Проведение уроков Эль-Фару для оценки кибер-риска

Эндрю Кинси17 апреля 2018
© aetb / Adobe Stock
© aetb / Adobe Stock

Международная морская организация (ИМО) Январь 2021 года срок для судовладельцев и менеджеров по внедрению управления кибер-риском в существующие системы управления безопасностью более близок, чем многие понимают, особенно учитывая сложный профиль, который представляет риск, и необходимость детальной процедуры для помогают защитить морские активы и предприятия. Неспособность должным образом решать кибер-риски намного больше, чем тот простой факт, что судно могло быть задержано государственными органами порта, если было установлено, что оно не соответствует требованиям. Хорошо, что риски, которые представляет собой кибер-событие для морских интересов, возникают, но важно помнить, что это лишь один из многих рисков, с которыми мы сталкиваемся. Изучая прошлые неудачи, связанные с традиционными рисками, мы можем лучше понять, как мы недооценили или нормализовали риски, которые присутствуют в нашей среде. С недавним выпуском финального отчета NTSB о потоплении Эль-Фаро я потратил время на обзор отчета и оглядываясь на свой собственный опыт. Я опечален тем, что вижу множество сходств в условиях, присущих как потерям Эль-Фаро, так и потерям морской электроники в 1983 году. Несколько заявлений и выводов в отчете NTSB затрагивают многочисленные операции на судах - не только тяжелая погода, которая была в случае с Эль-Фаро. Будут задействованы действия на борту судна, включая предстоящие гарантии и процедуры Cyber ​​Security.

В Отчете NTSB имеются следующие отрывки относительно систем управления безопасностью судов:

«Система управления безопасностью. Согласно ISM-коду, компания-владелец или любая другая организация, которая взяла на себя ответственность за эксплуатацию судна, несет ответственность за создание СМС для своих судов. Согласно разделу 1.2.2 кодекса, СМС следует «оценивать все выявленные риски для своих судов, персонала и окружающей среды и устанавливать соответствующие гарантии». Таким образом, в коде (раздел 7) указывается, что «компания должна установить процедуры , планы и инструкции, в том числе контрольные списки, в зависимости от ситуации, для основных операций на судах, касающихся безопасности персонала, судна и защиты окружающей среды ». Кроме того, в коде требуется, чтобы компания« идентифицировала потенциальные аварийные судовые ситуации и установила процедуры реагирования им."

Также:

"Резюме. Простое SMS-сообщение недостаточно для предотвращения катастроф. Необходимо предоставить специальный персонал, назначенный для обеспечения капитанов эффективными инструкциями и процедурами. Надежная подготовка и аудит гарантируют соблюдение инструкций и процедур. ДП должны активно участвовать в обслуживании СМС и следить за своими назначенными судами в течение каждого рейса ».

Отчет NTSB также содержит следующие рекомендации:

  • NTSB рекомендует Береговой охране США в Рекомендации по технике безопасности M-17-40: Изучить и провести обучение инспекторов береговой охраны и аккредитованных оценщиков классификационного общества, чтобы обеспечить их надлежащую квалификацию и поддержку для проведения эффективных, точных и прозрачных инспекций судов, соблюдая все законодательные и нормативные требования.
  • NTSB рекомендует Американскому бюро судоходства в рекомендации по безопасности М-17-62: Повысить уровень подготовки ваших сюрвейеров, чтобы обеспечить их надлежащую квалификацию и поддержку для проведения эффективных, точных и прозрачных осмотров судов, отвечающих всем нормативным и нормативным требованиям.
  • NTSB рекомендует TOTE Services, Inc. в Рекомендации по безопасности М-17-69: Провести внешний аудит, независимо от вашей организации или общества класса, всей вашей системы управления безопасностью для обеспечения соответствия международному коду управления безопасностью и исправления отмеченных недостатков ,

Эти отрывки и три рекомендации, вытекающие из инцидента в Эль-Фаро, следует помнить при планировании предстоящих SMS-процедур Cyber ​​Security и о проблемах, которые возникнут в письменной форме, внедрении и аудите эффективных процедур.

Хотя система управления безопасностью судна является лучшей платформой для программы Cyber ​​Security, мы не можем игнорировать тот факт, что это нетрадиционный риск. Мы не можем подойти к нашим процедурам и процессу аудита таким же образом, как и большинство наших операционных рисков в рамках СМС. Быстро развивающийся мир кибербезопасности и представленный им риск во многом противоречат нашей традиционной морской среде и рискам, с которыми мы сталкивались в течение многих поколений. Вы не можете услышать это или увидеть это как традиционный риск. Но он постоянно делает дополнительные на пути к тому, как мы ежедневно управляем и управляем судами. Этот факт не изменится, и риски, связанные с использованием этой технологии, не исчезнут. К сожалению, это подход к риску, с которым многие в морском сообществе подходят к кибербезопасности. Это должно измениться, поскольку характер кибер-риска таков, что он может иметь катастрофические последствия во всей нашей отрасли. Природа портов и судоходных путей такова, что судьба одной компании влияет на судьбу всех.

Некоторые из ключевых вопросов, которые нам нужно задать, включают:

  • Каковы требуемые уровни судовой и береговой поддержки, которые требуют эти новые технологии в ближайшей и краткосрочной перспективе?
  • Были ли правильно оценены затраты и дополнительные риски для конкретной технологии?
  • Разве преимущества перевешивают риски - суть, имеет ли смысл?


Когда мы приближаемся к Киберному сроку IMO 2021 года, важно помнить о целях наших систем управления безопасностью полетов и обеспечить, чтобы наши процедуры кибербезопасности были практичными, функциональными и эффективными. Также важно, чтобы мы смотрели на ту роль, которую оказывают аудиторы и поддержка береговой линии в эффективной имплантации этих политик. Как заявил NTSB в докладе Эль-Фаро: «Простое SMS-сообщение недостаточно для предотвращения катастроф. Необходимо предоставить специальный персонал, назначенный для обеспечения капитанов эффективными инструкциями и процедурами. Надежная подготовка и аудит гарантируют соблюдение инструкций и процедур.

С этой точки зрения необходимость проведения независимых аудитов кибербезопасности для обеспечения адекватности процедур является отклонением наших обычных критериев аудита SMS. Однако, учитывая характер этого риска и потенциальное воздействие отказа на адекватную защиту судна, необходим новый подход. Ключевым моментом, который мы в Allianz Global Corporate & Speciality поднимаем с уверенностью, является тот факт, что кибербезопасность - это гонка без финиша. По мере дальнейшего продолжения использования технологий для решения проблем и проблем морского транспорта потребность в активных, настраиваемых платформах кибербезопасности будет продолжать расти. Первым шагом в этом процессе является определение вашего текущего воздействия. В то время как кибер-риски продолжают развиваться и развиваться, мы не можем упускать из виду традиционные риски, с которыми сталкиваются корабли и моряки. Возможно, самым важным уроком потери SS El Faro является то, что мы учимся из нашего коллективного прошлого, чтобы защитить наше будущее.


(Как опубликовано в издании « Морской репортер и инженерные новости» от апреля 2018 года)

категории: безопасность на море, жертвы, жертвы, правовой