Cybersecurity in the maritime sector

5 działań, które zwiększą poziom cyberbezpieczeństwa w sektorze morskim

Cyberbezpieczeństwo w sektorze morskim wymaga zbudowania kompleksowej strategii, na którą składa się ochrona specjalistycznych systemów IT/OT, wykorzystanie dobrych praktyk zawartych w standardach branżowych, uświadomienie pracownikom zagrożeń oraz odpowiednia kontrola dostępu.

Wraz z postępującą digitalizacją rośnie też liczba cyberzagrożeń. Jest to widoczne w każdej branży, ale sytuacja w sektorze morskim jest specyficzna. Ochrony wymagają tu nie tylko systemy IT i OT, ale także unikalne środowiska w portach i na statkach. Atak wymierzony w tę branżę bywa też znacznie bardziej rozległy i kosztowny. Może uruchomić reakcję łańcuchową i objąć swoim zasięgiem bardzo dużą liczbę podmiotów, zarówno na lądzie, jak i na statkach, powodując ogromne straty. Przykładowo, straty poniesione w 2017 roku przez żeglugowego giganta Maersk w wyniku ataku przy wykorzystaniu złośliwego oprogramowania NotPetya wyceniono na 300 mln USD.

Incydenty związane z systemami nawigacyjnymi i sterującymi mogą np. wymusić zamknięcie strategicznej drogi wodnej, co jest związane z kolosalnymi problemami. Aby zdać sobie sprawę z konsekwencji takiego zdarzenia, warto przytoczyć historię blokady Kanału Sueskiego w 2021 roku. Co prawda nastąpiła ona w wyniku warunków atmosferycznych, a nie działań przestępczych, pokazuje jednak skalę kosztów, jakie może za sobą pociągnąć takie wydarzenie. W momencie blokady około 10% całkowitego światowego handlu przepływało przez ten kanał. Pośród zablokowanych jednostek znalazło się 100 statków przewożących produkty dla sieci IKEA oraz 80 statków transportujących herbatę i kawę, co wywołało wzrost cen towarów w całej Europie.

Częstotliwość ataków w branży morskiej stale się zwiększa, a zagrożenia, jakie ze sobą niosą, powinny być traktowane tak samo poważnie, jak zagrożenia związane z fizycznym bezpieczeństwem i ochroną życia. Dlatego wypracowanie efektywnej strategii bezpieczeństwa w sektorze jest sprawą pilną i konieczną. Można wskazać wiele dobrych praktyk związanych z budową cyberochrony, warto jednak zwrócić uwagę na pięć z nich.

W oczekiwaniu na NIS2 – stan przygotowań

Pobierz raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro dotyczący gotowości firm w Polsce na przyjęcie dyrektywy NIS2 oraz wyzwań związanych z jej wdrożeniem.

Lock

Ochrona systemów na statku

Cyberbezpieczeństwo ma krytyczne znaczenie dla specjalistycznych systemów IT/OT wykorzystywanych przez statki, np. AIS (Automatic Identification System), ECDIS (Electronic Chart Display and Information System), ARPA (Automatic Radar Plotting Aid), VDR (Voyage Data Recorder) oraz EPIRB (Emergency Position-Indicating Radio Beacon). Atak na którykolwiek z nich może spowodować duże zagrożenia dla żeglugi.

Statki muszą być przygotowane na zwiększone środki bezpieczeństwa ze względu na ich podatność na incydenty. Przede wszystkim należy zadbać o segmentację wewnętrznej sieci oraz o odseparowanie jej od sieci publicznych. Konieczny jest też stały monitoring w celu wykrywania wszelkich anomalii dotyczących ruchu w sieci czy też nietypowych działań. Wciąż, jak pokazują badania, wiele firm z sektora zabezpiecza swoje środowiska IT i OT wyłącznie firewallami. To zdecydowanie za mało. Nie należy opierać cyberbezpieczeństwa tylko na jednym rozwiązaniu, muszą to być różne narzędzia, które ze sobą wzajemnie współpracują w ustalonym procesie.

Najlepiej jest stworzyć politykę bezpieczeństwa opisaną w odrębnym dokumencie, która mówi o tym, jaki poziom zabezpieczenia należy osiągnąć. Na jej podstawie opracowuje się procedury wykonawcze zawierające opis szczegółowych działań dotyczących proaktywnego unikania zagrożeń oraz sposobu reagowania, gdy nastąpi atak. Z dokumentem tym musi zapoznać się cała załoga, jak i zespoły lądowe wspierające statki.

Regulacje i standardy branżowe jako wyzwalacze cyberodporności

Regulacje i standardy należy postrzegać jako punkt odniesienia, na którym można budować dobrze działającą strategię cyberbezpieczeństwa. Wdrożenie zaleceń (NIST, NIS2, E26 i E27) powoduje, że działania ochronne stają się bardziej znormalizowane, co ułatwia ich monitorowanie, utrzymanie i audyt. 

NIST jest zbiorem wytycznych, których należy przestrzegać, aby lepiej przygotować się do identyfikacji, blokowania, wykrywania i reagowania na skutki ataków. Natomiast dyrektywa europejska NIS2 (termin jej pełnej implementacji mija 17.10.2024 r.) to unijne przepisy, które mają na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE, w tym zapewnienie bezpieczeństwa partnerów w łańcuchu dostaw technologii IT. NIS2 stawia przede wszystkim na działania prewencyjne. Z kolei E26 i E27 odnoszą się wprost do obszaru transportu morskiego i mają zastosowanie do podstawowych systemów pokładowych. Obie dyrektywy będą obowiązkowe dla wszystkich nowych jednostek od lipca 2024 r.

Warto już teraz wdrożyć dobre praktyki zalecane przez regulacje, nawet jeśli nie stały się jeszcze obowiązkowe. To właściwy ruch wobec następującej digitalizacji sektora, która wymaga szczególnej dbałości o zabezpieczenie danych.

Współpraca ze wszystkimi podmiotami z łańcucha dostaw

Branża morska jest wysoce zależna od różnych zewnętrznych dostawców i stron trzecich. To m.in. przedsiębiorstwa spedycyjne, agencje celne i tysiące innych przedsiębiorstw. W celu skoordynowanego podejścia do cyberbezpieczeństwa konieczna jest współpraca w całym łańcuchu dostaw, ponieważ pozostawione luki otwierają furtkę do kolejnych ataków lub ich wzmożenia.

Organizacje morskie powinny dbać o to, by w łańcuchu dostaw wszystkie podmioty stosowały odpowiednie praktyki dotyczące zapewnienia cyfrowego bezpieczeństwa. Warto zawierać z partnerami, kontrahentami i klientami umowy dokładnie określające wymogi dotyczące cyberbezpieczeństwa (wraz z prawem do audytu).

Współpraca powinna również obejmować dzielenie się wiedzą, co sprzyja proaktywnej ochronie, a także służy tworzeniu standardów i dobrych praktyk. Zadanie takie pełni branżowy ISAC (Information Sharing and Analysis Center). Jest to centrum wymiany informacji i doświadczeń dotyczących incydentów cyberbezpieczeństwa. Gromadzenie takich danych pozwala określić, z jakimi problemami mierzą się organizacje morskie i zbudować mapę zagrożeń. Wiedza gromadzona i przekazywana przez ISAC pozwala szybciej zareagować na incydent i uchronić inne firmy przed ich konsekwencjami.

Szkolenia na wszystkich poziomach zatrudnienia

Szkolenia podnoszące świadomość zagrożeń mają kluczowe znaczenie dla bezpieczeństwa w całej organizacji, od kierownictwa wyższego szczebla po wszystkich pracowników i załogę statku. Nie od dziś wiadomo, że ludzie są często najsłabszym ogniwem w całym łańcuchu bezpieczeństwa i większość incydentów wynika z ich błędów. Pracownicy muszą wiedzieć, jak bezpiecznie korzystać z cyfrowych narzędzi i jakie aktywności mogą być ryzykowne. Będą też potrafili wykrywać anomalie w sieci oraz zauważać działania odbiegające od standardów określonych w polityce bezpieczeństwa.

Krajobraz zagrożeń wciąż ewoluuje, więc co jakiś czas wiedza na ich temat musi być odświeżana. Regularne, zaktualizowane i spójne szkolenia odgrywają ważną rolę w tworzeniu świadomej ryzyka siły roboczej i kultury bezpieczeństwa cybernetycznego w sektorze morskim.

Zarządzanie uprawnieniami użytkowników

Nieustanny rozwój systemów informatycznych wymusza konieczność wdrożenia w organizacji zarządzania uprawnieniami w zależności od roli pracownika oraz od jego kompetencji. Szczególnie uważnie trzeba się przyglądać dostępom uprzywilejowanym i ich nie nadużywać, ponieważ bardzo często ataki są ukierunkowane na przejęcie roli administratora. Nic w tym dziwnego – uprawnienia administratora umożliwiają pełny dostęp do ustawień konfiguracji systemu i wszystkich danych. Użytkownicy logujący się w ten sposób mogą otworzyć furtki cyberprzestępcom i umożliwić łatwiejsze wykorzystanie istniejących luk w zabezpieczeniach. Dlatego zarządzanie tożsamością i dostępem zdalnym, które jest ważną częścią ogólnego planu bezpieczeństwa cybernetycznego, nie powinno być zaniedbywane.

Warto nadmienić, że prócz oczywistej ochrony przed zagrożeniami i nieautoryzowanym dostępem, wdrożenie systemu do zarządzania uprawnieniami ma jeszcze jeden dodatkowy wymiar. Porządkuje procesy w organizacji oraz pozwala na lepsze monitorowanie działań użytkowników oraz ich odtworzenie. To przydatne informacje w kontekście ewentualnych audytów.



Podsumowanie

Cyberbezpieczeństwo stanowi coraz ważniejszy aspekt działalności w sektorze morskim. W obliczu rosnących zagrożeń, warto zwrócić uwagę na kluczowe działania: szczegółową ocenę ryzyka, regularne szkolenia, implementację nowoczesnych technologii, większą współpracę i regularne aktualizacje procedur. Odpowiednie wdrożenie i zaadaptowanie tych aspektów może zwiększyć poziom naszego bezpieczeństwa. Pamiętajmy, że inwestycja w bezpieczeństwo to inwestycja w przyszłość.

Artykuł został opublikowany wcześniej na portalu gospodarkamorska.pl (22.01.2024).


Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

 


Informacje

Polecane artykuły

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Pobierz raport CSO Council, EY Polska i Trend Micro: W oczekiwaniu na NIS2: stan przygotowań i dowiedz się więcej o gotowości organizacji do wdrożenia wymogów Dyrektywy NiS2.

Wdrożenie dyrektywy NIS2 w transporcie – wyzwania i prognozy

Polskie firmy związane z transportem przygotowują się do wdrożenia unijnej dyrektywy NIS2, która ma znacząco zwiększyć zakres cyberbezpieczeństwa. Dla wielu z nich będzie to jednak spore wyzwanie i duże koszty, niezbędne stanie się też całkowicie nowe podejście do tej tematyki. O tym, jak sektorowo można przygotować się na wyzwania i szanse związane z wdrożeniem założeń dyrektyw NIS odpowiada Kamil Pszczółkowski, doświadczony ekspert EY, który od ponad 17 lat zajmuje się cyberbezpieczeństwem i programami transformacyjnymi.