ένα περιστατικό του Φεβρουαρίου του 2019, στο πλοίο ενός βαρέως τύπου εμπορικού σκάφους που κάλεσε το λιμάνι της Νέας Υόρκης / Νιου Τζέρσεϋ μετά από ένα σημαντικό περιστατικό στον κυβερνοχώρο που επηρέασε το πλοίο δίκτυο.

Η ειδοποίηση ασφαλείας δήλωσε εν μέρει:
"Μια ομάδα αλληλεπιδραστικών εμπειρογνωμόνων του κυβερνοχώρου, με επικεφαλής το Λιμενικό Σώμα, ανταποκρίθηκε και διενήργησε ανάλυση του δικτύου του σκάφους και των βασικών συστημάτων ελέγχου. Η ομάδα κατέληξε στο συμπέρασμα ότι, παρόλο που το κακόβουλο λογισμικό υποβαθμιζόταν σημαντικά τη λειτουργικότητα του ενσωματωμένου συστήματος υπολογιστών, δεν επηρεάστηκαν σημαντικά συστήματα ελέγχου πλοίων. Παρόλα αυτά, η ανταπόκριση μεταξύ οργανισμών διαπίστωσε ότι το σκάφος λειτουργούσε χωρίς την εφαρμογή αποτελεσματικών μέτρων για την ασφάλεια του κυβερνοχώρου, εκθέτοντας τα κρίσιμα συστήματα ελέγχου των πλοίων σε σημαντικά τρωτά σημεία ».

Αυτό το περιστατικό παρέχει πολύτιμες οδηγίες σχετικά με τον τρόπο με τον οποίο θα πρέπει να αξιολογήσουμε την ετοιμότητα ασφάλειας των τερματικών, των σκαφών και της σχετικής υποδομής. Υπογραμμίζει επίσης τη σημασία του τρόπου με τον οποίο θα πρέπει να αναπτυχθούν και να διεξαχθούν εκπαιδεύσεις ασφάλειας και κατάρτισης πληρώματος. Ένα βασικό απόρριψη της USCG MSA 06-19 είναι ότι το Coast Guard ενθαρρύνει ένθερμα όλους τους ιδιοκτήτες πλοίων και εγκαταστάσεων και τους φορείς εκμετάλλευσης να διεξάγουν αξιολογήσεις ασφάλειας στον κυβερνοχώρο για να κατανοήσουν καλύτερα την έκταση των ευπαθειών του κυβερνοχώρου. Αυτό πρέπει να είναι μια επισκόπηση συγκεκριμένου σκάφους και εγκατάστασης, καθώς κάθε στοιχείο μπορεί να έχει μοναδικά ανοίγματα.
Τα καλά νέα είναι ότι υπάρχουν πολύ καλά διαθέσιμα στοιχεία για τη διεξαγωγή αυτής της αναθεώρησης. Ο ιστότοπος της Υπηρεσίας Ασφάλειας στον κυβερνοχώρο και στον Οργανισμό Ασφάλειας Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας παρέχει πόρους στον κυβερνοχώρο και βέλτιστες πρακτικές για επιχειρήσεις https://www.us-cert.gov/resources . Ένας πόρος που θα πρέπει να μελετηθεί είναι η Επισκόπηση ανθεκτικότητας του Cyber (CRR). Η Αυτοαξιολόγηση CCR παρέχει ένα μέτρο των δυνατοτήτων του οργανισμού για την ανθεκτικότητα στον κυβερνοχώρο και παρέχει έναν χρήσιμο Οδηγό Χρήσης που παρέχει πληροφορίες σχετικά με τη διεξαγωγή αυτοαξιολογήσεων, την αξιολόγηση των δυνατοτήτων ανθεκτικότητας στον κυβερνοχώρο και την παροχή καθοδήγησης για δραστηριότητες παρακολούθησης.

Η Αυτοαξιολόγηση CRR επιτρέπει επίσης σε μια οργάνωση να αξιολογήσει τις δυνατότητές της σε σχέση με το Πλαίσιο Ασφάλειας του Κυπριακού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) και ένα έγγραφο διασταυρώσεων που χαρτογραφεί το CRR στο NIST CSF περιλαμβάνεται ως στοιχείο του CRR Self-Assessment Kit.

Η Αυτοπεποίθηση Ασφάλειας Cyber είναι η αρχή, αλλά είναι σημαντικό να ενσωματωθεί η κατάρτιση και οι ασκήσεις για να διατηρηθεί και να βελτιωθεί η ασφάλεια των λιμένων και των πλοίων. Η εκπαίδευση στον κυβερνοχώρο είναι διαθέσιμη στον δικτυακό τόπο της US Small Business Administration (https://www.sba.gov/course/cybersecurity-small-businesses/).

Όλοι οι εργαζόμενοι έχουν ένα ρόλο στην ασφάλεια στον κυβερνοχώρο και ο κυβερνοχώρος είναι ένα κρίσιμο στοιχείο της συνολικής φυσικής ασφάλειας. Τα δελτία ταυτότητας και οι καρτέλες ταλάντωσης χρησιμοποιούνται τακτικά για την πρόσβαση σε εγκαταστάσεις και αυτά είναι μόνο μερικά από τα πολλά λειτουργικά συστήματα που μπορούν να διακυβευτούν σε ένα κυβερνοχώρο. Η κατάρτιση πρέπει να ξεκινά με νέες προσλήψεις και να περιλαμβάνει όλους τους υπαλλήλους. Όπως και με κάθε επιχειρηματικό σχέδιο, είναι σημαντικό να επωφεληθεί η ανώτερη διοίκηση από την επιτυχία της επιχειρησιακής ασφάλειας. Είναι επίσης σημαντικό να ζητήσετε και να απαντήσετε στην καταχώρηση βαθμών και αρχείων. Οι καλύτερες διαδικασίες είναι εκείνες που αναπτύσσονται με έντονη συμμετοχή και επικοινωνία, ενώ υπόκεινται σε τακτική επανεξέταση και αξιολόγηση. Μια διαδικασία δεν πρέπει να δείχνει μόνο καλά στο χαρτί. πρέπει επίσης να είναι λειτουργική και να ανταποκρίνεται σε μια πραγματική ανάγκη.

Είναι επίσης σημαντικό να συμπεριληφθούν οι επιχειρηματικοί εταίροι σε ασκήσεις ασφάλειας που θα βοηθήσουν στην ανάπτυξη και ενίσχυση των σχέσεων και στην εδραίωση ενός υγιούς ιδρύματος κατάρτισης. Η ύπαρξη ανατροφοδότησης από το εξωτερικό ενός οργανισμού είναι ζωτικής σημασίας για την ανάπτυξη και τη διατήρηση μιας ισχυρής στάσης ασφάλειας. Ένα επαρκές σχέδιο αντιμετώπισης σε περίπτωση πραγματικού περιστατικού είναι κρίσιμο και είναι σημαντικό να πραγματοποιηθεί εκπαίδευση σε πραγματικές συνθήκες. Αυτό σημαίνει ότι δεν βασίζονται αποκλειστικά σε συστήματα που βασίζονται σε τεχνολογίες πληροφορικής για να ανταποκριθούν σε ένα περιστατικό ασφάλειας, αλλά αντ 'αυτού να χρησιμοποιήσουν χειροκίνητα συστήματα δημιουργίας αντιγράφων ασφαλείας. Σημαίνει επίσης ότι οι εργασίες πρέπει να αξιολογούνται και να σχεδιάζονται σχέδια για τη μείωση των λειτουργιών σε περίπτωση που δεν υπάρχουν διαθέσιμα αυτοματοποιημένα συστήματα ή δεν μπορούν να χρησιμοποιηθούν.

Όπως αναφέρθηκε στην επισκόπηση ασφάλειας και ναυσιπλοΐας Allianz Global Corporate & Specialty 2019, η τεχνολογία είναι πλέον διαδεδομένη στη ναυτιλιακή βιομηχανία και κρίσιμη για τη λειτουργία των πλοίων, των λιμένων και της εφοδιαστικής. Η αυξανόμενη χρήση της συνδεδεμένης τεχνολογίας στον τομέα της ναυτιλίας αναμένεται να είναι θετική τόσο για την ασφάλεια όσο και για τις αξιώσεις. Τα ηλεκτρονικά εργαλεία πλοήγησης, οι επικοινωνίες από πλοίο σε ακτή και η μεγαλύτερη χρήση αισθητήρων έχουν τη δυνατότητα να βελτιώσουν την πλοήγηση και να βοηθήσουν στην αποφυγή γειώσεων και συγκρούσεων.

Το 2017, ο Διεθνής Ναυτιλιακός Οργανισμός (IMO) ενέκρινε το ψήφισμά του για τη Διαχείριση Θαλάσσιου Κυκλοφορούντος Κινδύνου σε συστήματα διαχείρισης της ασφάλειας, που απαιτεί από τους πλοιοκτήτες και τους διαχειριστές να ενσωματώσουν τη διαχείριση του κυβερνοχώρου στην ασφάλεια των πλοίων μέχρι το 2021. Ωστόσο, ενήργησε τώρα, δεν αναβάλλεται μέχρι να τεθούν σε ισχύ οι κανονισμοί. Ενώ η νέα τεχνολογία και το Ίντερνετ των πραγμάτων έχουν εισαγάγει πολλές νέες εκθέσεις και απειλές, η τρέχουσα εκπαίδευση στον τομέα της ασφάλειας αντανακλά με πολλούς τρόπους τους ίδιους στόχους και τους ίδιους στόχους που είχαμε όταν βράζουμε στα ύδατα της πειρατείας κατά τη δεκαετία του '80. παρουσιάστε έναν σκληρό στόχο και έχετε ένα σχέδιο που μπορεί να επιβιώσει από μια γροθιά στο στόμα.

Κατηγορίες: Ναυτική Ασφάλεια, Τεχνολογία