Τα εμπορικά πλοία διαδραματίζουν αποφασιστικό ρόλο στο Περιβάλλον της Ναυτιλίας, αλληλοεπιδρώντας με πολλές οντότητες: πλήρωμα, κατασκευαστές πλοίων, λιμενικές αρχές, επιθεωρητές, ιδιοκτήτες φορτίου, ναυλωτές, πάροχοι τηλεπικοινωνιών. Οποιαδήποτε υποβάθμιση, διακοπή ή υποβάθμιση των Πληροφοριακών Συστημάτων των πλοίων θα έχουν σοβαρές συνέπειες στην ομαλή λειτουργία των δραστηριοτήτων του πλοίου και των αλληλοεπιδρώντων οντοτήτων, καθιστώντας τη διαχείριση της ασφάλειας ένα από τα σημαντικότερα ζητήματα.

Η ραγδαία εξέλιξη της τεχνολογίας καθώς και η υιοθέτηση νέων τεχνολογιών και συνδεδεμένων συστημάτων IT & OT μεταμορφώνει το παγκόσμιο ναυτιλιακό περιβάλλον, προσφέροντας ευκαιρίες για πιο ασφαλέστερη και πράσινη ναυσιπλοΐα. Τα πλεονεκτήματα από την υιοθέτηση των ΟΤ συστημάτων προφανώς είναι πάρα πολλά:

·         Τα ΟΤ συστήματα μπορούν να λειτουργήσουν ημιαυτόνομα ή πλήρως αυτόνομα, υποστηρίζουν ή αυτοματοποιούν πλήρως πολύπλοκες διαδικασίες, ενισχύοντας την αποτελεσματικότητα και μειώνοντας την ανθρώπινη παρέμβαση.  Μειώνουν το χρόνο και κατ’ επέκταση το κόστος διεξαγωγής καθημερινών διαδικασιών πάνω στο πλοίο.

·         Οι συνδεδεμένες τεχνολογίες χαρακτηρίζονται πλέον ως ζωτικής σημασίας τεχνολογίες για τη μείωση των εκπομπών αερίων μέσω βελτιστοποίησης της διαδρομής του πλοίου και άλλων αυτοματισμών.

·         Η ψηφιακή τεχνολογία θεωρείται βασικός παράγοντας υλοποίησης της στρατηγικής decarbonization των ναυτιλιακών εταιριών (απαίτηση κανονισμών).

·         Οι ψηφιακές τεχνολογίες όχι μόνο ενισχύουν τη βιωσιμότητα αλλά βελτιώνουν, τη φυσική ασφάλεια και την ασφάλεια του πληρώματος, αυτοματοποιώντας πολύπλοκες διαδικασίες, ωφελώντας την ασφάλεια των λιμένων και εν γένει της ναυσιπλοΐας

Τα σύγχρονα εμπορικά πλοία έχουν μετασχηματιστεί σε «πλωτά ψηφιακά γραφεία» καθώς φιλοξενούν και αλληλοεπιδρούν με πολύπλοκα, ετερογενή Πληροφοριακά Συστήματα και εξαρτώνται από πολλούς παρόχους (π.χ. παρόχους εξοπλισμού πλοήγησης, παρόχους cloud, παρόχους τηλεπικοινωνιών κλπ). Έτσι, τα εμπορικά πλοία εκτίθενται σε πολλαπλές επιθέσεις στον κυβερνοχώρο και τρωτά σημεία, καθιστώντας την κυβερνοασφάλεια μια κρίσιμη πτυχή της επιχειρηματικής συνέχειας των ναυτιλιακών οργανισμών. Η νέα αυτή πραγματικότητα δημιουργεί αυξημένους κινδύνους κυβερνοασφάλειας στα ΟΤ και ΙΤ συστήματα του πλοίου:

·         Διευρυμένη Επιφάνεια Επίθεσης Λόγω Συνδεσιμότητας: Τα OT συστήματα ήταν παραδοσιακά απομονωμένα, λειτουργώντας σε κλειστά περιβάλλοντα με περιορισμένη εξωτερική πρόσβαση. Ωστόσο, η αυξανόμενη αυτοματοποίηση και η ανάγκη διασύνδεσης με ΙΤ συστήματα ή/ και cloud λύσεις έχουν επεκτείνει την επιφάνεια επίθεσης, εκθέτοντάς τα σε νέες απειλές και αδυναμίες.

·         Έλλειψη Επαρκών Μέτρων Ασφαλείας σε Παρωχημένα Συστήματα: Πολλά OT συστήματα δεν έχουν σχεδιαστεί με σύγχρονες προδιαγραφές ασφάλειας. Η έλλειψη ενσωματωμένης κρυπτογράφησης και προηγμένων μηχανισμών ελέγχου πρόσβασης καθιστά αυτά τα συστήματα ευάλωτα σε επιθέσεις υποκλοπής, μη εξουσιοδοτημένης πρόσβασης και παραβίασης δεδομένων.

·         Κίνδυνοι Εφοδιαστικής Αλυσίδας: Η Εφοδιαστική Αλυσίδα αποτελεί ένα από τα πλέον ευάλωτα σημεία των OT συστημάτων, καθώς οι προμηθευτές λογισμικού, εξοπλισμού και υπηρεσιών μπορεί να εισάγουν ακούσια ή εκούσια κενά ασφαλείας.

Η ανάγκη για ενίσχυση της κυβερνοασφάλειας στα OT συστήματα είναι επιτακτική. Το νέο περιβάλλον δημιουργεί την ανάγκη για αναλυτικότερη καταγραφή των ΙΤ & ΟΤ συστημάτων και των αλληλεξαρτήσεών τους, καθώς και αναλυτικότερη Ανάλυση & Διαχείριση Επικινδυνότητας με απειλές στοχευμένες ή προερχόμενες από την ανάγκη υιοθέτησης και διασύνδεσης των OT συστημάτων. Η υιοθέτηση σύγχρονων πρωτοκόλλων ασφαλείας, η υιοθέτηση του Purdue Model για isolation του δικτύου, η συνεχής επιτήρηση των δικτύων και η διαχείριση κινδύνων της εφοδιαστικής αλυσίδας αποτελούν βασικούς πυλώνες για τη θωράκιση των ΟΤ συστημάτων έναντι των σύγχρονων απειλών.

Προκειμένου να βελτιωθεί η ασφάλεια και να μειωθεί όσο το δυνατόν η επίπτωση από ενδεχόμενο περιστατικό ασφάλειας, υπάρχουν αρκετές κατευθυντήριες γραμμές και βέλτιστες πρακτικές που πρέπει να ακολουθούνται, όπως το ΙΜΟ: MCS-FAL.1-Circ.3 «Guidelines on Maritime Cyber Risk Management», το «OCIMF: Tanker Management Self-Assessment v3» και το «BIMCO: Guidelines on Cyber Security Onboard Ships v4». Προς αυτή την κατεύθυνση είναι και η πρόσφατη ευρωπαϊκή Οδηγία NIS 2 (Ν.5160/2024) η οποία στοχεύει στην ενίσχυση της ασφάλειας των essential και important οντοτήτων (συμπεριλαμβανομένων και των ναυτιλιακών εταιριών). Καθορίζεται μια σειρά από απαιτήσεις ασφάλειας οι οποίες περιλαμβάνουν την εφαρμογή τεχνικών & οργανωτικών μέτρων για την πρόληψη, ανίχνευση, ανταπόκριση και ανάκαμψη από περιστατικά ασφαλείας.

Η συμμόρφωση με τους κανονισμούς κυβερνοασφάλειας αποτελεί μία από τις μεγαλύτερες προκλήσεις για τις επιχειρήσεις, καθώς το κανονιστικό περιβάλλον εξελίσσεται συνεχώς και γίνεται όλο και πιο απαιτητικό. Οι οργανισμοί καλούνται να ερμηνεύσουν και να εφαρμόσουν πολύπλοκες ρυθμιστικές απαιτήσεις, να διαχειριστούν το αυξημένο κόστος συμμόρφωσης και να λειτουργήσουν μέσα σε ένα πολυκανονιστικό περιβάλλον.

Στην ICT PROTECT έχουμε αναπτύξει το Maritime Cyber Security Compliance Framework και το χρησιμοποιούμε με επιτυχία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης των πελατών μας. Το STORM GRC μπορεί να αποτελέσει ένα ολιστικό εργαλείο συμμόρφωσης με τις απαιτήσεις ασφάλειας της «νέας πραγματικότητας» στον τομέα της ναυτιλίας δίνοντας τη δυνατότητα στην ομάδα ασφάλειας των ναυτιλιακών εταιριών να:

·         να αποτυπώνουν τα ΙΤ & ΟΤ συστήματα του πλοίου μέσω των υφιστάμενων ΙΤ&ΟΤ Αsset Μodels που βρίσκονται διαθέσιμα στο STORM GRC

·         να αποτυπώνουν όλες τις αλληλεξαρτήσεις των συστημάτων του πλοίου και γραφείου

·         να προσδιορίζουν, αξιολογούν και κατηγοριοποιούν τις περιοχές επικινδυνότητας του οργανισμού, μέσω στοχευμένων απειλών σε ΙΤ και ΟΤ που προϋπάρχουν στο STORM GRC

·         να αναγνωρίζουν τις επιπτώσεις που θα έχει ένα σοβαρό περιστατικό στην λειτουργία γραφείου ή/και του πλοίου,

·         να διεξάγουν αποτίμηση επικινδυνότητας για ΙΤ & ΟΤ συστήματα, όπως αυτό απαιτείται από τους κανονισμούς της ναυτιλίας,

·         να διεξάγουν Τεχνικό Έλεγχο Αδυναμιών ( Technical Vulnerability Assessment)

·         να επιλέγουν κατάλληλα και αξιόπιστα μέτρα προστασίας ώστε να επιτυγχάνεται η εμπιστευτικότητα, η διαθεσιμότητα και η ακεραιότητα των δεδομένων,

·         να διεξάγουν Third Party Risk Management

·         να διεξάγουν Gap Analysis (NIS 2, ISO 27k) και να παρακολουθούν το βαθμό συμμόρφωσής τους

·         να δημιουργούν και παρακολουθούν τα απαραίτητα audit evidence που απαιτούνται από τα πρότυπα (ISO 27001, ISO 22301) και τους κανονισμούς  (NIS 2, GDPR, IMO, TMSA)

·         να αναπτύσσουν και να επικαιροποιούν όλες τις απαραίτητες διαδικασίες και πολιτικές ασφάλειας.