Pomorska cyber sigurnost
BN 235Kako bi ublažila potencijalne sigurnosne, okolišne i komercijalne posljedice cyber-incidenta, grupa međunarodnih brodarskih organizacija osmislila je smjernice koje će pomoći tvrtkama u formuliranju vlastitih pristupa upravljanja cyber rizicima na brodovima
Među svim izazovima kojima smo izloženi jedno od modernijih je u rastućoj prijetnji pomorsko-kibernetičke sigurnosti. Brodovi sve više koriste sustave koji se oslanjaju na digitalizaciju, integraciju i automatizaciju i zahtijevaju upravljanje cyber rizikom. Informacijska tehnologija (IT) i operativna tehnologija (OT) na brodovima međusobno su umrežene i sve češće povezane s internetom, što nosi rizik neovlaštenog pristupa ili zlonamjernih napada na brodske sustave i mreže.
Što je cyberspace?
Koristeći tehnologiju stvorili smo računala, uređaje za brzu obradu podataka. Oni također mogu manipulirati električnim, magnetskim i optičkim impulsima za obavljanje složenih aritmetičkih, memorijskih i logičkih funkcija. Snaga jednog računala je snaga svih povezanih računala koja se nazivaju mrežom. Cyberprostor se može definirati kao dinamički i virtualni prostor koji takve mreže računala stvaraju. Drugim riječima, cyber prostor je mreža potrošačke elektronike, računala i komunikacijske mreže koje međusobno povezuju svijet.
Primjer stvarnog incidenta iz kojeg najbolje učimo
Brod je opremljen sustavom za upravljanje napajanjem koji se mogao povezati s internetom radi ažuriranja i zakrpe softvera, daljinske dijagnostike, prikupljanja podataka i daljinskog upravljanja. Brod je nedavno izgrađen, ali ovaj sustav dizajnom nije bio povezan s internetom. Tvrtka je od stručnjaka za kibernetsku sigurnost zatražila forenzičku analizu sigurnosti. Utvrđeno je da su svi poslužitelji povezani s opremom zaraženi i da je virus neotkriven u sustavu 875 dana. Alati za skeniranje uklonili su virus no analiza je dokazala da je izvor bio davatelj usluga koji je tijekom uvođenja softvera unio zlonamjerni softver u brodski sustav putem USB flash pogona. Analiza je također dokazala da je ovaj crv djelovao u sistemskoj memoriji i aktivno se povezivao na internet s poslužitelja. Budući da je crv učitan u memoriju, to je moglo utjecati na performanse poslužitelja i sustava povezanih s internetom što bi rezultiralo velikim problemima za tvrtku, osoblje i brod.
Kako bi ublažila potencijalne sigurnosne, okolišne i komercijalne posljedice cyber-incidenta, grupa međunarodnih brodarskih organizacija osmislila je smjernice koje bi trebale pomoći tvrtkama u formuliranju vlastitih pristupa upravljanja cyber rizicima na brodovima. Smjernice se zasnivaju na riziku, identificiranju i odgovoru na cyber prijetnje. Pristupi upravljanju kibernetičkim rizikom ovise o tvrtki i brodovima, ali trebaju se voditi zahtjevima nacionalnih, međunarodnih propisa i propisa države zastave. Važan aspekt obuke za osoblje je u prepoznavanju tipičnog načina rada cyber-napada.
2017. godine Međunarodna pomorska organizacija (IMO) usvojila je rezoluciju MSC.428 (98) o upravljanju pomorskim cyber rizicima u sustavu upravljanja sigurnošću (SMS). U rezoluciji se navodi da bi odobreni SMS trebao uzeti u obzir upravljanje cyber rizikom u skladu s ciljevima i funkcionalnim zahtjevima ISM kodeksa. Viši menadžment trebao bi ugraditi kulturu svjesnosti o cyber riziku na sve razine i odjele organizacije te osigurati fleksibilni režim upravljanja cyber rizikom koji je u kontinuitetu i neprestano se ocjenjuje putem učinkovitih povratnih informacija. Posvećenost menadžmenta upravljanju kibernetičkim rizikom središnja je pretpostavka na kojoj su razvijene smjernice o kibernetičkoj sigurnosti na brodovima. Cyber sigurnost važna je zbog njenog potencijalnog utjecaja na osoblje, brod, okoliš, tvrtku i teret.
Pomorska industrija i njena digitalna izloženost imaju mnogo sličnosti s industrijskim sustavima. Da bi izgradile snažnu operativnu otpornost na cyber napade pomorske tvrtke trebale bi slijediti primjer edukacije najbolje prakse zaštite svojih sustava i pouzdanog operativnog okruženja. Održavanje učinkovite kibernetičnosti nije samo informatičko pitanje, već je temeljni operativni imperativ u pomorskom okruženju 21. stoljeća.
...
