«Кибербезопасность — это обман» и другие заблуждения о мореплавании

Авторские права LailaBee/AdobeStock

В связи с принятием Береговой охраной США новых правил по кибербезопасности Ангелики Зисимату, директор по кибербезопасности ABS, имеет уникальную возможность обсудить вопросы морской кибербезопасности в ходе круглого стола, поделившись своими впечатлениями от проекта правил и поделившись советами о том, что они могут означать для судовладельцев.

Кибербезопасность и все, что с ней связано, быстро становятся приоритетными вопросами в сфере морского судоходства, поскольку растущая зависимость от связи — это палка о двух концах: обещания и опасности.

Хотя уровень готовности к кибербезопасности значительно различается во всех отраслях, возможно, самая большая проблема заключается в том, что некоторые даже не признают риск. «Много раз за последние восемь лет я слышала: «Кибербезопасность — это обман»; я слышала это снова и снова от экипажей, от операторов, от владельцев», — сказала Ангелики Зисимату, директор по кибербезопасности ABS, поскольку они считают, что их бортовые системы «изолированы» от бортового подключения, что приводит к ложному чувству безопасности.

Первый шаг для ABS — информировать, обучать и иллюстрировать, что да, угроза реальна. Просто спросите AP Moller-Maersk Group , одну из крупнейших в мире судоходных компаний, которая в 2017 году подверглась атаке NotPetya , нарушившей работу на 10 дней и стоившей сотни миллионов дохода.

В то время как морская отрасль в целом медленно внедряет кибербезопасность, Зисимату сказала, что владельцы и операторы крупных флотов серьезно относятся к риску, инвестируя значительные средства в собственные безопасные операционные центры, и она начинает видеть, как во всей отрасли меняется отношение, особенно когда такие громкие события, как NotPetya, попадают в заголовки и иллюстрируют потенциальный масштаб проблемы. Движущей силой, как обычно, являются новые правила Международной морской организации и Береговой охраны США.

«Для мелких и средних операторов и владельцев, я думаю, что регулирование является движущей силой их действий, поэтому они стараются придерживаться самого минимума, делая то, что предписано или рекомендовано», — сказал Зисимату.

Новые правила кибербезопасности USCG

Присоединяйтесь к «Cyber Security Lunch & Learn» в Новом Орлеане 13 ноября 2024 года в конференц-центре Morial. Мероприятие представляет собой модерируемую дискуссию о новых правилах кибербезопасности USCG и их потенциальном влиянии на операторов судовладельцев. Нажмите здесь, чтобы зарегистрироваться бесплатно.

Заполнение пробелов

По мере того, как все больше новых, подключенных судов выходят в сеть, а новое поколение моряков – онлайн-аборигенов – все больше берут под контроль морское пространство, осведомленность и действия в области кибербезопасности будут следовать за ними. До тех пор предстоит еще много работы.

«Отсутствие знаний по этой теме, [плюс] отсутствие обучения и осведомленности; это касается как экипажей, так и берегового персонала», — возможно, является самым большим пробелом на сегодняшний день, сказал Зисимату. «Даже судоходные компании, которые знают, что им нужно действовать, могут поручить эту задачу своему ИТ-отделу, а ИТ-персонал, как правило, [мало или совсем не имеет] знаний о бортовых системах», что создает проблему с того, с чего начать.

Устаревшие системы, работающие на борту существующих судов, включая Windows NT и другое устаревшее программное обеспечение, представляют собой не менее серьезную проблему с точки зрения уязвимости.

Еще одна потенциальная проблема на протяжении всей морской цепочки поставок — обладание адекватной прозрачностью обслуживания и модернизации бортовых систем, поскольку обычно владельцы и менеджеры судов заставляют поставщиков физически приходить на борт для доступа и модернизации систем, что дает мало или вообще не дает прозрачности того, что на самом деле было обновлено и установлено на судах. Получение полного контроля и прозрачности критических обновлений и обслуживания систем — еще один приоритетный пункт в списке «что сделать» владельца/менеджера судна.

Но хотя пробелы и проблемы потенциально велики, решения могут быть простыми, по крайней мере на первых порах.

«Я бы начал с очевидного», — сказал Зисимату. «Прежде всего, отнеситесь к этому серьезно. Рассматривайте это как реальный риск для ваших операций и вашего бизнеса. Следуйте предписаниям или рекомендациям IMO, рекомендациям NIST, фреймворка кибербезопасности. Следуйте инструкциям. Начните с очень надежной оценки риска и поместите в комнату нужных людей: людей из операционной деятельности и людей из ИТ-отдела. Проведите мозговой штурм; по-настоящему подумайте о рисках и о том, как их снизить. Если ваша идентификация риска плохая, то и меры контроля, которые будут реализованы, тоже плохие».

«Есть и другие пункты, например, учения по кибербезопасности каждые три месяца, требуемые в рамках регламента, что, по нашему мнению, слишком часто. И нет никакой конкретики; что это значит, что нужно тестировать?»
Ангелики Зисиматоу, директор по кибербезопасности, ABS


Новые правила береговой охраны

Ранее в этом году Береговая охрана опубликовала в Федеральном реестре проект правила, в котором предлагается обновить правила морской безопасности, добавив положения, специально направленные на установление минимальных требований к кибербезопасности для судов под флагом США, объектов на внешнем континентальном шельфе и объектов США, подпадающих под действие Закона о безопасности морских перевозок 2002 года. Ожидается, что новые правила будут окончательно доработаны в конце этого года, и остается много вопросов о том, что они будут предписывать и как это в конечном итоге повлияет на процедуры и расходы владельца/оператора судна.

«Мы предоставили Береговой охране некоторую обратную связь относительно того, чего потенциально не хватает или что потенциально может быть сложным для операторов», — сказала Зисимату. «[В настоящее время] мы на самом деле не знаем, будет ли новый регламент применяться к новым строящимся судам или к существующим судам тоже. Это окажет огромное влияние на суда под флагом США». Она сказала, что в предлагаемом правиле есть некоторые требования, которые говорят о сегментации сетей, например, и особенно на существующих судах, где сети обычно плоские, «что потребует некоторых дополнительных усилий».

Но на этом все не заканчивается.

«Есть и другие пункты, например, учения по кибербезопасности каждые три месяца, требуемые в рамках регламента, что, по нашему мнению, немного слишком часто», — сказал Зисимату. «Тогда нет никакой конкретики; что это значит, что нужно тестировать?»

Она сказала, что классификационное общество рекомендовало Береговой охране принять во внимание предложения IACS относительно новых строящихся судов, как решать вопросы всей цепочки поставок, от проектирования, ввода в эксплуатацию, строительства и срока эксплуатации судна, а также как оно подошло к конкретным мерам контроля, что позволит прояснить, что должен делать класс, что должен делать владелец, что должна делать верфь.

«Я жду, когда выйдет регламент, и я уверен, что Береговая охрана получила множество комментариев, над которыми они сейчас работают», — сказал Зисимату. «Я с нетерпением жду этого, и тогда я думаю, что это окажет огромное влияние, особенно [позже, когда] другие администрации флага выпустят больше регламентов на основе того, что изложила Береговая охрана».

Посмотрите полное интервью с Ангелики Зисимату, директором по кибербезопасности ABS, на Maritime Reporter TV: