Φταίει το Πλήρωμα του πλοίου που δε γνωρίζει;
Στα σύγχρονα πλοία, τα μέλη του πληρώματος που παραδοσιακά εργάζονταν σε περιβάλλοντα με περιορισμένη ή ανύπαρκτη συνδεσιμότητα, βρίσκονται πλέον αντιμέτωποι με νέες προκλήσεις και απειλές που προκύπτουν από την αυξημένη ψηφιακή δικτύωση, καθώς βασικές διεργασίες όπως η πλοήγηση, η επικοινωνία και η διαχείριση φορτίων βασίζεται σε προηγμένα ψηφιακά συστήματα ΙΤ & ΟΤ.
Η οδηγία NIS-2 (2022/2555) θεσπίζει αυστηρότερες απαιτήσεις για τη διαχείριση κινδύνων και την αναφορά συμβάντων, ενώ καλύπτει ευρύτερο φάσμα τομέων σε σχέση με την αρχική οδηγία NIS (2016/1148), περιλαμβάνοντας τομείς της Ενέργειας, Υγείας, Μεταφορών, Ψηφιακών Παρόχων και Υποδομών, Ταχυδρομικών Υπηρεσιών, Κατασκευαστικών, κ.ά..
Οι πιο συνηθισμένες μέθοδοι επιθέσεων που στοχεύουν στον ανθρώπινο παράγοντα αποσκοπούν στον έλεγχο των συστημάτων ναυσιπλοΐας μέσω εγκατάστασης κάποιου κακόβουλου λογισμικού, χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής, όπως π.χ. αποστολή μολυσμένων αρχείων σε κάποιο phishing e-mail, παραποίηση της ταυτότητας παρόχων λογισμικού, χρήση μολυσμένων USB ή επίσκεψη σε μολυσμένο ιστότοπο.
Ας φανταστούμε λοιπόν ένα σενάριο όπου ένα μέλος του πληρώματος αποβιβάζεται από το πλοίο σε κάποιο λιμάνι. Στην αναζήτησή του για φόρτιση της συσκευής του, βρίσκει μια δημόσια θύρα φόρτισης και συνδέει το κινητό του. Όμως τυχαίνει η θύρα αυτή να είναι μολυσμένη με κακόβουλο λογισμικό. Επιστρέφοντας στο πλοίο, συνδέει τη συσκευή του στο δίκτυο του πλοίου και έτσι το κακόβουλο λογισμικό εξαπλώνεται, μολύνοντας και θέτοντας σε κίνδυνο τα συστήματα του πλοίου… Στο σενάριο αυτό, η άγνοια του πληρώματος καταλήγει σε έναν ψηφιακό εφιάλτη!
Πώς περιορίζονται αυτές οι απειλές; Αρκούν μόνο οι τεχνολογίες ασφάλειας;
Η απάντηση είναι πως όχι, οι τεχνολογίες ασφάλειας από μόνες τους δεν επαρκούν. Η ανάγκη για εκπαίδευση των ανθρώπων είναι ζωτικής σημασίας και δεν αποτελεί απλώς μια λογική επιταγή, αλλά είναι πλέον κανονιστική απαίτηση.
Από το 2021, ο Διεθνής Ναυτιλιακός Οργανισμός (IMO) έχει αναγνωρίσει την κρίσιμη σημασία της κυβερνοασφάλειας, ενσωματώνοντάς την στα συστήματα διαχείρισης ασφάλειας (ISM Code). Το εγχειρίδιο κυβερνοασφάλειας περιλαμβάνει πολιτικές για την προστασία των υποδομών IT & OT από κυβερνοεπιθέσεις και διαχείριση περιστατικών κυβερνοασφάλειας, ορίζοντας ρόλους και ευθύνες αξιωματικών και πληρώματος. Επιπλέον, οργανισμοί όπως η BIMCO, CLIA, ICS, INTERCARGO και INTERTANKO καταρτίζουν αντίστοιχες κατευθυντήριες γραμμές.
Εκπαιδεύοντας τα μέλη του Πληρώματος: Περιορισμοί και Προκλήσεις
Βασικές παράμετροι που θα πρέπει να σκεφτούμε για την επιλογή του κατάλληλου προγράμματος επιμόρφωσης για την κυβερνοασφάλεια για τα μέλη του πληρώματος είναι η γλώσσα και ο τρόπος παρουσίασης του υλικού, η διάρκεια, η συχνότητα και φυσικά το περιεχόμενο.
Μία από τις κύριες προκλήσεις εκτός από τη γλώσσα, είναι και το γεγονός ότι τα μέλη του πληρώματος δεν έχουν όλα την ίδια ευθύνη, το ίδιο επίπεδο μόρφωσης και κουλτούρας. Επομένως, η προσέγγιση ως προς τη γλώσσα και τον τρόπο παρουσίασης του υλικού θα πρέπει να επιλεγεί κατάλληλα ώστε το υλικό να είναι κατανοητό, με απλά παραδείγματα και πρακτικές, αποφεύγοντας τεχνικούς όρους και λεπτομέρειες.
Πως όμως μπορούμε να διασφαλίσουμε και ότι το περιεχόμενο του εκπαιδευτικού υλικού είναι αποτελεσματικό; Το τυποποιημένο και πιστοποιημένο εκπαιδευτικό υλικό καλύπτει τις κανονιστικές απαιτήσεις για εκπαίδευση του πληρώματος, αλλά δεν αποτυπώνει τις ιδιαίτερες ανάγκες και λειτουργίες κάθε εταιρείας και του εκάστοτε πλοίου. Για να έχει άξια η εκπαίδευση, το περιεχόμενο πρέπει να είναι προσαρμοσμένο στο συγκεκριμένο περιβάλλον του πλοίου.
Τέλος, από την εμπειρία μας μπορούμε να πούμε με σιγουριά πως η διαδικασία εκπαίδευσης και ευαισθητοποίησης πρέπει να είναι συνεχής και να περιλαμβάνει τακτικές δράσεις που θα τονίζουν κρίσιμα θέματα και νέες απειλές.
Σχεδιάζοντας μια Στρατηγική Εκπαίδευσης και Ευαισθητοποίησης …
Για την επίτευξη της μέγιστης αποτελεσματικότητας και την εδραίωση της κουλτούρας ασφάλειας στο πλοίο και στην εταιρεία, απαιτείται μια ολιστική και εξατομικευμένη στρατηγική εκπαίδευσης και ευαισθητοποίησης. Βασικοί άξονες αυτής της στρατηγικής είναι ο προσδιορισμός των αναγκών του πληρώματος και του κατάλληλου τρόπου εκμάθησης κάθε ατόμου (Learning Type) που θα συμβάλλει στην ενσωμάτωση των γνώσεων και την ενεργό συμμετοχή τους. Τα εργαλεία της στρατηγικής αυτής είναι η χρήση απλού και κατανοητού περιεχομένου σε συνδυασμό με διαδραστικές και πρακτικές εκπαιδευτικές μεθόδους, οι οποίες ενισχύουν στην κατανόηση σύνθετων εννοιών από όλα τα μέλη του πληρώματος. Παράλληλα, δεν πρέπει να αγνοούμε τη θέσπιση ενός πλάνου εκπαιδευτικών δράσεων με τακτικές ενημερώσεις και συνεχή εκπαίδευση, ώστε το Πλήρωμα να είναι σε θέση να αντιμετωπίσει τις διαρκώς εξελισσόμενες απειλές του κυβερνοχώρου.
Ας μη ξεχνάμε αυτό που μας δείχνουν όλες οι στατιστικές… ότι ο ανθρώπινος παράγοντας παίζει καθοριστικό ρόλο στην ασφάλεια των πληροφοριών. Ακόμα και τα πιο προηγμένα τεχνολογικά μέτρα προστασίας μπορεί να αποτύχουν αν το πλήρωμα δεν είναι επαρκώς εκπαιδευμένο και ευαισθητοποιημένο. Οι αξιωματικοί και το πλήρωμα είναι συχνά ο πρώτος και τελευταίος κρίκος στην αλυσίδα της ασφάλειας του πλοίου, και οι ανθρώπινες αδυναμίες, όπως η αμέλεια ή η έλλειψη γνώσης, μπορούν να αποτελέσουν σημεία εισόδου για τις κυβερνοεπιθέσεις. Αξίζει λοιπόν η στρατηγική ευαισθητοποίησης να είναι το βασικό μας εργαλείο και όχι μια ακόμη διαδικασία.
Ποιος Μπορεί να Βοηθήσει;
Τα προηγμένα προγράμματα ευαισθητοποίησης και εκπαίδευσης που παρέχει η εξειδικευμένη ομάδα της Cyber Noesis και η πλατφόρμα isAWARE είναι το ιδανικό εργαλείο για το σχεδιασμό της στρατηγικής και την υλοποίηση δράσεων εκπαίδευσης και ευαισθητοποίησης για την κυβερνοασφάλεια του πληρώματος. Κάθε δράση προσαρμόζεται στις ιδιαιτερότητες κάθε ναυτιλιακής εταιρείας, εξασφαλίζοντας την πλήρη κατανόηση και αντιμετώπιση των σύγχρονων κυβερνοαπειλών, με δυνατότητα πιστοποίησης από διεθνείς φορείς της Ναυτιλίας.