Securitatea Digitala Maritima

Desi posibilitatea ca o nava aflata in mijlocul oceanului sa poata fi scoasa din uz din cauza unei erori ori defectiuni de software sau din cauza interferentelor unor hackeri a fost una intampinata cu mult scepticism, o serie de incidente, printre care amintim de, probabil, cel mai notabil, care a intrerupt operatiunile in cadrul Cosco, au transformat atitudinea generala. Astazi, industria maritima globala recunoaste pericolul potential si a inceput sa ia masuri pentru a adresa problemele de cyber security din perspective multiple.

Conceptul de cyber security este unul dinamic. Noi vulnerabilitati sunt evidentiate aproape zilnic, timp in care pericolele cresc exponential in anvergura si complexitate. Pe parcursul ultimilor ani, bresele de securitate au trecut de la a fi evenimente exceptionale si izolate in anumite domenii, orientate catre anumite companii tehnologice, pana la a deveni un fenomen cu impact global, chiar si in randul utilizatorilor obisnuiti. Nici o industrie nu mai este imuna.

Daca in deceniile trecute, sistemele IT ale companiilor mari erau tinta predominanta, in prezent vedem tot mai  multe ocurente in randul activitatilor de tehnologie operationala (OT), care functioneaza pe baza echipamentelor si masinariilor programate prin sistem de control electronic. Acest trend reflecta de altfel chiar complexitatea acestor sisteme cat si gradul ridicat de conectivitate aplicat asupra domeniilor in discutie, marind astfel aria de atac asupra unei nave maritime.

Aceasta crestere este confirmata de statistici : numarul atacurilor asupra tehnologiei operationale in 2016 a fost dublu fata de anul precedent si de patru ori mai mare fata de anul 2013. Fata de trecutul in care cele mai vulnerabile parti ale unei companii erau finantele si reputatia,  in prezent pericolul a crescut, afectând deja viețile umane, proprietatile si mediul inconjurator. Vorbim, asadar, de mize mult mai mari. Din acest motiv, securitatea cibernetica trebuie sa fie considerata o parte importanta a managementului riscului in activitatile de shipping si offshore.

Raspunsul legislativ

Din fericire, la nivel international, factorii de decizie ai industriei nu au intarziat sa produca rezultate. Anul trecut am putut observa doua realizari de insemnatate in mediul legislativ. Un intreg capitol a fost dedicat securitatii maritime – inclusiv notiuni de risc cibernetic – si introdus in cea de-a 3-a editie a Tanker Management Self Assessment (TMSA), care a inceput sa produca efecte incepand cu Ianuarie 2018. Introducerea s-a produs si in cea de-a 7-a editie a Vessel Inspection Questionnaire (VIQ7) din cadrul Ship Inspection Report Programme (SIRE), intrand in vigoare din luna Septembrie a acestui an. Deoarece TMSA si SIRE sunt imperative pentru obtinerea de chartere, operatorii de tancuri au acum imboldul comercial de a demonstra ca au luat in considerare in mod sistematic potentialele vulnerabilitati si ca au implementat masuri corespunzatoare in aceasta directie.

La scurt timp, Comitetul pentru Siguranta Maritima din cadrul IMO a introdus “Managementul Riscului Cibernetic in spatiul maritim” (Maritime Cyber Risk Management) in lista codurilor ISM. Acompaniat de o recomandare de implementare incepand cu 1 Ianuarie 2021,  amendamentul ofera proprietarilor de alte tipuri de nave putin peste 2 ani de ragaz pentru a atinge un nivel similar de pregatire precum cel al proprietarilor de tancuri.

Indatoriri riscante

Managementul riscului cibernetic nu este cu nimic diferit fata de managementul oricarui alt tip de risc. Echipamentele si terminologia pot parea nefamiliare si usor descurajante dar abordarea este in esenta aceeasi cu, spre exemplu, pregatirea pentru demararea operatiunilor de sudura asupra structurii unei nave maritime.

Schimbarile de software, spre exemplu, nu pot fi facute nedocumentat, fapt care se petrece des la bordul navelor. Deoarece inginerii IT nu viziteaza navele in mod frecvent, atunci cand o fac pentru a actualiza sistemele ECDIS ori pentru a actualiza versiuni noi ale aplicatiilor de management si mentenanta, incerca sa devina cat mai utili. Acestia instaleaza service pack-uri noi si o multitudine de actualizari ale altor aplicatii folosite la bord. 9 din 10 cazuri, aceasta practica nu prezinta pericol. Ocazional, insa, acestia pot afecta setari din alte zone ale sistemului integrat. Totodata, consecintele vor deveni vizibile, cel mai probabil, dupa plecarea specialistului și în consecință, dupa plecarea navei din port.

De fapt, actualizarile ar trebui planificate, testate, aprobate si evidentiate. Acestea ar trebui catalogate cel putin ca minore sau majore pentru a putea fi aprobate de autoritatile competente corecte. In esenta, acest concept este practic identic cu procedura de aprobare pentru demararea unor operatiuni de sudura.

Lectii invatate din NotPetya

Daca exista un efect secundar pozitiv al atacului de tip ransomware NotPetya asupra companiei Maersk anul trecut, este acela ca a trezit la realitate proprietarii si operatorii cu privire la faptul ca atacurile cibernetice in domeniul maritim nu sunt doar ipotetice. Astazi vedem o constientizare mult mai mare cu privire la implicatiile reale dar si o acceptare a faptului ca riscurile cibernetice trebuie adresate.

Totusi, proprietarii si operatorii, in general, se afla in puncte diferite ale acestei constientizari si a reactiei fata de aceasta. Unii sunt uimiti de gradul sever al problemelor si nu stiu de unde sa inceapa; altii au introdus o serie de masuri dar nu sunt convinsi ca au acoperit toate vulnerabilitatile posibile.

In fond, solutia este aceea de a adapta si a extinde serviciile cibernetice pentru a asista proprietarii si operatorii in protejarea bunurilor impotriva unor pericole aflate in evolutie constanta si sustinuta si de a asigura solutii de salvgardare in concordanta cu regulamentele industriei. Vorbim, deci de servicii de educare si constientizare destinate entitatilor relevante, care desfasoara activitati atat pe mare cat si pe uscat; vorbim de servicii de monitorizare si revizuire, cu accent pe dezvoltare continua si sustinuta.

Aceste servicii trebuie sa nu fie asociate unui singur sistem pentru a putea fi adaptabile atat in sistemele IT conventionale cat si in tehnologii operationale specifice unui anumit sector industrial, obiectiv foarte important daca discutam de sisteme bazate pe conectivitate. Acest concept poate evita uzura in timp a eficientei. In timp ce consecintele unei vulnerabilitati exploatabile in cadrul tehnologiilor operationale poate purta consecinte mai serioase, acestea pot fi deseori urmarite pe fir pana la vulnerabilitati ale sistemelor de gestiuni IT conventionale, cu preponderenta provenind din surse externe.

Sfaturi practice

In Septembrie 2016, a fost publicata o serie de Practici Recomandate pentru educarea proprietarilor si operatorilor maritimi cu privire la gestiunea riscurilor cibernetice. Documentul a fost conceput pentru a demistifica un subiect cu care industria inca se zbate sa-l inteleaga, folosind contextul potrivit si terminologie maritima de specialitate.

 Majoritatea sfaturilor provenite din directia companiilor mari din IT in aceasta vreme, desi izvorand din intentii nobile, necesita un nivel inalt de cunostinte in domeniu. Mai important, in prezent, este de a micsora distanta intre concepte teoretice si aplicatiile din practica. Abordarea de baza in cazul bugetelor limitate, spre exemplu, este de a identifica vulnerabilitatile, de a analiza gradul de risc, dupa care de a prioritiza incepand cu cele mai serioase.

Urmatorul pas pentru operatorii maritimi este de a efectua evaluarea de risc a securitatii cibernetice. Una din solutii este trimiterea unor echipe interdisciplinare pentru a sustine personalul onshore si offshore in identificarea si rezolvarea riscurilor specifice.

In practica, desi operatorii maritimi nu au dificultati in intelegerea unui plan formulat in scris, acestea apar in momentul implementarii etapelor. Aceasta practica produce o abordare minutioasa in dezvoltarea de solutii eficiente pentru vulnerabilitatile evidentiate, abordare pliata in totalitate pe structura si practicile operatorului. Pe langa inchiderea vulnerabilitatilor cibernetice prin masuri tehnice, acest concept ia in considerare si sistemul de management si factorul uman al situatiei. Odata ce masurile au fost adoptate si un nou program de management al riscului a fost implementat, acesta poate fi urmarit in timp si testat periodic impotriva oricaror pericole.

Testarea integritatii sistemului de management de risc este esentiala in garantarea securitatii bunurilor vizate, rezultand intr-un produs final complet. In cadrul acestui proces, hack-eri angajati special pentru acest lucru, ataca in mod constant barierele implementate pentru a valida faptul ca acestea functioneaza corespunzator si ca vulnerabilitatile au fost eliminate.

Managementul ciclului de viata al implementarilor

Un aspect care nu trebuie neglijat este acela al verificarii periodice si constante ale masurilor de securitate cibernetica pe toata durata de implementare a acestora. In cazul navelor noi, acest aspect este mult simplificat prin introducerea unor procese de rezilienta cibernetica, introduse inca din etapele de design ale navei.

Acest lucru este posibil prin introducerea unor proceduri de management de risc croite pentru servirea nevoilor tuturor actorilor implicati in proiect – nu doar proprietarul si operatorul dar si tertii implicati de-a lungul perioadei de exploatare ale unei nave. Incorporarea de masuri si tehnologii ale tertilor mareste, desigur, gradul de complexitate al proiectului de design si implementare al masurilor. Din perspectiva securitatii cibernetice, acest fapt mareste potentialul de expunere la diversi factori de risc.

Daca vorbim de nave sofisticate, cum ar fi cele pasagere de dimensiuni mari, din clase premium, care sunt din start dependente de tehnologie atat din punct de vedere operational cat si din punctul de vedere al serviciilor prestate la bord, colaborarea intre departamente este cruciala. Astfel, riscurile de securitate cibernetica sunt exponential mai complexe. Raspunsul la acest aspect este o solutie de protectie adaptata la gradul de complexitate. Toti factorii de decizie trebuie sa fie implicati in aceasta discutie. Un lant este la fel de puternic precum cea mai slaba veriga a sa!

Asadar, feedback-ul in astfel de situatii nu poate fi decat pozitiv. In cazul unui proiect care beneficiaza de masuri proactive chiar de la inceput, in care toate aspectele de design ale unei nave sunt armonizate, inclusiv cel de securitate cibernetica, oportunitatile de implementare de masuri corecte si eficiente sunt pe masura.

Factorul uman

Desigur, securitatea cibernetica nu poate adresa doar masuri de tip firewall sau software antivirus. Aproximativ 90% dintre incidentele de acest tip sunt atribuite elementului uman. Vulnerabilitati de tip phishing sau social engineering, descarcari neintentionale de fisiere infectate etc. raman probleme cotidiene. In acelasi timp, majoritatea membrilor implicati, atat offshore cat si cei aflati la tarm, nu sunt educati cu privire la masurile de raspuns la atacuri cibernetice ori erori tehnologice si, deci, nu vor reusi sa combata efectele acestora în mod eficient.

Solutia constă în extinderea cursurilor de pregatire, atat pentru management cat si pentru personalul tehnic; simulari de situatii in care se pot confrunta cu astfel de riscuri se dovedesc a fi folositoare, dar si drill-uri care sa mentina gradul de alerta al angajatilor la un nivel relativ ridicat.

Combinatia de cunostinte de bune practici in domeniul IT si dezvoltarea cunostintelor de operatiuni maritime si tehnologice automatizate prin sisteme de control s-a dovedit pana in prezent a fi cea mai eficienta abordare.

Un articol tradus si adaptat de Paul Aurelian Balan, dupa “Digital Defence” – Articol Publicat de DNGVL sub Capitolul Digital Impact – Expert Stories