Crontab Cyber: Νέα υπηρεσία CyberYacht

Crontab Cyber: Νέα υπηρεσία CyberYacht

86
Crontab Cyber: Νέα υπηρεσία CyberYacht

Το ψήφισμα του ΙΜΟ, MSC428 (98), ζητά από τις ναυτιλιακές εταιρείες με σκάφη άνω των 500 GT να αναπτύξουν αρχικά ένα εγχειρίδιο/πλάνο κυβερνοασφάλειας το οποίο θα πρέπει να ενσωματωθεί στο ετήσιο SMS Doc, το αργότερο μέχρι την ημερομηνία του πρώτου ετήσιου ελέγχου εγγράφου συμμόρφωσης (SMS Doc) μετά τις αρχές του 2021. H οδηγία αυτή έδωσε στη ναυτιλιακή βιομηχανία την πεποίθηση ότι η επιβολή του κανονισμού θα εφαρμοζόταν «αργά» λόγω της γενικής της σύνταξης αλλά και απαίτησης.

Ωστόσο, η Bimco στις 23/12/2020 προετοίμασε λίγο τον χώρο της ναυτιλίας αναπτύσσοντας με τεχνική μεθοδολογία την νέα αναγκαιότητα για μία ολοκληρωμένη & τεκμηριωμένη συμμόρφωση, με την κοινοποίηση της τέταρτης έκδοσης του εγγράφου The Guidelines on Cyber Security onboard Ships – Version 4 αναλύοντας όλες τις παραμετροποιήσεις που θα πρέπει να γίνονται κατά την ενσωμάτωση του εγχειριδίου/πλάνου (Cyber Manual) στο ετήσιο SMS Doc.

contab 1

Παράλληλα η αμερικανική ακτοφυλακή (USCG) δήλωσε ρητά ότι στις περιπτώσεις όπου θα είναι ελλιπή τα στοιχεία του Cyber Risk Management συστήματος του ιδιοκτήτη ή διαχειριστή σε ένα έκτακτο έλεγχο κυβερνοασφάλειας του πλοίου ή σκάφους στον λιμένα, ο εξουσιοδοτημένος επιθεωρητής PI (Port Inspection) του λιμένα, θα έχει την εξουσία εκτός από το να ελέγξει ad hoc τα πλοία/σκάφη σχετικά με τα πρωτόκολλα ασφάλειας τους στον κυβερνοχώρο από την 1η Ιανουαρίου 2021, να επιβάλλει ακόμα και την κράτηση του πλοίου/σκάφους με Deficiencies 17 ή 30.

Τι σημαίνει αυτό στην πράξη;

Αν και αυτό ακούγεται σχετικά ανησυχητικό, στην πραγματικότητα η επιβολή κυρώσεων θα ισχύει μόνο για πλοία/σκάφη με SMS Doc που διαπιστώνεται ότι δεν έχει επαρκές ή καθόλου σχέδιο ασφάλειας στον κυβερνοχώρο.

Τα πλοία/σκάφη με SMS Doc που λήγουν αργότερα μέσα στο έτος είναι πιθανό να εκδοθούν με προειδοποίηση, σύμφωνα με την ομάδα της Crontab. «Για αυτά τα σκάφη, αναμένουμε από την επιβολή να λέει” βεβαιωθείτε ότι έχετε εφαρμόσει το σχέδιο ασφάλειας στον κυβερνοχώρο έως την ημερομηνία λήξης του SMS DOC».

Παρ ‘όλα αυτά, η Crontab αναμένει κάποια σκάφη με ανεπαρκή σχέδια να γίνουν «αποδιοπομπαίοι τράγοι».

«Περιμένουμε ορισμένα σχέδια να είναι ανεπαρκή», εξηγεί. Ορίζει ένα ανεπαρκές σχέδιο ως σχέδιο που θα αγγίζει μόνο τις «βασικές» παραβιάσεις, όπως την εκπαίδευση του πληρώματος, τους κωδικούς πρόσβασης και την μετάδοση ιών μέσω USB ή μολυσμένου email.

Η πλειονότητα των σχεδίων ενσωμάτωσης της κυβερνοασφάλειας στο SMS Doc δεν θα λαμβάνει υπόψη «πράγματα που θα μπορούσαν να είναι καταστροφικά», όπως η μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση των συστημάτων πλοήγησης.

Ο τεχνικός διευθυντής της εταιρείας Crontab, Γιώργος Παπαϊωάννου, συμφωνεί ότι η βιομηχανία σκαφών αναψυχής όπως και η ποντοπόρoς ναυτιλία δεν είναι προετοιμασμένη ακόμα για τους νέους κανονισμούς. «Είμαστε σε επικοινωνία με αρκετές ναυτιλιακές εταιρείες διαχείρισης ή και ιδιοκτήτριες οι οποίες είτε είναι καχύποπτες με το Cyber, είτε βλέπουν μόνο το «παγόβουνο» έχοντας αναπτύξει δηλαδή μία γενική προσέγγιση της κυβερνοασφάλειας ως βασικό πλάνο συμμόρφωσης, χωρίς να διακρίνουν το πραγματικό οικονομικό & ασφαλιστικό ρίσκο που θα επιφέρει μία ενδεχόμενη κυβερνοεπίθεση», αναφέρει.

 

Τι θα πρέπει να προσέξει o ιδιοκτήτης ή ο διαχειριστής ενός Super Yacht ?

Τα Super & Mega Yachts αντιμετωπίζουν παρόμοιες κυβερνοαπειλές όπως και στα ποντοπόρα πλοία, σχετικά με την ασφάλεια στον κυβερνοχώρο, κάτι που πλέον ισχύει και σε οποιαδήποτε άλλη σύγχρονη επιχείρηση, με επιπλέον ενδεχόμενες ευπάθειες οι οποίες μπορούν να προέλθουν από τον τρόπο με τον οποίο τα συστήματα IT & OT επικοινωνούν επί του σκάφους.

Αυτό ισχύει ιδιαίτερα για τα superyachts πολλά από τα οποία υπερβαίνουν το όριο των 500gt. Οι καπετάνιοι, οι μεσίτες, οι εταιρείες διαχείρισης καθώς και οι ιδιοκτήτες εκτιμούν όλα τα οφέλη που προσφέρει ένας Cyber Security Officer.

Οι απαιτήσεις του νέου ISM Code δεν καθορίζουν λεπτομερώς τα μέτρα που πρέπει να λάβει το κάθε σκάφος και η εταιρεία σκαφών αναψυχής για να εξασφαλίσει την ασφάλεια των εγκαταστάσεων & του σκάφους έναντι επιθέσεων στον κυβερνοχώρο.

«Αυτό οφείλεται στα πολλά, διαφορετικά και ποικίλα μεγέθη, τύπους σκαφών όπως και προς την χρήση τους. Απαιτείται να δημιουργηθεί ένα τυποποιημένο πλαίσιο για την αξιολόγηση των κινδύνων το οποίο να είναι σε θέση να αντιμετωπίσει όλες τις απειλές που ενδέχεται να επηρεάσουν την ευπάθεια τόσο των Yachts όσο και των εταιρειών διαχείρισης» αναφέρει η κ. Κουδιγκέλη, Commercial Yacht Manager στο Crontab Cyber.

«Ένα σημαντικό ακόμα ζήτημα επίσης είναι το πλήρωμα και οι επισκέπτες που μεταφέρει ένα συγκεκριμένο σκάφος. Πλέον απαιτούνται πρόσθετες ενέργειες για την διερεύνηση και εφαρμογή ειδικών διαδικασιών & πολιτικών έτσι ώστε να διασφαλιστεί η κυβερνοασφάλεια κάτι το οποίο πλέον αποτελεί & προτεραιότητα.

Η ασφάλεια στον κυβερνοχώρο δεν είναι πλέον ζήτημα όταν βρίσκεται στο λιμάνι ή στο αγκυροβόλιο, μπορεί να συμβεί οπουδήποτε στην ανοικτή θάλασσα.

Η κλοπή και η πειρατεία δεν είναι κάτι νέο στον κόσμο της ναυτιλίας, εδώ και αιώνες, αλλά τα τελευταία χρόνια έχει επεκταθεί σε μεγάλες επιχειρήσεις, ιδίως μέσω του εγκλήματος στον κυβερνοχώρο και με συνδέσμους με το οργανωμένο έγκλημα.

contab 3

«Ένα σημαντικό ακόμα ζήτημα επίσης είναι το πλήρωμα και οι επισκέπτες που μεταφέρει ένα συγκεκριμένο σκάφος. Πλέον απαιτούνται πρόσθετες ενέργειες για την διερεύνηση και εφαρμογή ειδικών διαδικασιών & πολιτικών έτσι ώστε να διασφαλιστεί η κυβερνοασφάλεια κάτι το οποίο πλέον αποτελεί & προτεραιότητα.

Η ασφάλεια στον κυβερνοχώρο δεν είναι πλέον ζήτημα όταν βρίσκεται στο λιμάνι ή στο αγκυροβόλιο, μπορεί να συμβεί οπουδήποτε στην ανοικτή θάλασσα.

Η κλοπή και η πειρατεία δεν είναι κάτι νέο στον κόσμο της ναυτιλίας, εδώ και αιώνες, αλλά τα τελευταία χρόνια έχει επεκταθεί σε μεγάλες επιχειρήσεις, ιδίως μέσω του εγκλήματος στον κυβερνοχώρο & με συνδέσμους με το οργανωμένο έγκλημα.

Κάποιες μαρίνες εισερχόμενες σε λιμενικές εκτάσεις και εγκαταστάσεις παραμένουν ανοιχτές στο ευρύ κοινό, με την δυνατότητα την ώρα που κάποιος θαυμάζει τα σκάφη να έχει παράλληλα και την δυνατότητα να συνδεθεί σε κοντινά δίκτυα Wi-Fi σκαφών ακόμα και με δόλο για την προσπάθεια διείσδυσης σε διάτρητα δίκτυα του σκάφους.

Σε πολλές περιπτώσεις τα superyachts μπορεί να είναι πιο επιρρεπή σε κλοπή δεδομένων ή διεισδύσεων από χάκερ στην μαρίνα από πολλά άλλα σκάφη στον εμπορικό τομέα. Καθώς οι χάκερ γίνονται ακόμη πιο εξελιγμένοι στην τακτική τους, είναι αναπόφευκτο οι επιθέσεις στον κυβερνοχώρο εναντίον των ΙΤ & ΟΤ συστημάτων του σκάφους να γίνονται ο κανόνας παρά η εξαίρεση» προσθέτει η κυρία Κουδιγκέλη.

Συμμόρφωση και κυρώσεις

Ο κυβερνήτης ενός σκάφους μπορεί να ερωτηθεί σχετικά με τη διαχείριση του κινδύνου ασφάλειας στον κυβερνοχώρο κάτι που θα πρέπει να υποδείξει, ότι δηλαδή οι κανονισμοί του IMO 2021 τηρούνται ως μέρος του σχεδίου ασφάλειας του σκάφους μέσα από το SMS Doc.

Μπορεί να αμφισβητηθεί βέβαια από τους επιθεωρητές, σε περίπτωση που προκύπτει ελλιπής ενημέρωση από το αρμόδιο κυβερνοασφάλειας στο σκάφος ή ασυνήθιστες συμπεριφορές των ΙΤ / ΟΤ συστημάτων στην γέφυρα όπως και στις δορυφορικές επικοινωνίες. Η εκπαίδευση του πληρώματος και η ετοιμότητά του σε περίπτωση αντιμετώπισης περιστατικού κυβερνοασφάλειας θεωρείται υποχρεωτική .

Εάν το πλήρωμα δεν μπορεί να εκπονήσει γραπτό σχέδιο ως μέρος του ISM του, το USCG μπορεί να επιβάλει κυρώσεις μέχρι την κράτηση του σκάφους για μη συμμόρφωση.

Όπως και με άλλες συμβάσεις του ΙΜΟ, ειδικά εκείνες που απαιτούν καθεστώτα παρακολούθησης και επιθεώρησης, το Maritime Cyber Risk Management θα χρειαστεί χρόνο για την μετάβαση του στην συμμόρφωση με τους νέους κανονισμούς και στην επερχόμενη αλλαγή της κυβερνοακουλτούρας, για να μπορέσει να καταλήξει σε ένα αποδεκτό και αναγνωρίσιμο πρότυπο παγκοσμίως.

Ωστόσο, το USCG και ο διορισμένος του port inspector θα έχουν την εξουσία να «αξιολογούν τα πλοία» αρχίζοντας τους ελέγχους στα πρωτόκολλα ασφάλειας στον κυβερνοχώρο από την 1η Ιανουαρίου 2021» σημειώνει η κυρία Κουδιγκέλη Commercial Yacht Manager στο Crontab Cyber

Σύμφωνα με τον ΙΜΟ τα βήματα σε ένα σχέδιο διαχείρισης είναι τα εξής:

1.Προσδιορισμός:

Ορίστε τους ρόλους και τις ευθύνες για το πλήρωμα και το προσωπικό της εταιρείας σχετικά με τη διαχείριση κινδύνων στον κυβερνοχώρο και προσδιορίστε τα ΙΤ & ΟΤ συστήματα, τα περιουσιακά στοιχεία, τα δεδομένα και τις δυνατότητες που ενέχουν κινδύνους.

2.Προστασία:

Εφαρμογή διαδικασιών ελέγχου ρίσκου για ανθρώπινες και τεχνολογικές απειλές, καθώς και σχεδιασμός έκτακτης ανάγκης για την προστασία από ένα συμβάν στον κυβερνοχώρο και τη διασφάλιση της συνέχειας των πλοίων/σκαφών.

3. Ανίχνευση:

Ανάπτυξη και υλοποίηση δραστηριοτήτων απαραίτητων για τον έγκαιρο εντοπισμό ενός συμβάντος στον κυβερνοχώρο.

4. Θωράκιση:

Ανάπτυξη και υλοποίηση δραστηριοτήτων και σχεδίων για την ανθεκτικότητα και την αποκατάσταση συστημάτων που είναι απαραίτητα για λειτουργίες ή υπηρεσίες που έχουν μειωθεί λόγω ενός κυβερνο-συμβάντος.

5. Ανάκτηση:

Προσδιορίστε μέτρα για τη δημιουργία αντιγράφων ασφαλείας και την επαναφορά συστημάτων που είναι απαραίτητα για αποστολές που επηρεάζονται από ένα συμβάν στον κυβερνοχώρο.

contab 4

Η Crontab Cyber με μεγάλη εμπειρία στην Ναυτιλιακή Βιομηχανία, διαχειρίζεται και υποστηρίζει μεγάλα έργα κυβερνοασφάλειας. Έχοντας την πραγματική εικόνα της αγοράς και των νέων κανονισμών σε ποντοπόρα πλοία αλλά και σκάφη αναψυχής σκάφη ανέπτυξε το ειδικό Cyber Manual προσαρμοσμένο στα μέτρα της κάθε εταιρείας, πλοίου, σκάφους, στόλου & πληρώματος.

Η νέα υπηρεσία της CyberYacht αποτελείται από τις κάτωθι τεχνικές παροχές και ολοκληρωμένες λύσεις:

• Custom Cyber Manual

• 24/7 emergency counseling for Conbulk or fleet cybersecurity issues

• 24/7 port state control services

• Cyber Awareness training

• IMO new ISM Code 2021 Control & compliance

• IT Systems Penetration tests

• OT Systems Audit & fleet readiness controls

• 24/7 SOC (Security Operation Centre) Shielding, Monitoring and Audit Control of IT & OT systems (company & fleet)

• SIEM | Intrusion Detection System | Threat Hunting | Dark web monitoring

contab 5

Ακολουθήστε τα Ναυτικά Χρονικά στο Google News και μάθετε πρώτοι όλες τις ειδήσεις από την ελληνική Nαυτιλία, τις Μεταφορές και το Διεθνές Εμπόριο.