Θαλάσσια ασφάλεια στον κυβερνοχώρο: απαιτείται νέα προσέγγιση

Από τον Ρικ Σκοτ8 Μαΐου 2018
© stepheng101 / Adobe Stock
© stepheng101 / Adobe Stock

Είναι καιρός να προχωρήσουμε σε μια ποσοτική προσέγγιση που παρέχει βαθύτερη κατανόηση των μεμονωμένων στοιχείων κινδύνου που παρατηρούνται στα θαλάσσια λειτουργικά συστήματα.

Η αύξηση της συνδεσιμότητας σε σύνθετα λειτουργικά συστήματα θαλάσσιων μεταφορών κλιμακώνει τον πιθανό αντίκτυπο των περιστατικών που συνδέονται με το κυβερνοχώρο και περιπλέκει το έργο της υπεράσπισης. Οι παραδοσιακές μέθοδοι αξιολόγησης του κυβερνοχώρου παρέχουν ανεπαρκή καθοδήγηση για την εφαρμογή περιορισμένων πόρων ασφαλείας.

Επί του παρόντος, οι διαθέσιμες μέθοδοι αξιολόγησης κινδύνου είναι σε μεγάλο βαθμό ποιοτικές. Παρόλα αυτά, οι μέθοδοι αυτές παρέχουν τα σημερινά θεμέλια για τα σχέδια διαχείρισης κινδύνων, στα οποία οι ιδιοκτήτες και οι φορείς εκμετάλλευσης βασίζουν προγράμματα για τον εντοπισμό, την προστασία, τον εντοπισμό και την αποκατάσταση από παραβιάσεις στον κυβερνοχώρο. Με βάση αυτό το μοντέλο, είναι καιρός να προχωρήσουμε σε μια ποσοτική προσέγγιση που παρέχει βαθύτερη κατανόηση των μεμονωμένων στοιχείων κινδύνου που παρατηρούνται στα θαλάσσια λειτουργικά συστήματα και παρέχει στους ιδιοκτήτες τεχνικές "στροφές" για να τις μειώσουν.

Η πιο συνηθισμένη εξίσωση που χρησιμοποιείται για να αντιπροσωπεύει τον κίνδυνο του κυβερνοχώρου είναι: Κίνδυνος = Απειλή x Ευπάθεια x Συνέπεια. Αυτή η εξίσωση έχει αποδειχθεί χρήσιμη για τους επαγγελματίες, καθώς έχει βοηθήσει τους αναλυτές να κατανοήσουν διαισθητικά ότι ο κίνδυνος έχει τρία συστατικά στοιχεία και καταλήγει στο συμπέρασμα ότι, αφαιρώντας ένα από αυτά τα στοιχεία, ο κίνδυνος μπορεί να μειωθεί. Αλλά αυτός ο τύπος είναι λιγότερο μια εξίσωση, με μαθηματική έννοια, από ένα μοντέλο αναφοράς για την κατανόηση της φύσης του κινδύνου ασφάλειας στον κυβερνοχώρο. Τα τρία στοιχεία είναι σε μεγάλο βαθμό δύσκολα μετρήσιμα και είναι προβληματικά όταν προσπαθούμε να κατασκευάσουμε ή / και να υπολογίσουμε μια λύση στον κυβερνοχώρο. Για τον σύγχρονο επαγγελματία του θαλάσσιου κινδύνου, η βασική πρόκληση είναι να δημιουργηθεί ένα μοντέλο που να ορίζει τον κυβερνοχώρο, ώστε να μπορεί να μετράται, να μετράται, να υπολογίζεται και να διαμορφώνεται για ναυτικά λειτουργικά συστήματα.

Η ABS συνεργάστηκε πρόσφατα με το Ινστιτούτο Stevens για να διερευνήσει αυτό το πρόβλημα για τον ναυτιλιακό τομέα και να επαναπροσδιορίσει την εξίσωση με όρους που είναι μετρήσιμοι, παρατηρήσιμοι και εύκολα κατανοητοί. Ένα από τα πράγματα που η έρευνά μας με το Ινστιτούτο Stevens ανακάλυψε ήταν ότι η φύση του θαλάσσιου κινδύνου μέσα στον κυβερνοχώρο δεν είναι καλά καθορισμένη ή κατανοητή. Δεν είναι ιδιαίτερα καλά διαχειριζόμενη.

Το αποτέλεσμα είναι ένα νέο μοντέλο που βοηθά τους ιδιοκτήτες να αποκτήσουν δυναμικά τον έλεγχο των κινδύνων στον κυβερνοχώρο.

Αυτοί οι κίνδυνοι, με τη σειρά τους, οδηγούν σε συγκεκριμένες απαιτήσεις, σε τεχνικές αποφάσεις και δεσμεύσεις πόρων. Το μοντέλο επικεντρώνεται στον εντοπισμό λύσεων που έχουν υπολογιστική μηχανική, πολύ λεπτομερείς και σε συνάρτηση με τους κινδύνους που πρέπει να αντιμετωπιστούν.

Αποτελεσματικά, τοποθετεί τα χειριστήρια για την ανταπόκριση σε κυβερνητικούς κινδύνους πίσω στα χέρια του ιδιοκτήτη του περιουσιακού στοιχείου.

Η μετατόπιση των πρακτικών επιχειρηματικού κινδύνου στον τομέα της βιομηχανίας από τις πιο παραδοσιακές αμυντικές μεθόδους σε μια μετρήσιμη διαδικασία θα απαιτήσει από τη βιομηχανία να αλλάξει τη συνομιλία, αλλά το πιο σημαντικό θα απαιτήσει επίσης μια αλλαγή στο πώς οι επαγγελματίες του κινδύνου σκέφτονται για τον κίνδυνο.

Για να αναπαριστούμε τα 'Στοιχεία, Ευπάθεια και Απειλή' ως υπολογιστικά στοιχεία μιας εξίσωσης κινδύνου για την τεχνολογία λειτουργίας, τα αντικαταστήσαμε με τις έννοιες «Λειτουργίες, Συνδέσεις και Ταυτότητες» (FCI), αντίστοιχα.

Οι «λειτουργίες» επιτρέπουν στο πλήρωμα να χειριστεί το σκάφος ή να εκτελέσει την αποστολή του, η οποία μπορεί να είναι οτιδήποτε από τη γεώτρηση πετρελαίου μέχρι τη μεταφορά ανθρώπων και φορτίου ή συνδυασμών καθενός. Στην εξίσωση κινδύνου FCI, αντιπροσωπεύουν συστήματα τα οποία ένας επιτιθέμενος στον κυβερνοχώρο θα επιδιώξει να ελέγξει ή να νικήσει: σύστημα διεύθυνσης, οθόνες εντοπισμού θέσης, συστήματα πρόωσης, επικοινωνίες, οτιδήποτε εξυπηρετεί το σκοπό τους.

Οι «συνδέσεις» αντιπροσωπεύουν, σε σχέση με τη ναυτιλιακή τεχνολογία, πώς οι λειτουργίες επικοινωνούν μεταξύ τους, προς την ακτή, στους δορυφόρους, στο Διαδίκτυο κλπ.

Μέσα σε κάθε σύνδεση είναι ένας «κόμβος», το σημείο μέσω του οποίου αποκτά πρόσβαση μια κυβερνητική εισβολή.

Οι «ταυτότητες» είναι είτε ανθρώπινες είτε ψηφιακές συσκευές. Η αντικατάσταση της απειλής με την ταυτότητα επιτρέπει την καταμέτρηση των απειλών, μια καινοτόμο ιδέα για την προώθηση του υπολογισμού του θαλάσσιου κινδύνου.

Στο πλαίσιο του μοντέλου FCI, μια απειλή πρέπει να έχει μια ατζέντα. Αυτά μπορεί να κυμαίνονται από την έλλειψη συνειδητοποίησης των κινδύνων του κυβερνοχώρου σε ακούσιες συμπεριφορές - "Δεν πρόκειται να συμμορφωθώ με τους κανόνες της εταιρείας και να εκπληρώσω τα καθήκοντά μου με ασφαλή τρόπο" - ή δράσεις όπως η αεροπειρατεία των συστημάτων πλοήγησης για να κλέψουν ή να καταστρέψουν ένα πλοίο , ή άλλες πράξεις που διαταράσσουν την κανονική λειτουργία, συνήθως για νομισματικό κέρδος.

Τα ποσοτικά δεδομένα από τις λειτουργίες, τις συνδέσεις και τις ταυτότητες υπολογίζονται στη συνέχεια και χρησιμοποιούνται για να συμπληρώσουν ένα φύλλο εργασίας που δημιουργεί ένα δείκτη κινδύνου για να δείξει πώς οι συγκεκριμένες αλλαγές FCI θα αλλάξουν τον σχετικό κίνδυνο της διαμόρφωσης κάθε συστήματος.

Η διαδικασία που περιγράφεται εδώ είναι απλουστευμένη, αλλά ο Δείκτης Κινδύνου παρέχει τελικά μια ποσοτική άποψη του σχετικού κινδύνου που συνδέεται με τον αρχιτεκτονικό σχεδιασμό των μεμονωμένων συστημάτων επί του σκάφους. Αυτό είναι κάτι που λείπει από τον χώρο του θαλάσσιου κυβερνοχώρου.

Η μέθοδος FCI καθορίζει εάν οι κόμβοι σύνδεσης (σημεία πρόσβασης) προστατεύονται επαρκώς και αν ο ιδιοκτήτης του περιουσιακού στοιχείου έχει ελέγξει ή όχι τον Ταυτότητα εκείνων στους οποίους έχει δοθεί πρόσβαση σε κόμβους και περιορισμένες περιοχές εντός της αρχιτεκτονικής του συστήματος ελέγχου πλοίων.

Ο Δείκτης περιγράφει τη συμβολή κάθε συστατικού μέρους στο συνολικό κίνδυνο. Με βάση αυτές τις μεμονωμένες συνεισφορές κινδύνου, για παράδειγμα, ο ιδιοκτήτης μπορεί να επανασχεδιάσει μια αρχιτεκτονική δικτύου για να επανασχεδιάσει τον τρόπο πρόσβασης στο σύστημα, είτε μέσω διεπαφών ανθρώπου-μηχανής, κινητών τηλεφώνων, μονάδων αντίχειρων ή συνδέσεων στο Internet.

Αυτή η νέα προσέγγιση επιτρέπει στον ιδιοκτήτη να λάβει μια άποψη για το σύνολο του στόλου για τον προσδιορισμό του σχετικού κινδύνου που σχετίζεται με κάθε σκάφος με βάση τον τρόπο σχεδιασμού του ψηφιακού του συστήματος, τον τρόπο με τον οποίο έχουν πρόσβαση οι χρήστες και τον τρόπο με τον οποίο οι κόμβοι ή τα σημεία πρόσβασης , προστατεύονται.

Το ABS παράγει δείκτη κινδύνου υπολογιζόμενο μέσω της προσέγγισης FCI, αριθμός που αντιπροσωπεύει το σχετικό επίπεδο κινδύνου που είναι εγγενές στο σχεδιασμό και τη λειτουργία του ψηφιακού συστήματος στο πλοίο. Βοηθά τους ιδιοκτήτες να αποφασίσουν πού να αναπτύξουν τους συχνά περιορισμένους πόρους στον κυβερνοχώρο.

Υπάρχει μια παλιά παροιμία στη βιομηχανία: δεν μπορείτε να διαχειριστείτε αυτό που δεν μετράτε. Καθώς η ναυτιλιακή βιομηχανία συνεχίζει την πορεία της προς την αυτοματοποίηση, οι εταιρείες που μπορούν να μετρήσουν και να διαχειριστούν τον κυβερνοχώρο θα είναι καλύτερα σε θέση να αντιμετωπίσουν τις προκλήσεις στη νέα ψηφιακή εποχή.

Ως βιομηχανία, η ικανότητα μέτρησης του κινδύνου στον κυβερνοχώρο θα αποτελέσει βασικό θεμέλιο για την αποτελεσματικότητα και την ασφάλεια της λειτουργίας.


(Όπως δημοσιεύθηκε στην έκδοση του Απριλίου 2018 των Ναυτικών Reporter & Engineering News )

Κατηγορίες: Θαλάσσια ασφάλεια, Λύσεις λογισμικού, Λύσεις λογισμικού, Ναυτική Ασφάλεια, Οργανισμοί ταξινόμησης, Οργανισμοί ταξινόμησης, Τεχνολογία