Του Πάνου Μωραΐτη
Ο κ. Πάνος Μωραΐτης είναι CEO της Aspida Αυτά είναι ανοησίες... Τι σχέση έχει η κυβερνοασφάλεια με τη ναυτιλία; Είμαστε ασφαλείς». Είναι μια δήλωση που ακούγεται συχνά, κυρίως στην ελληνική ναυτιλιακή αγορά. Και σε έναν βαθμό ισχύει - όταν μιλάμε για πλοία συμβατικά, άνω των 20 ετών που χρησιμοποιούν τέλεξ για επικοινωνία με την ξηρά, και για εταιρείες που δεν εκμεταλλεύονται τις δυνατότητες που τους παρέχει η τεχνολογία.
Καθώς όμως έχουμε μπει στην 4η Βιομηχανική Επανάσταση και ο ψηφιακός μετασχηματισμός (digital transformation) της ναυτιλίας γίνεται με ολοένα αυξανόμενους ρυθμούς αξιοποιώντας IoT εργαλεία και βελτιωμένες ταχύτητες επικοινωνίας και επεξεργασίας δεδομένων, η παραπάνω δήλωση απέχει δραματικά από την πραγματικότητα. Την πραγματικότητα στην οποία μας επανέφερε απότομα η ανακοίνωση ότι η Maersk έπεσε θύμα κυβερνοεπίθεσης.
Το λεγόμενο «digital transformation» έχει επιφέρει σημαντικές αλλαγές σε επίπεδο πλοίου και σε επίπεδο γραφείου και αυτό γιατί υπάρχουν πλέον διαθέσιμα εργαλεία για την απομακρυσμένη παρακολούθηση και διαχείριση πολλών λειτουργιών του πλοίου. Για να επιτευχθεί αυτό, όλο και περισσότερα συστήματα του πλοίου βρίσκονται διασυνδεδεμένα μεταξύ τους και με το διαδίκτυο. Η σύνδεση των πλοίων με το γραφείο για τη συλλογή και εξαγωγή συμπερασμάτων όσον αφορά την απόδοση και την καλή λειτουργία του πλοίου (performance monitoring, energy efficiency, voyage optimization etc), προσφέρει πολλαπλά οφέλη στις ναυτιλιακές εταιρίες σήμερα που πλέον εξαρτώνται σε μεγάλο βαθμό από συστήματα υπολογιστών και νέες τεχνολογίες (Cloud, IoT, Big Data Analytics). Παράλληλα, είναι πλέον επιβεβλημένο από την MLC, το πλήρωμα ενός πλοίου να έχει πρόσβαση στο διαδίκτυο για ψυχαγωγία και επικοινωνία με την οικογένεια του.
Συνεπώς, σε έναν ψηφιακά συνδεδεμένο κόσμο, το πλοίο δεν είναι ανεξάρτητο από την υπόλοιπη εταιρεία αλλά είναι αναπόσπαστο κομμάτι της. Αυτή η σχέση αλληλεπίδρασης πλοίου-γραφείου μέσω νέων τεχνολογιών συντελεί σε αλλαγές προτύπων, διαδικασιών και μοντέλων.
Σε μια εποχή που το «έξυπνο» πλοίο δεν αποτελεί πια κάποιο trend αλλά είναι γεγονός, και η συζήτηση για το αυτόνομο πλοίο έχει ήδη ξεκινήσει έχοντας στον ορίζοντα την υλοποίησή του, αυξάνεται η εξάρτησή μας από την τεχνολογία, αλλά και οι κίνδυνοι που προέρχονται από αυτήν.
Πρακτικά, όσο αυξάνεται η χρήση συνδεδεμένων στο διαδίκτυο συστημάτων πάνω στο πλοίο, τόσο αυξάνεται ο κίνδυνος κυβερνοεπιθέσεων.
Τα συμβάντα κυβερνοεπιθέσεων στη ναυτιλία δεν είναι καινούργια, κυκλοφορούν σαν φήμες, πολλές φορές κουκουλώνονται, άλλες φορές παραμένουν και άγνωστα στα ίδια τα θύματα για καιρό.
Οι περισσότερες επιθέσεις (>90%) εκμεταλλεύονται τον ανθρώπινο παράγοντα. Βασίζονται δηλαδή είτε σε έλλειψη γνώσης και αμέλεια ώστε να αποκτηθεί πρόσβαση στα συστήματα μιας εταιρίας. Στόχος; το χρήμα, η πρόσβαση σε πληροφορίες, η δολιοφθορά.
Το υπόλοιπο 10% των περιστατικών βασίζεται σε εκμετάλλευση τεχνικών ευπαθειών και κενών σε διαδικασίες.
Το ρίσκο είναι υπαρκτό - ο τρόπος διαχείρισης και αντιμετώπισης επίσης.
Κάθε ναυτιλιακή εταιρεία πρέπει να συμπεριλάβει cyber risks στο matrix του risk assessment της.
Το Information Security δεν είναι νέο για άλλους κλάδους, απλά είναι κάτι καινούργιο για τη ναυτιλία. Ήδη στον τραπεζικό τομέα, στην ενέργεια, στη βιομηχανία όπως και σε άλλους τομείς ασχολούνται με την ασφάλεια πληροφοριών και επενδύουν σε αυτή αρκετά χρόνια τώρα, κάτι που τώρα δειλά ξεκινάμε να κάνουμε στη ναυτιλία.
Διάφοροι οργανισμοί έχουν εκδώσει οδηγίες καθώς και απαιτήσεις όσον αφορά το cyber security τόσο στα γραφεία όσο και στα πλοία.
Οργανισμοί όπως οι USCG, IMO, BIMCO, Intertanko, Intercargo προσπαθούν να αφυπνίσουν αφενός και να υποστηρίξουν με κατευθυντήριες οδηγίες αφετέρου τη ναυτιλιακή κοινότητα για το πρόβλημα.
Η ανάπτυξη μίας σειράς διαδικασιών και ορθής χρήσης των IT και ΟΤ συστημάτων αρχίζει πλέον να κρίνεται απαραίτητη όλο και περισσότερο με τις απαιτήσεις της αγοράς, όπως γίνεται με το Tanker Management Self Assessment 3 (TMSA3), που εισάγει πλέον το cyber security ως τομέα ενδιαφέροντος για τις εταιρείες διαχείρισης δεξαμενόπλοιων, με την εισαγωγή του Element 13. Επίσης η νέα νομοθεσία της Ευρωπαϊκής Ένωσης για την προστασία των προσωπικών δεδομένων (GDPR) είναι μια ευκαιρία ώστε να υπάρξει συμμόρφωση και βελτίωση των διαδικασιών, οι οποίες αφορούν την Ασφάλεια Πληροφοριών. Με τον κανονισμό πρέπει να συμμορφωθούν ΟΛΕΣ οι ναυτιλιακές εταιρείες που δραστηριοποιούνται στην Ε.Ε. ανεξαρτήτως χώρας εγκατάστασης της εκάστοτε μητρικής εταιρίας.
Η διαχείριση του κυβερνορίσκου δεν μπορεί παρά να είναι πολυπαραγοντική. Δεν αρκεί η υιοθέτηση ενός μέτρου, ή κάποιων διαδικασιών, ή η σύγκλιση με κάποια απ’ τα πρότυπα.
Ο στόχος δεν είναι η συμμόρφωση με πρότυπα, αλλά η ασφάλεια από έναν υπαρκτό κίνδυνο. Είναι επιβεβλημένος ο τεχνικός έλεγχος (vulnerability assessment, penetration testing) πάνω στο πλοίο, στο γραφείο, και σε τυχόν cloud συστήματα. Ο τεχνικός έλεγχος δεν αρκεί χωρίς να συνοδεύεται από την κατάλληλη εκπαίδευση όλου του προσωπικού που χρησιμοποιεί τεχνολογικούς πόρους, είτε στο πλοίο είτε στο γραφείο. Η ανύπαρκτη επαγρύπνηση του προσωπικού για την κυβερνοασφάλεια και τυχόν παραπλάνησή του από κακόβουλες ενέργειες (phishing, social engineering κ.λπ.) είναι δυνατόν να παρακάμψει τεχνικά μέτρα ασφαλείας. Πέρα από τον έλεγχο των συστημάτων και την εκπαίδευση από καιρού εις καιρόν, απαιτείται ένα σύνολο διαδικασιών που εξασφαλίζουν ότι αυτό το ικανοποιητικό επίπεδο ασφαλείας διατηρείται στην πάροδο του χρόνου.
Ακόμα και όλα αυτά τα μέτρα να έχουν υιοθετηθεί και να υπηρετούνται κατά γράμμα, η εμπειρία από άλλες βιομηχανίες που ψηφιοποιήθηκαν αρκετά νωρίτερα δείχνει ότι απαιτείται συνεχής παρακολούθηση των καίριων συστημάτων οποιασδήποτε κρίσιμης υποδομής, ώστε να υπάρχει εντοπισμός μιας απειλής σε πραγματικό χρόνο. Αυτό έχει γίνει γνωστό ως managed security και έχει υιοθετηθεί από όλους τους μεγάλους οργανισμούς που είτε διατηρούν εσωτερικά ένα 24ωρο τμήμα με σκοπό την παρακολούθηση πληροφοριών (SIEM - Security Information and Event Management), είτε παραχωρούν σε άλλες εταιρίες αυτό το έργο.
Τέλος, είναι πολύ σημαντικό όλες οι νέες διαδικασίες και πολιτικές να είναι tailor-made για την κάθε εταιρεία παίρνοντας τα κατάλληλα αντίμετρα ώστε να εφαρμόζονται και να είναι αποτελεσματικές.
Το θετικό είναι ότι ήδη υπάρχουν τα μέσα και η τεχνογνωσία προκειμένου να επιτευχθούν αυτά τα αντίμετρα, αρκεί η εκάστοτε ναυτιλιακή εταιρία να επιλέξει τους κατάλληλους συνεργάτες ώστε να προχωρήσει στο κατάλληλο και ανταποδοτικότερο σχέδιο εκπαίδευσης, διαχείρισης, υλοποίησης και αντιμετώπισης.
Εν κατακλείδι, το μόνο σίγουρο είναι ότι το cybersecurity δεν είναι εφήμερο πρόβλημα ή μια τάση που θα απλά θα «περάσει» αλλά μια ευκαιρία για όλες τις εταιρείες να μετασχηματίσουν τις διαδικασίες τους και να διαχειρίζονται με ασφάλεια τα δικά τους δεδομένα καθώς και των πελάτων τους αλλά και τρίτων μερών. Το Cyber Risk Management πλέον καθιερώνεται ως εμπορικό συγκριτικό πλεονέκτημα έναντι κάποιας εταιρείας που δεν έχει σχέδιο διαχείρισης και αντιμετώπισης.