H κυβερνοασφάλεια στη ναυτιλιακή βιομηχανία απαιτεί συνεχή επαγρύπνηση

Σε ένα τεύχος με αφιέρωμα στην κυβερνοασφάλεια για την ναυτιλία, είναι απαραίτητο να μάθουμε το πως αφουγκράζονται τα ζητήματα αυτά, οι επαγγελματίες που είναι υπεύθυνοι για τα θέματα διαχείρισης των τεχνολογιών σε αυτόν τον κλάδο, όπως αυτοί εκφράζονται θεσμικά, από τον Σύλλογο Στελεχών Πληροφορικής και Επικοινωνιών των Ναυτιλιακών Εταιρειών AMMITEC (Association of Maritime Managers in Information Technology and Communications), και συγκεκριμένα, μέσω του Προέδρου του Δ.Σ. του Συλλόγου, Θεμιστοκλή Σάρδη, στη συνέντευξη που μας παραχώρησε.

Συνέντευξη με τον Θεμιστοκλή Σάρδη

Πρόεδρο του Δ.Σ της AMMITEC

Είναι αναμφισβήτητο ότι η κυβερνοασφάλεια είναι σήμερα κρίσιμης σημασίας παράγοντας για τη ναυτιλιακή βιομηχανία, με δεδομένη την έξαρση των συμβάντων επιθέσεων, αλλά και τον ψηφιακό μετασχηματισμό που υφίστανται οι επιχειρήσεις του κλάδου. Ποιες είναι λοιπόν οι μεγαλύτερες προκλήσεις που αντιμετωπίζετε εσείς ως επαγγελματίες στα τμήματα τεχνολογίας των ναυτιλιακών εταιριών σχετικά με τα θέματα κυβερνοασφάλειας ;

Ο τομέας της κυβερνοασφάλειας αποτελεί πλέον ένα από τα πιο σύνθετα προβλήματα που καλείται να λύσει μία εταιρεία ανεξαρτήτως κλάδου δραστηριοποίησης. Οι προκλήσεις είναι πολλές και συνεχώς μεταβαλλόμενες. Οι σημαντικότερες από αυτές είναι:

Αύξηση των κυβερνοεπιθέσεων – Υπάρχει αύξηση σε όλους τους κλάδους, αλλά ειδικά στην ναυτιλία ο ρυθμός είναι εντυπωσιακός. Οι επιθέσεις που παρατηρούμε είναι κυρίως ransomware και phishing attacks με κύριο attack vector το e-mail, αλλά έχουν παρατηρηθεί και πιο προηγμένες επιθέσεις με στόχο συστήματα επικοινωνιών και τα GPS.
Προστασία των Δεδομένων – Η προστασία των ευαίσθητων δεδομένων, τόσο των πλοίων όσο και των εταιριών, είναι υψίστης σημασίας. Τα δεδομένα που αφορούν τη διαχείριση των πλοίων, τα οικονομικά στοιχεία και οι προσωπικές πληροφορίες των πληρωμάτων πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση και διαρροές.
Εκπαίδευση του Προσωπικού – Είναι γνωστό ότι η τελευταία γραμμή άμυνας στην κυβερνοασφάλεια είναι ο άνθρωπος. Παράλληλα είναι τις περισσότερες φορές και ο αδύναμος κρίκος. Έτσι η εκπαίδευση του προσωπικού, τόσο των ναυτικών όσο και του προσωπικού των γραφείων είναι εξαιρετικά κρίσιμη καθώς πρέπει να γνωρίζουν τις βασικές αρχές της κυβερνοασφάλειας και να μπορούν να αναγνωρίζουν ύποπτες δραστηριότητες ή απόπειρες κυβερνοεπιθέσεων.
Ενσωμάτωση Παλαιών και Νέων Τεχνολογιών – Η ενσωμάτωση παλαιών συστημάτων με νέες τεχνολογίες αποτελεί πρόκληση. Πολλά πλοία λειτουργούν με συστήματα που έχουν κατασκευαστεί πριν από δεκαετίες και δεν έχουν σχεδιαστεί με γνώμονα την κυβερνοασφάλεια. Η αναβάθμιση αυτών των συστημάτων για να ανταποκρίνονται στις σύγχρονες απαιτήσεις ασφάλειας είναι απαραίτητη αλλά και περίπλοκη διαδικασία.
Συμμόρφωση με Διεθνείς Κανονισμούς – Η συμμόρφωση με τους διεθνείς κανονισμούς και τα πρότυπα για την κυβερνοασφάλεια, όπως είναι οι οδηγίες του IMO (MSC-FAL.1/Circ.3/Rev.2), του IACS (UR E26 και UR E27), της Ευρωπαϊκής Ένωσης (NIS2) κτλ, απαιτεί συνεχή ενημέρωση και προσαρμογή στις νέες απαιτήσεις. Οι ναυτιλιακές εταιρείες πρέπει να εξασφαλίζουν ότι όλες οι διαδικασίες και τα συστήματά τους πληρούν τις διεθνείς προδιαγραφές συμπεριλαμβανομένων και των πλοίων.
Διαχείριση Απομακρυσμένων Πλοίων – Η διαχείριση της ασφάλειας των πλοίων, που πλέον αποτελούν απομακρυσμένα branch offices μια επιπλέον διάσταση πολυπλοκότητας. Εδώ σημαντικότατο ρόλο παίζουν τα δορυφορικά συστήματα επικοινωνίας και σημαντικός παράγοντας είναι η επικοινωνία και οι επαφές με τρίτους, όπως οι πράκτορες στα λιμάνια, οι αρχές, κτλ.

Συνοψίζοντας, η κυβερνοασφάλεια στη ναυτιλιακή βιομηχανία απαιτεί συντονισμένες προσπάθειες και συνεχή επαγρύπνηση από όλους τους εμπλεκόμενους. Τα πλοία από την οπτική της κυβερνοασφάλειας είναι ένα υβρίδιο μεταξύ απομακρυσμένου γραφείου και εργοστασίου, όπου γίνεται αλληλεπίδραση ΙΤ και ΟΤ συστημάτων ενώ είναι και δύσκολα προσβάσιμα στην περίπτωση προβλημάτων. Είναι απαραίτητο να αναπτύσσουμε και να εφαρμόζουμε ολοκληρωμένες στρατηγικές κυβερνοασφάλειας για να προστατεύσουμε τα πλοία και τα συστήματά μας από τις αυξανόμενες απειλές.

Πως επηρεάζει τα ζητήματα ασφάλειας, η συνεχόμενη και ραγδαία διείσδυση των Επιχειρησιακών Τεχνολογιών (ΟΤ) στα πλοία και η σύγκλιση τους με τις IT υποδομές; Τι απαιτήσεις δημιουργούνται ;

Ο Δρ. Ματθαίος Μαχαίρας (αριστερά), Αντιπρόεδρος της AMMITEC και ο Θεμιστοκλής Σάρδης (δεξιά) Πρόεδρος της AMMITEC σε παράλληλη εκδήλωση των Ποσειδωνίων 2024

Όπως ανέφερα και παραπάνω ένας παράγοντας πολυπλοκότητας είναι και η σύγκλισή των Operational Technologies (OT) με τις IT υποδομές δημιουργεί σημαντικές προκλήσεις στην προστασία των πλοίων. Η ενσωμάτωση των OT συστημάτων με τις IT υποδομές ενώ διευκολύνει την ζωή του πληρώματος, αυξάνει την επιφάνεια επιθέσεων. Οι OT συσκευές, όπως οι συστήματα ελέγχου, οι αισθητήρες, κτλ., είναι συχνά πιο ευάλωτες σε κυβερνοεπιθέσεις λόγω της παλαιότητας και της χαμηλότερης ασφάλειας σε σχέση με τις σύγχρονες IT υποδομές.

Έτσι, η διασύνδεση με τα IT συστήματα δημιουργεί τον κίνδυνο κυβερνοεπιθέσεων που μπορεί να επηρεάσουν την ασφαλή λειτουργία του πλοίου. Ο ΙΑCS το έχει διαγνώσει αυτό και έχει προσπαθήσει να καλύψει τα κενά με την εισαγωγή νέων οδηγιών που εφαρμόζονται από φέτος σε όλα τα καινούργια πλοία. Συγκεκριμένα, η UR E26 στοχεύει να διασφαλίσει την ασφαλή ενσωμάτωση τόσο του εξοπλισμού Τεχνολογίας Λειτουργιών (OT) όσο και της Πληροφορικής (IT) στο δίκτυο του πλοίου κατά τη διάρκεια του σχεδιασμού, της κατασκευής, της θέσης σε λειτουργία και της επιχειρησιακής ζωής του πλοίου. Αυτή η UR στοχεύει το πλοίο ως συλλογική οντότητα για την κυβερνοανθεκτικότητα και καλύπτει πέντε βασικές πτυχές: αναγνώριση εξοπλισμού, προστασία, ανίχνευση επιθέσεων, απόκριση και ανάκτηση.
Η UR E27 στοχεύει να διασφαλίσει ότι η ακεραιότητα του συστήματος εξασφαλίζεται και ενισχύεται από τους προμηθευτές εξοπλισμού τρίτων. Αυτή η UR παρέχει απαιτήσεις για την κυβερνοανθεκτικότητα των συστημάτων και του εξοπλισμού επί του πλοίου και περιλαμβάνει επιπλέον απαιτήσεις που αφορούν στη διεπαφή μεταξύ χρηστών και των συστημάτων που βασίζονται σε υπολογιστές επί του πλοίου, καθώς και απαιτήσεις σχεδίασης και ανάπτυξης προϊόντων για νέες συσκευές πριν από την εφαρμογή τους στα πλοία.

Όμως τα παλαιά πλοία παραμένουν ευάλωτα, έτσι είναι απαραίτητο σε κάθε περίπτωση οι OT συσκευές πρέπει να είναι σωστά διαμορφωμένες και να συντηρούνται τακτικά για να διασφαλιστεί ότι λειτουργούν με τις τελευταίες ενημερώσεις ασφάλειας, ενώ είναι απαραίτητη η χρήση προηγμένων τεχνολογιών ασφάλειας, όπως τα συστήματα ανίχνευσης εισβολών (IDS) και τα συστήματα παρακολούθησης δικτύων σε πραγματικό χρόνο (NDR), είναι απαραίτητη για την προστασία τόσο των IT όσο και των OT υποδομών.
Ας περάσουμε λίγο στα ζητήματα συμμόρφωσης με τις οδηγίες, τα κανονιστικά πλαίσια και τα πρότυπα για την κυβερνοασφάλεια στον κλάδο της Ναυτιλίας. Σε ποια σημεία των απαιτήσεων πρέπει να δίνεται ιδιαίτερη προσοχή ; Κατά πόσο επηρεάζεται ο κλάδος της ναυτιλίας – με βάση τις ιδιαιτερότητες που έχει – από την ευρωπαϊκή οδηγία NIS2 ;

Η συμμόρφωση με τις οδηγίες, τα κανονιστικά πλαίσια και τα πρότυπα για την κυβερνοασφάλεια στον κλάδο της ναυτιλίας είναι εξαιρετικά σημαντική. Έχω ήδη κάνει μία αναφορά παραπάνω για τις οδηγίες του IMO και του IACS, και είναι προφανές ότι λόγω της κρισιμότητας της ναυτιλίας, το κανονιστικό πλαίσιο είναι πολύ πιεστικό και μεταβάλλεται συνεχώς. Πέρα από το αναγκαστικό της συμμόρφωσης, θέλω να τονίσω πως οι κανονισμοί έχουν το θετικό ότι δίνουν κοινές κατευθυντήριες οδηγίες, οι οποίες αν ακολουθηθούν σωστά βελτιώνουν τον επίπεδο ασφάλειας των εταιρειών.

Σχετικά με το NIS2, είναι σημαντικό να διευκρινίσουμε ότι δεν αναφέρει συγκεκριμένα τη ναυτιλία και τα πλοία στις κρίσιμες υποδομές όπως έκανε η αρχική NIS, η οποία ανέφερε explicitly τους τομείς εφαρμογής της. Αντίθετα, η NIS2 αφήνει κάποια περιθώρια ερμηνείας. Έτσι ενώ οι λιμενικές υποδομές είναι κρίσιμες υποδομές, το αν κάποιο πλοίο ή τύπος πλοίου είναι δεν είναι ξεκάθαρο. Παρά ταύτα αξίζει να αναφέρουμε τα σημεία εστίασης της τα οποία είναι:

Διαχείριση Κινδύνου: Ανάπτυξη και εφαρμογή πολιτικών και διαδικασιών για τη διαχείριση κινδύνου στην κυβερνοασφάλεια.
Αναφορά Περιστατικών: Υποχρέωση αναφοράς περιστατικών ασφάλειας εντός συγκεκριμένων προθεσμιών.
Αξιολόγηση Ασφαλείας: Τακτική αξιολόγηση των μέτρων ασφάλειας και προσαρμογή στις νέες απειλές και ευπάθειες.

Είναι προφανές ότι ανεξαρτήτως αν ένα πλοίο θεωρείτε ή όχι κρίσιμη υποδομή, η NIS2 προωθεί τη συνεργασία μεταξύ των ναυτιλιακών εταιρειών, των κυβερνητικών φορέων και των παρόχων υπηρεσιών κυβερνοασφάλειας, για την ανταλλαγή πληροφοριών και βέλτιστων πρακτικών.

Ακολουθώντας τις οδηγίες της, oι ναυτιλιακές εταιρείες πρέπει να δώσουν ιδιαίτερη προσοχή στη διαχείριση κινδύνου, στην αναφορά περιστατικών και στη συνεχή εκπαίδευση του προσωπικού τους, για να διασφαλίσουν την προστασία των συστημάτων και των δεδομένων τους απέναντι στις αυξανόμενες κυβερνοαπειλές.

Πως οι εταιρίες του κλάδου της κυβερνοασφάλειας – πάροχοι λύσεων, υπηρεσιών και υλοποιητές έργων – μπορούν να σας βοηθήσουν αποτελεσματικά στη συμμόρφωση με τα κανονιστικά πλαίσια στο τομέα του cyber security αλλά και ουσιαστικά στην αναβάθμιση των αμυντικών μηχανισμών προστασίας των ναυτιλιακών εταιριών και των πλοίων. Τι ζητάτε από αυτές τις εταιρίες προκειμένου να καλυφθούν οι υψηλές απαιτήσεις που υπάρχουν ;

Οι εταιρίες του κλάδου της κυβερνοασφάλειας μπορούν να μας βοηθήσουν αποτελεσματικά στη συμμόρφωση με τα κανονιστικά πλαίσια και στην αναβάθμιση των αμυντικών μηχανισμών προστασίας των ναυτιλιακών εταιριών και των πλοίων με διάφορους τρόπους. Πρώτον, προσφέροντας εξειδικευμένες λύσεις και υπηρεσίες που καλύπτουν τις συγκεκριμένες ανάγκες του κλάδου μας. Αυτές περιλαμβάνουν εργαλεία για την ανίχνευση και την αποτροπή επιθέσεων, συστήματα παρακολούθησης και ανάλυσης, καθώς και λύσεις για την κρυπτογράφηση και την προστασία δεδομένων.

Δεύτερον, παρέχοντας εκπαιδευτικά προγράμματα και σεμινάρια για την ευαισθητοποίηση του προσωπικού μας σε θέματα κυβερνοασφάλειας. Η εκπαίδευση είναι κρίσιμη για να κατανοήσουν οι εργαζόμενοι τις απειλές και να μπορούν να ανταποκριθούν σωστά σε περίπτωση επίθεσης.

Τρίτον, υποστηρίζοντας τη διαδικασία συμμόρφωσης με τα διεθνή πρότυπα και τις κανονιστικές απαιτήσεις, όπως η οδηγία NIS2. Αυτό περιλαμβάνει τη διενέργεια ελέγχων ασφάλειας, την παροχή συμβουλών για τη βελτίωση των πολιτικών και των διαδικασιών ασφαλείας και την προετοιμασία για πιστοποιήσεις.

Από αυτές τις εταιρίες ζητάμε να διαθέτουν βαθιά κατανόηση των ιδιαιτεροτήτων της ναυτιλιακής βιομηχανίας και να μπορούν να προσαρμόζουν τις λύσεις τους στις ανάγκες μας. Επιπλέον, απαιτούμε διαφάνεια στις διαδικασίες τους, γρήγορη ανταπόκριση σε περιστατικά και συνεχή υποστήριξη για την αντιμετώπιση των νέων απειλών που εμφανίζονται.

Το Δ.Σ. της AMMITEC σε πρόσφατη εκδήλωση

Καλές οι τεχνολογίες, αλλά θα θέλαμε να εστιάσουμε λίγο και στον παράγοντα άνθρωπο και το πόσο κομβικός είναι σε ότι αφορά τα ζητήματα ψηφιακής ασφάλειας. Πως εσείς, ως στελέχη των τμημάτων τεχνολογίας στις ναυτιλιακές εταιρίες θα πρέπει να διαχειρίζεστε το σύνολο του ανθρώπινου δυναμικού σας προκειμένου να ενισχύσετε τις προσπάθειες σας για την ασφάλεια δεδομένων και υποδομών σε όλες τους τομείς ;

Ανέφερα και προηγουμένως ότι ο ανθρώπινος παράγοντας είναι ταυτόχρονα η τελευταία άμυνα και ο πιο αδύναμος κρίκος. Για τον λόγο αυτό είναι σημαντικότατη η εκπαίδευση σε θέματα κυβερνοασφάλειας τόσο στο προσωπικό του γραφείου όσο και στα πληρώματα, ώστε να δημιουργηθεί μία κουλτούρα κυβερνοασφάλειας.

Τακτικά εκπαιδευτικά προγράμματα που περιλαμβάνουν θεωρητικά μαθήματα και πρακτικές ασκήσεις βοηθούν το προσωπικό να αναγνωρίζει και να αντιδρά σε περιστατικά ασφάλειας. Ενθαρρύνουμε επίσης τη συμμετοχή σε σεμινάρια και συνέδρια για τη διαρκή ενημέρωση και ανάπτυξη δεξιοτήτων.

Η ύπαρξη ξεκάθαρων πολιτικών ασφάλειας και διαδικασιών, καθώς και τακτικών ελέγχων, είναι κρίσιμη. Όλοι οι εργαζόμενοι πρέπει να γνωρίζουν και να ακολουθούν τις διαδικασίες ασφαλείας. Η ηγεσία πρέπει να δίνει το παράδειγμα, προάγοντας την ευθύνη και την ανοιχτή επικοινωνία.

Με αυτές τις στρατηγικές, διασφαλίζουμε ότι το ανθρώπινο δυναμικό μας είναι έτοιμο να προστατεύσει τα δεδομένα και τις υποδομές της εταιρίας, ενισχύοντας συνολικά τις προσπάθειές μας για κυβερνοασφάλεια.

Κλείνοντας θα θέλαμε να μας αναφέρετε κάποια πράγματα για την AMMITEC γενικά αλλά και τις δράσεις που αναπτύσσετε αλλά και ειδικά για τον τομέα της κυβερνοασφάλειας ;

Στον τομέα της κυβερνοασφάλειας οι ανοικτοί δίαυλοι επικοινωνίας για τη διάχυση πληροφορίας είναι ουσιώδεις.

Ο σύλλογός μας, η AMMITEC (Association of Maritime IT & Communications), προωθεί τη συνεργασία και την ανταλλαγή πληροφοριών μεταξύ των στελεχών πληροφορικής των ναυτιλιακών εταιριών. Έχουμε πάνω από 120 μέλη, υψηλόβαθμα στελέχη στα τμήμα Πληροφορικής, Τηλεπικοινωνιών και Κυβερνοασφάλειας και μέσω του συλλόγου, ενημερωνόμαστε για τις τελευταίες εξελίξεις στην κυβερνοασφάλεια και ανταλλάσσουμε βέλτιστες πρακτικές και απόψεις πάνω σε προϊόντα και λύσεις.

Επιπλέον διοργανώνουμε συχνά ενημερωτικές συναντήσεις με πιο πρόσφατη μια πολύ ενδιαφέρουσα παρουσίαση και συζήτηση πάνω στο NIS2, την οποία μας παρουσίασε εκπρόσωπος της Εθνικής Αρχής Κυβερνοασφάλειας με συμμετοχή πενήντα στελεχών ναυτιλιακών εταιρειών και συμμετέχουμε ενεργά σε συνέδρια και ημερίδες. Για παράδειγμα τον ερχόμενο Σεπτέμβριο, δέκα μέλη του συλλόγου θα συμμετάσχουν στο 8TH NMIOTC CONFERENCE ON CYBER SECURITY IN THE MARITIME DOMAIN, που διοργανώνει το κέντρο εκπαίδευσης του ΝΑΤΟ στα Χανιά, ενώ είναι συνδιοργανωτής του συνεδρίου Ship IT που γίνεται φέτος για δέκατη φορά (www.shipit.gr).

Τέλος έχει ενδιαφέρον ότι σε πρόσφατο γεγονός κυβερνοεπίθεσης είχαμε άμεση ενημέρωση μέσω του κλειστού forum του συλλόγου μας, σχεδόν σε πραγματικό χρόνο.

Επιτρέψτε μου κλείνοντας να καλέσω τους αναγνώστες σας και κυρίως του συναδέλφους στην Ναυτιλία να επισκεφτούν την ιστοσελίδα μας www.ammitec.org για να μας γνωρίσουν και για να γίνουν μέλη μας.

Δυναμική ήταν η συμμετοχή του συλλόγου AMMITEC στην φετινή έκθεση των Ποσειδωνίων με δικό του περίπτερο

Προληπτική άμυνα και στρατηγική ανάκαμψη για την ενίσχυση της ανθεκτικότητας στον κυβερνοχώρο

Ευαισθητοποίηση εργαζομένων σε θέματα Κυβερνοασφάλειας: Δημιουργία Ανθρώπινου Τείχους προστασίας (Human Firewall)

Η αναγκαιότητα διαφορετικών προσεγγίσεων κυβερνοασφάλειας ανά κάθετη αγορά

Υπηρεσίες Penetration Testing με προσαρμογή στις εξατομικευμένες απαιτήσεις