Στo πλαίσιo ευαισθητοποίησης και ελέγχου της κυβερνοασφάλειας σε πλοία, ναυτιλιακές επιχειρήσεις, λιμάνια, τρίτο μέρος της ναυτιλιακής αλυσίδας η Crontab Cyber ανέπτυξε άλλη μία νέα καινοτόμα και πρακτική λύση προσαρμοσμένη σε κάθε μοτίβο εταιρείας, η οποία ελέγχει τις ευπάθειες των συστημάτων χρησιμοποιώντας White & black hat τεχνικές διεισδύσεως , ελέγχοντας παράλληλα αλλά και αξιολογώντας την κατάσταση ετοιμότητας της ΙΤ υποδομής στην στεριά και των ΙΤ & ΟΤ υποδομών στην θάλασσα.
Οι επερχόμενοι κανονισμοί για την ασφάλεια στον κυβερνοχώρο του ΙΜΟ είναι ένα βήμα προς τη σωστή κατεύθυνση σε σχέση με την ασφάλεια των πλοίων, αλλά η πρακτικότητα της αξιολόγησης της ασφάλειας στον κυβερνοχώρο ενός πλοίου, μαζί με μια τεράστια έλλειψη δεξιοτήτων, οδηγεί τους νηογνώμονες σε αξιολογήσεις βάσει λίστας ελέγχου.
Έχοντας δει μερικές από αυτές τις λίστες ελέγχου, είναι σαφές ότι υπάρχουν σημαντικά κενά στην κατανόηση της ασφάλειας στον κυβερνοχώρο της ναυτιλίας.
Γι’ αυτό τον λόγο η ομάδα της Crontab Cyber έχει αναπτύξει ειδικά για τις ναυτιλιακές επιχειρήσεις προσαρμοσμένες δοκιμές διείσδυσης (Penetration Tests) στα ΙΤ συστήματα σε εταιρεία και πλοίο όπως και σε τρέχοντα ΟΤ συστήματα στο πλοίο εφόσον υπάρχει η δυνατότητα remote access και τουλάχιστον η βασική υποδομή που χρειάζεται. Σε περιπτώσεις Stand alone δικτύου χωρίς παρουσία VSAT ή δορυφορικού ISP η διαδικασία αξιολόγησης γίνεται με την βοήθεια του υπεύθυνου στο πλοίο και του Cyber Security Officer σε ένα οff line μοτίβο, το οποίο έχει αναπτυχθεί ειδικά για αυτήν την περίπτωση αξιολογώντας, εκπαιδεύοντας και θωρακίζοντας την κυβερνοασφάλεια στο πλοίο χρησιμοποιώντας την καλύτερη εφικτή και πρακτική λύση.
Mε την ολοκλήρωση του ελέγχου αναπτύσσεται ειδική αναφορά ετοιμότητας gap analysis σχετικά με τυχόν ευπάθειες του δικτύου της ναυτιλιακής εταιρείας μαζί με την αναφορά στο επίπεδο συμμόρφωσης σε ότι αφορά την νέα νομοθετική οδηγία του ΙΜΟ MSC.428 (98). Η συμφωνία απορρήτου & εχεμύθειας των δεδομένων και της πρόσβασης στα συστήματα, αποτελεί βασική προϋπόθεση για την έναρξη του έργου.
Οι τεχνικές που αναπτύσσονται ανάλογα με το μοτίβο της εταιρείας είναι οι κάτωθι:
White box
Διαθέτοντας πρόσβαση στον πηγαίο κώδικα και γνωρίζοντας τις λειτουργικές του ιδιαιτερότητες, οι μηχανικοί ασφαλείας μας πραγματοποιούν σχολαστικές δοκιμές της εσωτερικής δομής της λύσης και της προστασίας της.
Grey box
Με μια βασική κατανόηση του δοκιμασμένου συστήματος, οι ειδικοί μας εκτελούν εντολές στο front-end για να εκτιμήσουν τη συνολική συμπεριφορά του συστήματος και να διορθώσουν την έξοδο στο back-end.
Black box
Ενεργώντας ως ξένος χωρίς καμία γνώση της δοκιμασμένης λύσης, ο εμπειρογνώμονας ασφαλείας μας προσπαθεί να διεισδύσει ή να επιτεθεί προκειμένου να αξιολογήσει την επάρκεια των ενεργοποιημένων λειτουργιών κυβερνοασφαλείας.
Για οποιαδήποτε πληροφορία ή για να κλείστε το δικό σας penetration test παρακαλούμε όπως επικοινωνήσετε μέσω του email: pentest@crontab.eu
