Οι επιθέσεις στον κυβερνοχώρο δεν κάνουν χάρες. Καμία βιομηχανία δεν εξαιρείται από αυτές!

Στέφανος Σπανός
Director, CTO & Lead Assessor of ISONIKE Ltd

 

 

Η αυξανόμενη χρήση της προηγμένης τεχνολογίας πληροφοριών και επικοινωνιών (Information & Communication Technology (ICT)) και επιχειρησιακής τεχνολογίας αυτοματισμών (Operational Technology (OT)) στα πλοία, έχει λάβει -όπως αναμενόταν- μια εκθετικά αυξανόμενη πορεία. Αυτό αυξάνει την αποτελεσματικότητα και την αποδοτικότητα των λειτουργιών τόσο επί του πλοίου όσο και στην ξηρά. Ωστόσο, ένα πλοίο που παραδοσιακά θεωρείτο ως ένα σχετικά «κλειστό» – ως εκ τούτου «απομονωμένο» & «προστατευμένο» σύστημα, έχει πλέον ανοίξει τις πύλες του στον κυβερνοχώρο. Κατά συνέπεια αυτό έχει επιφέρει τρωτότητες σε έναν σημαντικό αριθμό απειλών ασφαλείας στον κυβερνοχώρο.

Οι κύριοι ενδιαφερόμενοι (Stakeholders) της Ναυτιλιακής Βιομηχανίας γνωρίζουν πολύ καλά ότι μια αναποτελεσματική προστασία της ασφάλειας στον κυβερνοχώρο μπορεί να οδηγήσει σε μείζονα θέματα ασφάλειας, περιβάλλοντος και εμπορίου! Αυτό δημιουργεί έναν νέο «τομέα» προκλήσεων στη ναυτιλία: Την πρόκληση για την ασφάλεια στον κυβερνοχώρο.

Σε απάντηση στην πρόκληση για την ασφάλεια στον κυβερνοχώρο, ο ΙΜΟ ( International Maritime Organization ) που αποτελεί την παγκόσμια αρχή καθορισμού προτύπων για την ασφάλεια και τις περιβαλλοντικές επιδόσεις της διεθνούς ναυτιλίας, ενέκρινε στις 16 Ιουνίου 2017 το ψήφισμα MSC.428 (98) – Διαχείριση Διακινδύνευσης στον Κυβερνοχώρο στα Συστήματα Διαχείρισης Ασφάλειας για τη Ναυτιλία (Maritime Cyber Risk Management in Safety Management Systems) ως μέρος του υποχρεωτικού κανονιστικού πλαισίου για τη ναυτιλιακή βιομηχανία. Το ψήφισμα  IMO Resolution MSC.428(98) συμπληρώνεται με τις οδηγίες του IMO για τη διαχείριση της διακινδύνευσης στον κυβερνοχώρο IMO Guidelines on Maritime Cyber Risk Management  MSC-FAL.1/Circ.3  και τέθηκε σε πλήρη ισχύ την 1η Ιανουαρίου 2021 ως μέρος του υποχρεωτικού Διεθνούς Κώδικα Διαχείρισης Ασφάλειας – International Safety Management Code (Resolution A.741(18)).

Τόσο το IMO Resolution MCS.428 (98) όσο και το IMO Guidelines MSC-FAL.1 / Circ.3 λαμβάνουν σαφή θέση προτείνοντας μια  «προσέγγιση διαχείρισης της διακινδύνευσης για τους κινδύνους στον κυβερνοχώρο η οποία να είναι ανθεκτική και να εξελίσσεται ως φυσική επέκταση των υπαρχόντων διαχειριστικών πρακτικών  ασφάλειας» (MSC-FAL.1 / Circ.3, §2.1.8.). Επιπλέον, αναγνωρίζονται (χωρίς να περιορίζονται σε αυτές) ως βέλτιστες πρακτικές για την εφαρμογή της διαχείρισης διακινδύνευσης στον κυβερνοχώρο οι κάτωθι :

  • Guidelines on Cyber Security Onboard Ships : Οι κατευθυντήριες γραμμές Κυβερνο-ασφάλειας για τα πλοία που έχουν συγγραφεί και υποστηρίζονται από τους διεθνής εμβέλειας οργανισμούς της ναυτιλίας BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF και IUMI.
  • ISO/IEC 27001 : Το Πρότυπο ISO / IEC 27001 σχετικά με την Πληροφορική – Τεχνικές ασφάλειας – Συστήματα διαχείρισης ασφάλειας πληροφοριών – Απαιτήσεις. Δημοσιεύθηκε από κοινού από τον Διεθνή Οργανισμό Τυποποίησης (ISO) και τη Διεθνή Ηλεκτροτεχνική Επιτροπή (IEC).
  • NIST Framework : Πλαίσιο του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών για τη Βελτίωση της Υποδομής Κυβερνο-ασφάλειας.

Όπως υποδεικνύει ο τίτλος της έκδοσης του BIMCO, τα  Guidelines on Cyber Security Onboard Ships” (GCSOS) παρέχουν μια σειρά από οδηγίες κυβερνο-ασφάλειας για χρήση από τα πλοία ώστε αυτά να ανταποκρίνονται και να προστατεύονται από τους κινδύνους του κυβερνοχώρου. Συγκεκριμένα, το κύριο σώμα των κατευθυντήριων γραμμών παρέχει τις οδηγίες για την εφαρμογή των ελέγχων προστασίας στον κυβερνοχώρο. Το παράρτημα 1 των κατευθυντήριων γραμμών αναγνωρίζει και απαριθμεί μια σύνοψη των συστημάτων, του εξοπλισμού, των τεχνολογιών και των δεδομένων επί του πλοίου που θα μπορούσαν ενδεχομένως να είναι ευάλωτα σε κινδύνους στον κυβερνοχώρο. Το Παράρτημα 2 των κατευθυντήριων γραμμών παρέχει τα ελάχιστα μέτρα που πρέπει όλες οι εταιρείες να εξετάσουν να εφαρμόζουν,  προκειμένου να αντιμετωπίσουν τη διαχείριση της διακινδύνευσης στον κυβερνοχώρο εντός του εγκεκριμένου Συστήματος Διαχείρισης Ασφάλειας (Κώδικας ISM) και το Παράρτημα 3 παρέχει οδηγίες για τα εν πλω δίκτυα των πλοίων.

Η σύγκριση συμβατότητας που πραγματοποίησε η ISONIKE αντιπαραθέτοντας τις παραγράφους των Guidelines on Cyber Security Onboard Ships της BIMCO με τις παραγράφους του ISO / IEC 27002 Τεχνολογία πληροφοριών – Τεχνικές Ασφαλείας – Κώδικας Πρακτικής για τους Ελέγχους Ασφαλείας Πληροφοριών εντόπισε ορισμένες διαφορές μεταξύ των δύο πλαισίων που περιγράφονται σε αυτά.

Οι βασικές διαφορές που εντοπίστηκαν μεταξύ των πλαισίων εμπίπτουν στους ακόλουθους κύριους τομείς:

  • Το ISO / IEC 27002 σχετίζεται άμεσα με το ISO / IEC 27001. Το πρώτο παρέχει έναν κώδικα πρακτικής για το δεύτερο. Αλλά το πιο σημαντικό είναι ότι το δεύτερο παρέχει τις Απαιτήσεις για τα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών για τη Πιστοποίηση Οργανισμών σε Διαπιστευμένα Σχήματα κατα ISO / IEC 27001. Τα Guidelines on Cyber Security Onboard Shipsτης BIMCO δεν σχετίζονται με κανένα διαπιστευμένο σχήμα πιστοποίησης.
  • Τα Guidelines on Cyber Security Onboard Ships ακολουθούν μια εξιδεικευμένη προσέγγιση που εστιάζει στη ναυτιλιακή βιομηχανία και ορολογία (π.χ. παροχή καθοδήγησης για τις σχέσεις: μεταξύ του διαχειριστή και του πλοιοκτήτη, μεταξύ του πλοιοκτήτη και του πράκτορα κ.λπ.) ενώ το ISO / IEC 27002 ακολουθεί μια γενική προσέγγιση η οποία έχει εφαρμογή σε όλους του κλάδους (π.χ. εξετάζοντας τις σχέσεις με τα τρίτα μέρη γενικά – επιτρέποντας στον κάθε οργανισμό να τις καθορίσει)
  • Το ISO / IEC 27002 περιλαμβάνει συγκεκριμένους στόχους ελέγχου (όπως για την Ασφάλεια Ανθρώπινου Δυναμικού, υποχρεωτικές Πολιτικές Ασφάλειας, Διαβάθμιση κλπ) με πιο σαφή τρόπο.
  • Τα Guidelines on Cyber Security Onboard Ships εξετάζουν την επιχειρησιακή τεχνολογία αυτοματισμών (Operational Technology (OT)) (π.χ. ISA / IEC 62443) με πιο άμεσο τρόπο, ενώ το ISO / IEC 27002 εστιάζει περισσότερο στη τεχνολογία πληροφορικής και τηλεπικοινωνιών (Information & Communication Technology (ICT)) – εξετάζοντας το OT έμμεσα.
  • Τα Guidelines on Cyber Security Onboard Ships εφαρμόζεται με άμεσο τροπο σε πλοία (τα οποία με τη σειρά τους μπορούν να θεωρηθούν ως “λειτουργικές οντότητες”). Οποιαδήποτε εφαρμογή σε άλλους ενδιαφερόμενους (π.χ. διαχειρίστρια εταιρεία) είναι έμμεση. Το ISO / IEC 27002 εφαρμόζεται και στον οργανισμό και σε όλες τις “λειτουργικές οντότητες» ή τοποθεσίες του.
  • Τα “Guidelines on Cyber Security Onboard Ships” βασίζονται στο Το ISO / IEC 27002 πλαισιώνεται από μια μεθοδολογία Αξιολόγησης Διακινδύνευσης της ίδιας οικογένειας προτύπων (ISO 27005) – όμως παραμένει ανοιχτό σε οποιαδήποτε άλλη μεθοδολογία εκτίμησης διακινδύνευσης (π.χ. CRAMM, Mehari, NIST, STORM, ISO 31000 κ.λπ.).

Τα τρία σημαντικά ευρήματα που εντοπίζονται από το IMO Resolution MSC.428 (98) σε συνδυασμό με τη  μελέτη σύγκρισης της συμβατότητας μεταξύ των πλαισίων που θέτουν τα Guidelines on Cyber Security Onboard Ships και το ISO / IEC 27002  είναι τα ακόλουθα:

  1. Τα δύο πλαίσια έχουν ένα αξιοσημείωτο «κοινό έδαφος» και είναι συμβατά σε σημαντικό βαθμό. Ωστόσο, υπάρχουν ορισμένοι τεχνικοί τομείς όπου αλληλοσυμπληρώνονται. Επομένως, η ένταξη και εφαρμογή ενός συνεκτικού μοντέλου είναι προς όφελος της ναυτιλιακής βιομηχανίας.
  2. Παρόλο που η προσέγγιση διαχείρισης της διακινδύνευσης συνιστάται ιδιαίτερα στη ναυτιλιακή βιομηχανία, το σχετικό κανονιστικό πλαίσιο της ναυτιλίας δεν απαιτεί καμία διαπιστευμένη αξιολόγηση ή πιστοποίηση από ανεξάρτητους φορείς σε θέματα ασφάλειας και προστασίας στον κυβερνοχώρο. Η τρέχουσα υποχρεωτική απαίτηση είναι πρακτικά η ύπαρξη στα πλοία ενός «αυτόνομου» Εγχειρίδιου Κυβερνο-Ασφάλειας (χωρίς να προβλέπεται πιστοποίηση ή έγκριση από κάποιο φορέα ή αρχή) ή για ένα Ολοκληρωμένο Εγχειρίδιο Συστήματος Διαχείρισης Ασφάλειας που να ενσωματώνει τις προβλεπόμενες απαιτήσεις για την κυβερνο-ασφάλεια στα πλοία.
  3. Με την αναγνώριση και συμπερίληψη του ISO\IEC 27001 (το οποίο είναι πρότυπο διαπιστευμένων σχημάτων πιστοποίησης) στις βέλτιστες πρακτικές του MSC-FAL.1 / Circ.3 μπορεί να υποστηριχθεί ότι εμμέσως ενθαρρύνεται η διαπιστευμένη πιστοποίηση κατα ISO\IEC 27001. Όμως, παραμένει καθαρά σε εθελοντική βάση.

Από μια παράλληλη οπτική, οι κανονισμοί της ΕΕ όπως ο κανονισμός GDPR και η οδηγία NIS Directive  έχουν σημαντικό αντίκτυπο στη ναυτιλιακή βιομηχανία. Ο πρώτος επειδή η ναυτιλιακή βιομηχανία χρησιμοποιεί Προσωπικά Δεδομένα και Πληροφορίες Απορρήτου επιβατών, πληρώματος και επισκεπτών.  Η δεύτερη επειδή οι θαλάσσιες μεταφορές είναι ένας τομέας που εμπίπτει στις διατάξεις της οδηγίας NIS και, ως εκ τούτου, ορισμένες ναυτιλιακές εταιρείες ενδέχεται να έχουν αναγνωριστεί ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (OES). Παράλληλα, ορισμένα κράτη μέσω των Κρατικών Αρχών Ελέγχου Λιμένων (Port State Control) έχουν ήδη αρχίσει να διενεργούν αυστηρούς ελέγχους και να επιβάλλουν αυστηρά μέτρα ελέγχου προκειμένου να διασφαλιστεί ότι η διαχείριση κινδύνων στον κυβερνοχώρο αντιμετωπίζεται και εφαρμόζεται σωστά στο πλαίσιο ως μέρος του συστήματος διαχείρισης της ασφάλειας (π.χ. βλ. BIMCO News). Όλες οι Κρατικές Αρχές Ελέγχου Λιμένων αναμένεται να ακολουθήσουν πολύ σύντομα την εντατικοποίηση των ελέγχων στο ίδιο επίπεδο.

Το κανονιστικό πλαίσιο για τη ναυτιλία και την ΕΕ που περιγράφεται παραπάνω μαζί με τα αναδυόμενα πρότυπα που εφαρμόζονται στις βιομηχανίες για την προστασία από κινδύνους του κυβερνοχώρου και την επιχειρησιακή συνέχεια, θεωρούνται ως μια «de facto» αναγκαιότητα ώστε οι ναυτιλιακές εταιρείες να εφαρμόζουν συστήματα διαχείρισης που συμμορφώνονται με τα διεθνή πρότυπα όπως το ISO / IEC 27001: 2013 (Συστήματα διαχείρισης ασφάλειας πληροφοριών) και ISO 22301: 2019 (Συστήματα διαχείρισης επιχειρησιακής συνέχειας).

Ένα μοντέλο το οποίο συνδυάζει την Υλοποίηση των προαναφερθέντων πλαισίων συστήματος διαχείρισης μαζί με την αξιολόγηση από ειδικούς στον τομέα της κυβερνο-ασφάλειας και διαπιστευμένη πιστοποίηση κατά ISO / IEC 27001: 2013 μπορεί να προσφέρει σημαντική αξία στη ναυτιλιακή βιομηχανία.

Τα κύρια (αλλά χωρίς να περιορίζονται σε αυτά) οφέλη αυτού του μοντέλου είναι:

  • Μια ολιστική προσέγγιση στη Διαχείριση Διακινδύνευσης στη ναυτιλία, η οποία όχι μόνο ευθυγραμμίζεται πλήρως με το Resolution428 (98) του ΙΜΟ, αλλά εξυπηρετεί και συμβάλλει ζωτικά στην προστασία από συμβάντα και παραβιάσεις κυβερνο-ασφάλειας – ως εκ τούτου στη διατήρηση της ασφάλειας, του περιβάλλοντος και των εμπορικών πτυχών στη ναυτιλία.
  • Βελτίωση της εμπιστοσύνης των ενδιαφερόμενων μερών (stakeholders) της ναυτιλιακής βιομηχανίας (κράτη, λιμενικές αρχές, ασφαλιστικές εταιρείες, P&I, πετρελαϊκές, ναυλωτές, μεταφορείς φορτίου κ.λπ.).
  • Μοντέλο που βασίζεται στη «Πρόληψη» και όχι στη «Διόρθωση». (Αξίζει να σημειωθεί η αρχή που αναφέρει ότι το κόστος Διόρθωσης είναι τις περισσότερες φορές πολύ υψηλότερο από εκείνο της Πρόληψης)
  • Μείωση του κινδύνου εντοπισμού ελλείψεων (ακόμη και κρατήσεων – ‘detentions’ ) στα μέτρα κυβερνο-ασφάλειας κατά τη διάρκεια επιθεωρήσεων ελέγχου από Κρατικές Αρχές Ελέγχου Λιμένων (PSCs).
  • Έχει θετική επίδραση στα θέματα συμμόρφωσης και κατά συνέπεια μειώνει τον κίνδυνο προστίμων.
  • Μπορεί να μειώσει τα κόστη ασφάλισης λόγω μείωσης της διακινδύνευσης από κινδύνους του κυβερνοχώρου.
  • Έχει πολύ θετική επίδραση στην εικόνα και τη φήμη.
  • Παρέχει ένα ανταγωνιστικό πλεονέκτημα στους πρωτοπόρους που το υιοθετούν αποτελεσματικά

Η Ναυτιλία είναι μια βιομηχανία που υπόκεινται σε ένα αυστηρό κανονιστικό πλαίσιο. Η πρόκληση του μοντέλου που περιγράφεται παραπάνω είναι να μην αντιμετωπιστεί ως απόπειρα «προσθήκης» περισσότερων κανονιστικών απαιτήσεων σε μια βιομηχανία που έχει ήδη πολλές. Επομένως, είναι σημαντικό η προσέγγιση αυτή να διατηρήσει την εθελοντική της φύση προς το παρόν, για εκείνους τους οργανισμούς που επιθυμούν να είναι από τους πρωτοπόρους για την εφαρμογή του μοντέλου. Ωστόσο, η πρόοδος της τεχνολογίας φέρνει αξιοσημείωτα νέα οφέλη για τις επιχειρήσεις και τις κοινωνίες. Αλλά αυτά τα οφέλη εισάγουν νέες ευθύνες. Έτσι, η πρόβλεψη είναι ότι ένα τέτοιο μοντέλο θα αποτελεί κανόνα στο εγγύς μέλλον.

Δεν πρέπει να ξεχνάμε ότι… τα καλύτερα πρότυπα σημαίνουν καλύτερη και ασφαλέστερη ζωή για όλους!

Σημείωση:

Η σύγκριση της συμβατότητας που πραγματοποίησε η ISONIKE αντιπαραθέτοντας τις παραγράφους των Guidelines on Cyber Security Onboard Ships της BIMCO με τις παραγράφους του ISO / IEC 27002 Τεχνολογία πληροφοριών – Τεχνικές Ασφαλείας – Κώδικας Πρακτικής για τους Ελέγχους Ασφαλείας Πληροφοριών , είναι διαθέσιμη κατόπιν αιτήματος. Τα ενδιαφερόμενα μέρη μπορούν να υποβάλουν το αίτημά τους για δωρεάν αντίγραφο μέσω email στο info[at]isonike[dot]com