• Login
  • Προφίλ
  • Συνδρομές
  • Διαφήμιση
    • Περιοδικό
    • NewsLetter
    • Site
  • Newsletter
  • Επικοινωνία
    • Τομέας Σύνταξης
    • Τομέας Διαφήμισης
    • Τομέας Συνδρομών
facebook
linkedin
youtube
  • ΑΡΧΙΚΗ
  • Articles
    • COVER ISSUE
    • ISSUE
    • PRACTICAL
    • REFERENCE
    • LAW
  • IT NEWS
  • SECURITY NEWS
  • BUSINESS IT
  • EVENTS
    • Συνέδρια
  • INTERVIEWS
  • REPORTS
  • ONLINE ΤΕΥΧΗ
    • IT Security Pro
    • Business IT

Maritime Cyber Security Compliance Framework

Posted On 27 Δεκ 2021
Tag: ICT protect, it issue 72, maritime cyber security

 Η κυβερνοασφάλεια αποτελεί μια κρίσιμη πτυχή της ομαλής λειτουργίας των εμπορικών πλοίων και κατ’ επέκταση της επιχειρησιακής συνέχειας των ναυτιλιακών εταιριών.

 

Δρ. Θεόδωρος Ντούσκας

Managing Director
 ICT PROTECT – www.ictprotect.com

 

 

 

 

Τα σύγχρονα εμπορικά πλοία χαρακτηρίζονται ως “Πλωτά Ψηφιακά Γραφεία” καθώς φιλοξενούν και αλληλοεπιδρούν με πολύπλοκα, ετερογενή Πληροφοριακά Συστήματα και εξαρτώνται από πολλούς παρόχους (π.χ. παρόχους εξοπλισμού πλοήγησης, παρόχους cloud υπηρεσιών, παρόχους τηλεπικοινωνιών κ.λπ.).Τα πληροφοριακά συστήματα των εμπορικών πλοίων δύναται να είναι εκτεθειμένα σε πολλαπλές απειλές και ευπάθειες στον κυβερνοχώρο και οποιαδήποτε διακοπή ή δυσλειτουργία των κρίσιμων συστημάτων του πλοίου (π.χ. συστήματα πλοήγησης ή/ και ΟΤ συστήματα) θα έχει σημαντική επίπτωση στην επικοινωνία γραφείου-πλοίου ή στην ομαλή πλοήγηση του πλοίου ή ακόμη και στην ακεραιότητα του εμπορεύματος. Η κυβερνοασφάλεια αποτελεί λοιπόν μια κρίσιμη πτυχή της ομαλής λειτουργίας των εμπορικών πλοίων και κατ’ επέκταση της επιχειρησιακής συνέχειας των ναυτιλιακών εταιριών.

Ταυτόχρονα, τα εμπορικά πλοία παίζουν αποφασιστικό ρόλο στο Ναυτιλιακό Περιβάλλον, αλληλοεπιδρώντας με πολλές οντότητες όπως Ναυτιλιακές Εταιρείες, Πλήρωμα, Κατασκευαστές Πλοίων, Λιμενικές Αρχές, Επιθεωρητές / Νηογνώμονες, Ιδιοκτήτες Φορτίου, Ναυτιλιακά Μητρώα, Ναυλωτές και Πάροχοι Τηλεπικοινωνιών, και οποιαδήποτε υποβάθμιση, διακοπή ή βλάβη των Πληροφοριακών τους Συστημάτων θα έχει σοβαρές συνέπειες στη σωστή λειτουργία του πλοίου και στις δραστηριότητες των αλληλοεπιδρώντων οντοτήτων, καθιστώντας τη διαχείριση της ασφάλειας ένα από τα πιο σημαντικά ζητήματα. Προκειμένου να βελτιωθεί η ασφάλεια και να αποφευχθούν τέτοια περιστατικά, υπάρχουν αρκετές κατευθυντήριες γραμμές και βέλτιστες πρακτικές που πρέπει να ακολουθούνται, όπως το ΙΜΟ: MCS-FAL.1-Circ.3 «Guidelines on Maritime Cyber Risk Management», το «OCIMF: Tanker Management Self-Assessment v3» και το «BIMCO: Guidelines on Cyber Security Onboard Ships v4».

Επιπλέον, καθοριστικό ρόλο για την ασφάλεια των Πληροφοριακών Συστημάτων των Πλοίων διαδραματίζουν και οι νηογνώμονες, διεθνείς οργανισμοί όπως οι Lloyd’s Register, DNV και Bureau Veritas, οι οποίοι έχουν αναπτύξει κατευθυντήριες γραμμές και παρέχουν τεχνική καθοδήγηση προκειμένου οι ναυτιλιακοί οργανισμοί να παραμένουν ασφαλείς και να συμμορφώνονται με τους παραπάνω κανονισμούς και βέλτιστες πρακτικές, μειώνοντας τον κίνδυνο των απειλών στον κυβερνοχώρο. Οι νηογνώμονες θέτουν τους τεχνικούς κανόνες βάσει εμπειρίας και βέλτιστων πρακτικών, και έχουν τη δυνατότητα να επιθεωρούν σε τακτά χρονικά διαστήματα τα πλοία και να εκδίδουν πιστοποιητικά προκειμένου να διασφαλιστεί η συμμόρφωση με τις κανονιστικές απαιτήσεις.

Εκτός από τις απαιτήσεις κυβερνοασφάλειας, διεθνείς οργανισμοί όπως οι ENISA, UK DfT και IAPH έχουν δημοσιεύσει πρόσθετες απαιτήσεις και βέλτιστες πρακτικές σχετικά με τα Πληροφοριακά Συστήματα των λιμένων, καθώς αλληλοεπιδρούν συνεχώς με πλοία και τα συστήματά τους είναι επίσης ευάλωτα σε πιθανές κυβερνοεπιθέσεις.

Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα και κανονισμούς όπως NIST CSF, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 22301, SOC 2, GDPR, CCPA κ.λπ., και ο πιο αποτελεσματικός τρόπος συμμόρφωσης με αυτές τις πολύπλοκες απαιτήσεις είναι η υιοθέτηση ενός Πλαισίου Συμμόρφωσης Κυβερνοασφάλειας προκειμένου να αξιολογείται και να βελτιώνεται συνεχώς το επίπεδο ασφάλειας των Πληροφοριακών Συστημάτων των Πλοίων και των Εμπορικών Λιμένων.

Η προτεινόμενη μεθοδολογία συμμόρφωσης της ICT PROTECT για τη Διαχείριση Επικινδυνότητας στη Ναυτιλία προέρχεται από τα διεθνή πρότυπα, τους κανονισμούς και τις βέλτιστες πρακτικές που αναφέρονται παραπάνω και αποτελείται από οκτώ φάσεις, όπως απεικονίζονται στην εικόνα 1.

εικόνα 1

Μέσω του Μaritime Cyber Security Compliance Framework, τα μέλη της Ομάδας Κυβερνοασφάλειας είναι σε θέση να προσδιορίζουν όλες τις απαιτήσεις κυβερνοασφάλειας, να προσδιορίζουν τα περιουσιακά τους αγαθά (ΙΤ και ΟΤ assets), να αξιολογούν στοχευμένες απειλές και ευπάθειες, να ορίζουν στοχευμένους ελέγχους κυβερνοασφάλειας, να περιλαμβάνουν συγκεκριμένες μετρήσεις (KPIs & Metrics) και τεκμήρια ελέγχου (evidences) στις εσωτερικές επιθεωρήσεις τους και επομένως να γνωρίζουν το επίπεδο συμμόρφωσης για κάθε απαίτηση.

Στην ICT PROTECT έχουμε αναπτύξει το Cyber Security Compliance Framework και το χρησιμοποιούμε με επιτυχία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης των πελατών μας (συμπεριλαμβανομένου του ναυτιλιακού τομέα). Το εργαλείο STORM GRC προσφέρει μια δέσμη στοχευμένων υπηρεσιών στους τελικούς χρήστες, προκειμένου να τους καθοδηγήσει να διαχειρίζονται με ασφάλεια τα Πληροφοριακά Συστήματα και να δημιουργούν όλα τα υποχρεωτικά έγγραφα και αποδεικτικά στοιχεία που απαιτούνται από το ISO 27001:2013 και τις ειδικές απαιτήσεις της βιομηχανίας για την ασφάλεια στον κυβερνοχώρο (όπως ΙMO, BIMCO, TMSA, κ.λπ.).

Στην εικόνα αποτυπώνεται ενδεικτικά η μοντελοποίηση βασικών συστημάτων και υπηρεσιών των εμπορικών πλοίων όπου μέσω του STORM GRC υπάρχει η δυνατότητα χαρτογράφησης των OT και IT assets, αναγνώρισης απειλών και η επιλογής προτεινόμενων μέτρων (βάσει NIST CSF, ISO 27002) για όλα τα OT και IT assets.

Εικόνα 2

Εν κατακλείδι, με την ταχεία ανάπτυξη και υιοθέτηση της τεχνολογίας στον τομέα της ναυτιλίας, τα Πληροφοριακά Συστήματα των Πλοίων εκτίθενται ολοένα και περισσότερο σε κινδύνους στον κυβερνοχώρο. Αυτοί οι κίνδυνοι στον κυβερνοχώρο θα μπορούσαν να εκδηλωθούν είτε από δορυφορικά δίκτυα (Satellite networks) είτε από παραδοσιακά κανάλια επικοινωνίας (traditional communication channels) και θα μπορούσαν να έχουν σημαντική επίπτωση σε όλες τις ναυτιλιακές οντότητες που επηρεάζουν τη διεθνή οικονομία. Θα πρέπει να υιοθετηθεί μια ολιστική και κοινή προσέγγιση (Πλαίσιο Συμμόρφωσης Κυβερνοασφάλειας) για τη διαχείριση της ασφάλειας τόσο των συστημάτων ΙΤ όσο και των συστημάτων OT, προκειμένου να παρακολουθούνται συνεχώς οι κίνδυνοι ασφάλειας και ιδιωτικότητας, να βελτιώνονται οι επιχειρησιακές διαδικασίες που βασίζονται σε ΙCT και να παρέχονται συνεχώς οι υπηρεσίες για όλες τις οντότητες του περιβάλλοντος της ναυτιλίας.


 

References:

  • IMO – MSC-FAL.1/Circ.3 – Guidelines on Maritime Cyber Risk Management, July 2017,
    • https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat).pdf
  • IMO – RESOLUTION MSC.428(98) – Maritime Cyber Risk Management in Safety Management Systems, June 2017,
    • https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/Resolution%20MSC.428(98).pdf
  • United States Coast  Guard, February 2020, Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities,
    • https://www.dco.uscg.mil/Portals/9/DCO%20Documents/5p/5ps/NVIC/2020/NVIC_01-20_CyberRisk_dtd_2020-02-26.pdf?ver=2020-03-19-071814-023
  • IACS – UK, Rec 166 – Recommendation on Cyber Resilience – New Corr.1 July 2020 Clean,
    • https://www.iacs.org.uk/publications/recommendations/161-180/rec-166-new-corr1/
  • OCIMF – TMSA3 – Tanker Management Self-Assessment, April 2017,
    • https://www.shipnet.no/key-elements-of-tmsa-3/
  • BIMCO – The Guidelines on Cyber Security Onboard Ships v4,
    •  https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships
  • BIMCO – Cyber Security Workbook for On Board Ship Use, 2nd Edition, 2021,
    • https://www.bimco.org/about-us-and-our-members/publications/cyber-security-workbook
    • BIMCO- The Guidelines on Cyber Security Onboard Ships
    • https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships
  • IMO – ISM Code, 2018 Edition,
    • https://www.dohle-yachts.com/wp-content/uploads/2021/05/ISM-Code-2018.pdf
  • ENISA – EU, Port Cybersecurity – Good practices for cybersecurity in the maritime sector, November 2019,
    • https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector
  • United Kingdom Department of Transport – Cyber Security for Ports and Port Systems, January 2020,
    • https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/859925/cyber-security-for-ports-and-port-systems-code-of-practice.pdf
  • IAPH – International Association of Ports and Harbors, Port Community Cyber Security,
    • https://sustainableworldports.org/wp-content/uploads/IAPH-Port-Community-Cyber-Security-Report-Q2-2020.pdf
    • https://sustainableworldports.org/wp-content/uploads/IAPH-Cybersecurity-Guidelines-version-1_0.pdf

 

 

  • google-share
Previous Story

Κυβερνοασφάλεια βιομηχανικών συστημάτων (OT)

Next Story

6 λόγοι για τους οποίους οι επιχειρήσεις επιλέγουν SD-WAN για τον ψηφιακό τους μετασχηματισμό

Σχετικά Άρθρα

off

Ανάγκη για Εκστρατεία Ενημέρωσης και Στρατηγικές Συνεργασίες

Posted On 27 Δεκ 2021
off

Μηχανική Εκμάθηση & Τεχνητή Νοημοσύνη στην Αντιμετώπιση Κυβερνοεπιθέσεων

Posted On 27 Δεκ 2021
off

Zero Trust – Παίρνοντας πίσω τον έλεγχο των εταιρικών πόρων

Posted On 27 Δεκ 2021

ΤΕΛΕΥΤΑΙΟ ΤΕΥΧΟΣ

Περιεχόμενα τεύχους

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

Login

 
 
Forgot Password

Business IT

ΑΡΧΕΙΟ ΠΕΡΙΟΔΙΚΩΝ

Smart Press A.E. | Μάγερ 11, 10438, Αθήνα | Τηλ.: 210 5201500, Fax: 210 5241900
Το itsecuritypro.gr χρησιμοποιεί cookies. Προχωρώντας στο περιεχόμενο, συναινείτε με την αποδοχή τους.Αποδοχή Περισσότερα
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT
Posting....