Previous Story
Maritime Cyber Security Compliance Framework
Posted On 27 Δεκ 2021
Η κυβερνοασφάλεια αποτελεί μια κρίσιμη πτυχή της ομαλής λειτουργίας των εμπορικών πλοίων και κατ’ επέκταση της επιχειρησιακής συνέχειας των ναυτιλιακών εταιριών.
Δρ. Θεόδωρος Ντούσκας
Managing Director
ICT PROTECT – www.ictprotect.com
Τα σύγχρονα εμπορικά πλοία χαρακτηρίζονται ως “Πλωτά Ψηφιακά Γραφεία” καθώς φιλοξενούν και αλληλοεπιδρούν με πολύπλοκα, ετερογενή Πληροφοριακά Συστήματα και εξαρτώνται από πολλούς παρόχους (π.χ. παρόχους εξοπλισμού πλοήγησης, παρόχους cloud υπηρεσιών, παρόχους τηλεπικοινωνιών κ.λπ.).Τα πληροφοριακά συστήματα των εμπορικών πλοίων δύναται να είναι εκτεθειμένα σε πολλαπλές απειλές και ευπάθειες στον κυβερνοχώρο και οποιαδήποτε διακοπή ή δυσλειτουργία των κρίσιμων συστημάτων του πλοίου (π.χ. συστήματα πλοήγησης ή/ και ΟΤ συστήματα) θα έχει σημαντική επίπτωση στην επικοινωνία γραφείου-πλοίου ή στην ομαλή πλοήγηση του πλοίου ή ακόμη και στην ακεραιότητα του εμπορεύματος. Η κυβερνοασφάλεια αποτελεί λοιπόν μια κρίσιμη πτυχή της ομαλής λειτουργίας των εμπορικών πλοίων και κατ’ επέκταση της επιχειρησιακής συνέχειας των ναυτιλιακών εταιριών.
Ταυτόχρονα, τα εμπορικά πλοία παίζουν αποφασιστικό ρόλο στο Ναυτιλιακό Περιβάλλον, αλληλοεπιδρώντας με πολλές οντότητες όπως Ναυτιλιακές Εταιρείες, Πλήρωμα, Κατασκευαστές Πλοίων, Λιμενικές Αρχές, Επιθεωρητές / Νηογνώμονες, Ιδιοκτήτες Φορτίου, Ναυτιλιακά Μητρώα, Ναυλωτές και Πάροχοι Τηλεπικοινωνιών, και οποιαδήποτε υποβάθμιση, διακοπή ή βλάβη των Πληροφοριακών τους Συστημάτων θα έχει σοβαρές συνέπειες στη σωστή λειτουργία του πλοίου και στις δραστηριότητες των αλληλοεπιδρώντων οντοτήτων, καθιστώντας τη διαχείριση της ασφάλειας ένα από τα πιο σημαντικά ζητήματα. Προκειμένου να βελτιωθεί η ασφάλεια και να αποφευχθούν τέτοια περιστατικά, υπάρχουν αρκετές κατευθυντήριες γραμμές και βέλτιστες πρακτικές που πρέπει να ακολουθούνται, όπως το ΙΜΟ: MCS-FAL.1-Circ.3 «Guidelines on Maritime Cyber Risk Management», το «OCIMF: Tanker Management Self-Assessment v3» και το «BIMCO: Guidelines on Cyber Security Onboard Ships v4».
Επιπλέον, καθοριστικό ρόλο για την ασφάλεια των Πληροφοριακών Συστημάτων των Πλοίων διαδραματίζουν και οι νηογνώμονες, διεθνείς οργανισμοί όπως οι Lloyd’s Register, DNV και Bureau Veritas, οι οποίοι έχουν αναπτύξει κατευθυντήριες γραμμές και παρέχουν τεχνική καθοδήγηση προκειμένου οι ναυτιλιακοί οργανισμοί να παραμένουν ασφαλείς και να συμμορφώνονται με τους παραπάνω κανονισμούς και βέλτιστες πρακτικές, μειώνοντας τον κίνδυνο των απειλών στον κυβερνοχώρο. Οι νηογνώμονες θέτουν τους τεχνικούς κανόνες βάσει εμπειρίας και βέλτιστων πρακτικών, και έχουν τη δυνατότητα να επιθεωρούν σε τακτά χρονικά διαστήματα τα πλοία και να εκδίδουν πιστοποιητικά προκειμένου να διασφαλιστεί η συμμόρφωση με τις κανονιστικές απαιτήσεις.
Εκτός από τις απαιτήσεις κυβερνοασφάλειας, διεθνείς οργανισμοί όπως οι ENISA, UK DfT και IAPH έχουν δημοσιεύσει πρόσθετες απαιτήσεις και βέλτιστες πρακτικές σχετικά με τα Πληροφοριακά Συστήματα των λιμένων, καθώς αλληλοεπιδρούν συνεχώς με πλοία και τα συστήματά τους είναι επίσης ευάλωτα σε πιθανές κυβερνοεπιθέσεις.
Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα και κανονισμούς όπως NIST CSF, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 22301, SOC 2, GDPR, CCPA κ.λπ., και ο πιο αποτελεσματικός τρόπος συμμόρφωσης με αυτές τις πολύπλοκες απαιτήσεις είναι η υιοθέτηση ενός Πλαισίου Συμμόρφωσης Κυβερνοασφάλειας προκειμένου να αξιολογείται και να βελτιώνεται συνεχώς το επίπεδο ασφάλειας των Πληροφοριακών Συστημάτων των Πλοίων και των Εμπορικών Λιμένων.
Η προτεινόμενη μεθοδολογία συμμόρφωσης της ICT PROTECT για τη Διαχείριση Επικινδυνότητας στη Ναυτιλία προέρχεται από τα διεθνή πρότυπα, τους κανονισμούς και τις βέλτιστες πρακτικές που αναφέρονται παραπάνω και αποτελείται από οκτώ φάσεις, όπως απεικονίζονται στην εικόνα 1.
εικόνα 1
Μέσω του Μaritime Cyber Security Compliance Framework, τα μέλη της Ομάδας Κυβερνοασφάλειας είναι σε θέση να προσδιορίζουν όλες τις απαιτήσεις κυβερνοασφάλειας, να προσδιορίζουν τα περιουσιακά τους αγαθά (ΙΤ και ΟΤ assets), να αξιολογούν στοχευμένες απειλές και ευπάθειες, να ορίζουν στοχευμένους ελέγχους κυβερνοασφάλειας, να περιλαμβάνουν συγκεκριμένες μετρήσεις (KPIs & Metrics) και τεκμήρια ελέγχου (evidences) στις εσωτερικές επιθεωρήσεις τους και επομένως να γνωρίζουν το επίπεδο συμμόρφωσης για κάθε απαίτηση.
Στην ICT PROTECT έχουμε αναπτύξει το Cyber Security Compliance Framework και το χρησιμοποιούμε με επιτυχία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης των πελατών μας (συμπεριλαμβανομένου του ναυτιλιακού τομέα). Το εργαλείο STORM GRC προσφέρει μια δέσμη στοχευμένων υπηρεσιών στους τελικούς χρήστες, προκειμένου να τους καθοδηγήσει να διαχειρίζονται με ασφάλεια τα Πληροφοριακά Συστήματα και να δημιουργούν όλα τα υποχρεωτικά έγγραφα και αποδεικτικά στοιχεία που απαιτούνται από το ISO 27001:2013 και τις ειδικές απαιτήσεις της βιομηχανίας για την ασφάλεια στον κυβερνοχώρο (όπως ΙMO, BIMCO, TMSA, κ.λπ.).
Στην εικόνα αποτυπώνεται ενδεικτικά η μοντελοποίηση βασικών συστημάτων και υπηρεσιών των εμπορικών πλοίων όπου μέσω του STORM GRC υπάρχει η δυνατότητα χαρτογράφησης των OT και IT assets, αναγνώρισης απειλών και η επιλογής προτεινόμενων μέτρων (βάσει NIST CSF, ISO 27002) για όλα τα OT και IT assets.
Εικόνα 2
Εν κατακλείδι, με την ταχεία ανάπτυξη και υιοθέτηση της τεχνολογίας στον τομέα της ναυτιλίας, τα Πληροφοριακά Συστήματα των Πλοίων εκτίθενται ολοένα και περισσότερο σε κινδύνους στον κυβερνοχώρο. Αυτοί οι κίνδυνοι στον κυβερνοχώρο θα μπορούσαν να εκδηλωθούν είτε από δορυφορικά δίκτυα (Satellite networks) είτε από παραδοσιακά κανάλια επικοινωνίας (traditional communication channels) και θα μπορούσαν να έχουν σημαντική επίπτωση σε όλες τις ναυτιλιακές οντότητες που επηρεάζουν τη διεθνή οικονομία. Θα πρέπει να υιοθετηθεί μια ολιστική και κοινή προσέγγιση (Πλαίσιο Συμμόρφωσης Κυβερνοασφάλειας) για τη διαχείριση της ασφάλειας τόσο των συστημάτων ΙΤ όσο και των συστημάτων OT, προκειμένου να παρακολουθούνται συνεχώς οι κίνδυνοι ασφάλειας και ιδιωτικότητας, να βελτιώνονται οι επιχειρησιακές διαδικασίες που βασίζονται σε ΙCT και να παρέχονται συνεχώς οι υπηρεσίες για όλες τις οντότητες του περιβάλλοντος της ναυτιλίας.
References:
- IMO – MSC-FAL.1/Circ.3 – Guidelines on Maritime Cyber Risk Management, July 2017,
- IMO – RESOLUTION MSC.428(98) – Maritime Cyber Risk Management in Safety Management Systems, June 2017,
- United States Coast Guard, February 2020, Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities,
- IACS – UK, Rec 166 – Recommendation on Cyber Resilience – New Corr.1 July 2020 Clean,
- OCIMF – TMSA3 – Tanker Management Self-Assessment, April 2017,
- BIMCO – The Guidelines on Cyber Security Onboard Ships v4,
- BIMCO – Cyber Security Workbook for On Board Ship Use, 2nd Edition, 2021,
- https://www.bimco.org/about-us-and-our-members/publications/cyber-security-workbook
- BIMCO- The Guidelines on Cyber Security Onboard Ships
- https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships
- IMO – ISM Code, 2018 Edition,
- ENISA – EU, Port Cybersecurity – Good practices for cybersecurity in the maritime sector, November 2019,
- United Kingdom Department of Transport – Cyber Security for Ports and Port Systems, January 2020,
- IAPH – International Association of Ports and Harbors, Port Community Cyber Security,
