Морская кибербезопасность: необходим новый подход

© stepheng101 / Adobe Stock

Настало время перейти к количественному подходу, который обеспечивает более глубокое понимание отдельных элементов риска, наблюдаемых в морских операционных системах.

Расширение возможностей подключения в сложных морских операционных системах усиливает потенциальное воздействие инцидентов, связанных с кибер-связью, и усложняет задачу защиты от них. Традиционные методы оценки кибер-риска предоставляют неадекватные рекомендации по применению ограниченных ресурсов безопасности.

В настоящее время доступные методы оценки риска в значительной степени являются качественными. Тем не менее, эти методы действительно обеспечивают основу для планов управления рисками, по которым владельцы и операторы используют программы для выявления, защиты, обнаружения и восстановления от нарушений кибербезопасности. Основываясь на этой модели, настало время перейти к количественному подходу, который обеспечивает более глубокое понимание отдельных элементов риска, наблюдаемых в морских операционных системах, и предоставляет владельцам технические «ручки для поворота» для их сокращения.

Наиболее распространенным уравнением, используемым для представления кибер-риска, является: Risk = Threat x Уязвимость x Следствие. Это уравнение оказалось полезным для практиков, поскольку оно помогло аналитикам интуитивно понять, что риск состоит из трех составляющих элементов и указывает, что, удалив один из этих элементов, риск может быть уменьшен. Но эта формула - это меньше уравнения в математическом смысле, чем эталонная модель для понимания природы риска кибербезопасности. Его три элемента в значительной степени трудно измерить и являются проблематичными при попытке спроектировать и / или вычислить решение кибербезопасности. Для современного морского практиканта риска основной задачей является создание модели, которая определяет кибер-риск, чтобы ее можно было подсчитать, измерить, вычислить и смоделировать для морских операционных систем.

Недавно АБС сотрудничала с Институтом Стивенса, чтобы исследовать эту проблему для морского сектора и переопределить уравнение в терминах, которые являются счетными, наблюдаемыми и легко понятными. Одна из наших исследований, проведенных Институтом Стивенса, заключалась в том, что характер морского риска в кибербезопасности не определен или не определен. Не особенно хорошо управляется.

Результатом стала новая модель, которая помогает владельцам активно контролировать риски кибербезопасности.

Эти риски, в свою очередь, приводят к особым требованиям, техническим решениям и обязательствам по ресурсам. Модель фокусируется на выявлении решений, которые являются расчетно спроектированными, высоко детализированными и в контексте рисков, которым необходимо управлять.

Фактически, он помещает элементы управления для ответа на кибер-риски обратно в руки владельца активов.

Смена практики кибер-рисков в отрасли от традиционных методов защиты до измеримого процесса потребует от отрасли изменения в разговоре, но, самое главное, это также потребует изменения в том, как рискованные практики рискуют.

Чтобы представить «Следствие, уязвимость и угрозу» в качестве вычислимых элементов уравнения риска для технологии работы, мы заменили их понятиями «Функции, связи и идентичности» (FCI), соответственно.

«Функции» позволяют экипажу маневрировать судном или выполнять свою миссию, которая может быть чем угодно, от бурения масла, до перевозки людей и груза или их комбинаций. В уравнении риска FCI они представляют собой системы, которые кибер-атакующий будет стремиться контролировать или побеждать: рулевое управление, мониторы местоположения, двигательные системы, коммуникации, что угодно, чтобы служить своей цели.

«Соединения» представляют в отношении морской операционной технологии, как функции взаимодействуют друг с другом, на берег, спутники, Интернет и т. Д.

Внутри каждого соединения есть «узел», точка, через которую кибер-вторжение получает доступ.

«Тождества» - это либо человеческое, либо цифровое устройство. Замена угрозы с помощью удостоверения позволяет подсчитывать угрозы, концепцию прорыва для продвижения расчета морского риска.

В контексте модели FCI угроза должна иметь повестку дня. Они могут варьироваться от недостаточной осведомленности о кибер-рисках к непреднамеренному поведению - «Я не буду придерживаться правил компании и выполнять свои обязанности безопасным способом» - или такие действия, как захват навигационных систем, чтобы украсть или уничтожить судно , или другие действия, нарушающие обычные операции, как правило, для денежной выгоды.

Затем количественные данные из функций, подключений и тождеств подсчитываются и используются для заполнения рабочего листа, который создает индекс риска, чтобы продемонстрировать, как определенные изменения FCI изменят относительный риск конфигурации каждой системы.

Процесс, описанный здесь, упрощен, но индекс риска в конечном счете дает количественный вид относительного риска, связанного с архитектурным дизайном отдельных систем на борту судна. Это то, чего не хватало в морском пространстве кибербезопасности.

Метод FCI определяет, надлежащим образом ли защищены узлы подключения (точки доступа) и независимо от того, контролировал ли владелец имущества Тождества тех, кому был предоставлен доступ к узлам и запрещенным областям в архитектуре системы управления судном.

Индекс иллюстрирует вклад каждого компонента в общий риск. Например, на основании этих индивидуальных вкладов владелец может перепроектировать сетевую архитектуру для реинжиниринга доступа к системе, либо посредством человеко-машинных интерфейсов, сотовых телефонов, флэш-накопителей или подключений к Интернету.

Этот новый подход позволяет владельцу взглянуть на весь флот, чтобы определить относительный риск, связанный с каждым судном, в зависимости от того, как его цифровая система спроектирована, как люди могут получить к ней доступ, а также то, как узлы или точки доступа , защищены.

ABS обеспечивает индекс риска, рассчитанный по методу FCI, который представляет собой относительный уровень риска, свойственный проектированию и эксплуатации цифровой системы на судне. Это помогает владельцам решить, где разместить свои часто ограниченные ресурсы киберзащиты.

В промышленности есть старая поговорка: вы не можете управлять тем, что вы не измеряете. По мере того, как морская индустрия продолжит свой путь к автоматизации, компании, которые могут измерять и управлять кибер-риском, будут лучше ориентированы на решение проблем в новую эпоху цифровых технологий.

Как отрасль, способность измерять кибер-риск станет основной основой эффективности и безопасности работы.

(Как опубликовано в издании « Морской репортер и инженерные новости» от апреля 2018 года)