Με τους νέους κανόνες για την ασφάλεια στον κυβερνοχώρο που έρχονται από το Λιμενικό Σώμα των ΗΠΑ, η Αγγελική Ζησιμάτου, Διευθύντρια Cybersecurity, ABS, βρίσκεται σε μοναδική θέση για να συζητήσει τη θαλάσσια ασφάλεια στον κυβερνοχώρο στον γύρο, με πληροφορίες για το τι είδε και άκουσε από το προσχέδιο κανόνων, με συμβουλές για τι θα μπορούσε να σημαίνει για τους ιδιοκτήτες σκαφών.
Η ασφάλεια στον κυβερνοχώρο και ό,τι συνεπάγεται αναρριχείται γρήγορα στη σκάλα προτεραιότητας στη ναυτιλία, καθώς η αυξανόμενη εξάρτηση από τη συνδεσιμότητα είναι ένα δίκοπο ξίφος υπόσχεσης και κινδύνου.
Ενώ το επίπεδο ετοιμότητας για την ασφάλεια στον κυβερνοχώρο ποικίλλει ευρέως σε όλους τους κλάδους, ίσως η μεγαλύτερη ανησυχία είναι ότι ορισμένοι δεν αναγνωρίζουν καν τον κίνδυνο. «Πολλές φορές τα τελευταία οκτώ χρόνια άκουσα «Η κυβερνοασφάλεια είναι φάρσα». Το έχω ακούσει ξανά και ξανά από πληρώματα, από χειριστές, από ιδιοκτήτες», είπε η Αγγελική Ζησιμάτου, Διευθύντρια Cybersecurity, ABS, καθώς πιστεύουν ότι τα ενσωματωμένα συστήματά τους έχουν «κενό αέρα» από τη συνδεσιμότητα επί του σκάφους, οδηγώντας σε μια ψευδή αίσθηση ασφάλεια.
Το πρώτο βήμα για το ABS είναι να ενημερώσει, να εκπαιδεύσει και να δείξει ότι ναι, η απειλή είναι πραγματική. Απλώς ρωτήστε την AP Moller-Maersk Group , μια από τις μεγαλύτερες ναυτιλιακές εταιρείες στον κόσμο, η οποία το 2017 επλήγη από την επίθεση NotPetya , διακόπτοντας τη λειτουργία για 10 ημέρες και κοστίζοντας εκατοντάδες εκατομμύρια έσοδα.
Ενώ η ναυτιλιακή συλλογικά ήταν αργή στην απορρόφηση της ασφάλειας στον κυβερνοχώρο, η Ζησιμάτου είπε ότι οι μεγάλοι ιδιοκτήτες στόλων και οι φορείς εκμετάλλευσης παίρνουν σοβαρά το ρίσκο – επενδύοντας μεγάλα ποσά στα δικά τους ασφαλή κέντρα λειτουργίας – και αρχίζει να βλέπει στάσεις να αλλάζουν σε ολόκληρο τον κλάδο, ιδιαίτερα όταν υψηλού προφίλ γεγονότα όπως το NotPetya συγκεντρώνουν τίτλους και απεικονίζουν το πιθανό εύρος του προβλήματος. Ένας οδηγός επίσης, συνήθως, αναδύονται κανόνες από τον Διεθνή Ναυτιλιακό Οργανισμό και την Ακτοφυλακή των ΗΠΑ.
«Για τους μικρότερους και μεσαίους χειριστές και ιδιοκτήτες, νομίζω ότι η ρύθμιση είναι αυτή που οδηγεί τις ενέργειές τους, επομένως προσπαθούν να τηρήσουν το ελάχιστο, κάνοντας ό,τι επιβάλλεται ή συνιστάται», είπε η Ζησιμάτου.
Νέοι κανόνες ασφάλειας του USCG στον κυβερνοχώρο
Λάβετε μέρος στο "Cyber Security Lunch & Learn" στη Νέα Ορλεάνη στις 13 Νοεμβρίου 2024 στο Morial Convention Center. Η εκδήλωση είναι μια συντονισμένη συζήτηση σχετικά με τους νέους κανόνες ασφάλειας στον κυβερνοχώρο USCG και τον πιθανό αντίκτυπό τους στους χειριστές ιδιοκτητών σκαφών. Κάντε κλικ εδώ για να εγγραφείτε δωρεάν .
Γεμίζοντας τα κενά
Καθώς νέα, συνδεδεμένα πλοία έρχονται ολοένα και περισσότερο στη γραμμή και μια νεότερη γενιά ναυτικών – διαδικτυακοί ντόπιοι – αναλαμβάνει όλο και περισσότερο τον έλεγχο του θαλάσσιου χώρου, η ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο και η δράση θα ακολουθήσουν στη συνέχεια. Μέχρι τότε, μένει πολλή δουλειά.
«Έλλειψη γνώσης για το θέμα, [συν] η έλλειψη κατάρτισης και ευαισθητοποίησης. που ισχύει για τα πληρώματα και για το προσωπικό της ξηράς», είναι αναμφισβήτητα το μεγαλύτερο κενό σήμερα, είπε η Ζησιμάτου. ελάχιστη ή καθόλου γνώση των συστημάτων επί του σκάφους», παρουσιάζοντας μια πρόκληση για το πού να ξεκινήσετε.
Η αρχαιότητα των παλαιών συστημάτων που λειτουργούν επί της υπάρχουσας χωρητικότητας, συμπεριλαμβανομένων των Windows NT και άλλου απαρχαιωμένου λογισμικού, αποτελεί εξίσου μεγάλη πρόκληση όσον αφορά την ευπάθεια.
Ένα άλλο πιθανό πρόβλημα σε ολόκληρη τη θαλάσσια αλυσίδα εφοδιασμού που διαθέτει επαρκή ορατότητα σχετικά με τη συντήρηση και την αναβάθμιση των συστημάτων επί του σκάφους, καθώς συνήθως οι ιδιοκτήτες και οι διαχειριστές σκαφών επιβιβάζουν τους πωλητές για πρόσβαση και αναβάθμιση των συστημάτων, παρέχοντας ελάχιστη έως καθόλου ορατότητα για το τι έχει πραγματικά ενημερωθεί και εγκαταστάθηκε στα πλοία. Η απόκτηση πλήρους ελέγχου και ορατότητας σχετικά με τις κρίσιμες ενημερώσεις και τη συντήρηση του συστήματος είναι ένα ακόμη στοιχείο προτεραιότητας στη λίστα "εκκρεμότητες" ενός ιδιοκτήτη/διαχειριστή σκάφους.
Όμως, ενώ τα κενά και τα προβλήματα είναι δυνητικά μεγάλα, οι λύσεις μπορεί να είναι εύκολες, τουλάχιστον για να ξεκινήσετε.
«Θα ξεκινούσα με το προφανές», είπε η Ζησιμάτου. «Πρώτα από όλα, πάρτε το στα σοβαρά. Θεωρήστε το ως πραγματικό κίνδυνο για τις δραστηριότητές σας και για την επιχείρησή σας. Ακολουθήστε ό,τι είναι εξουσιοδοτημένο ή αυτό που συνιστάται από τον ΙΜΟ, αυτό που προτείνει το NIST, το πλαίσιο ασφάλειας στον κυβερνοχώρο. Ακολουθήστε τα βήματα. Ξεκινήστε με μια πολύ ισχυρή αξιολόγηση κινδύνου και βάλτε τα κατάλληλα άτομα στο δωμάτιο. άτομα από τις επιχειρήσεις και άτομα από την πλευρά της πληροφορικής. Εμπνευση; σκεφτείτε πραγματικά τους κινδύνους και πώς να τους μετριαστείτε. Εάν ο προσδιορισμός του κινδύνου σας είναι ανεπαρκής, οι έλεγχοι που πρόκειται να εφαρμοστούν είναι επίσης φτωχοί».
Νέοι Κανόνες Λιμενικού Σώματος
Νωρίτερα αυτό το έτος, η Ακτοφυλακή δημοσίευσε έναν προτεινόμενο κανόνα στο Ομοσπονδιακό Μητρώο που προτείνει την ενημέρωση των κανονισμών ασφάλειας στη θάλασσα προσθέτοντας κανονισμούς που επικεντρώνονται ειδικά στη θέσπιση ελάχιστων απαιτήσεων κυβερνοασφάλειας για πλοία με σημαία ΗΠΑ, εγκαταστάσεις στην εξωτερική υφαλοκρηπίδα και εγκαταστάσεις των ΗΠΑ που υπόκεινται σε κανονισμούς βάσει του νόμου για την ασφάλεια των θαλάσσιων μεταφορών του 2002. Οι νέοι κανόνες αναμένεται να οριστικοποιηθούν αργότερα εντός του έτους και παραμένουν πολλά ερωτήματα σχετικά με το τι θα επιβάλλουν και πώς θα επηρεάσει τελικά τη διαδικασία και το κόστος του ιδιοκτήτη/διαχειριστή σκάφους.
«Προσφέραμε κάποια σχόλια στο Λιμενικό Σώμα όσον αφορά το τι δυνητικά λείπει ή δυνητικά θα είναι πρόκληση για τους χειριστές», είπε η Ζησιμάτου. «[Αυτήν τη στιγμή] δεν γνωρίζουμε πραγματικά αν ο νέος κανονισμός θα ισχύει για νέα ναυπηγικά πλοία ή και για υπάρχοντα πλοία. Αυτό θα είχε τεράστιο αντίκτυπο στα πλοία με αμερικανική σημαία». Είπε ότι υπάρχουν ορισμένες απαιτήσεις στον προτεινόμενο κανόνα που μιλούν για τμηματοποίηση των δικτύων, για παράδειγμα, και ειδικά σε υπάρχοντα πλοία, όπου τα δίκτυα είναι συνήθως επίπεδα, «που θα απαιτούσε κάποια επιπλέον προσπάθεια».
Αλλά δεν τελειώνει εκεί.
«Υπάρχουν και άλλα θέματα, όπως ασκήσεις κυβερνοασφάλειας κάθε τρεις μήνες που απαιτούνται στο πλαίσιο του κανονισμού, το οποίο πιστεύουμε ότι είναι λίγο πολύ συχνό», είπε η Ζησιμάτου. «Τότε δεν υπάρχουν συγκεκριμένες λεπτομέρειες. τι σημαίνει, τι πρέπει να δοκιμαστεί;»
Είπε ότι ο νηογνώμονας συνέστησε στο Λιμενικό Σώμα να λάβει υπόψη του τι έχει προτείνει το IACS όσον αφορά τα νέα ναυπηγικά πλοία, τον τρόπο αντιμετώπισης ολόκληρης της εφοδιαστικής αλυσίδας, από το σχεδιασμό, τη θέση σε λειτουργία, την κατασκευή και τη λειτουργική ζωή ενός σκάφους, αλλά και πώς έχει προσεγγίσει τους συγκεκριμένους ελέγχους, παρέχοντας λίγο περισσότερη σαφήνεια σχετικά με το τι πρέπει να κάνει η κατηγορία, τι πρέπει να κάνει ο ιδιοκτήτης, τι πρέπει να κάνει ένα ναυπηγείο.
«Περιμένω να δω να βγει ο κανονισμός και είμαι σίγουρος ότι το Λιμενικό έχει λάβει πολλά σχόλια για τα οποία επεξεργάζεται αυτή τη στιγμή», είπε η Ζησιμάτου. «Ανυπομονώ να το δω αυτό και μετά νομίζω ότι θα έχει τεράστιο αντίκτυπο, ειδικά [αργότερα όταν] θα υπάρξουν περισσότερες ρυθμίσεις από άλλες διοικήσεις σημαίας, με βάση αυτά που έχει ορίσει το Λιμενικό Σώμα».
Δείτε ολόκληρη τη συνέντευξη της Αγγελικής Ζησιμάτου, Διευθύντρια Cybersecurity, ABS, στο Maritime Reporter TV: