Vessel IT & OT Risk Management

Τα σύγχρονα εμπορικά πλοία χαρακτηρίζονται ως “Πλωτά Ψηφιακά Γραφεία” καθώς φιλοξενούν και αλληλοεπιδρούν με πολύπλοκα, ετερογενή Πληροφοριακά Συστήματα και εξαρτώνται από πολλούς παρόχους (π.χ. παρόχους εξοπλισμού πλοήγησης, παρόχους cloud υπηρεσιών, παρόχους τηλεπικοινωνιών κ.λπ.).

Δρ. Θεόδωρος Ντούσκας,

Managing Director, ICT PROTECT

 www.ictprotect.com

Πληροφοριακά συστήματα απαραίτητα για τις καθημερινές διεργασίες του πληρώματος όπως:

• Επικοινωνία και ανταλλαγή δεδομένων από το πλοίο προς τα συστήματα του γραφείου της ναυτιλιακής εταιρίας
• Ενημέρωση του Συστήματος ERP πλοίου / γραφείου
• Σύστημα διασφάλισης της ομαλής φόρτωσης & εκφόρτωσης του εμπορεύματος
• Εγγραφές σε συστήματα απαραίτητα για τη συμμόρφωση με κανονισμούς όπως η παρακολούθηση, ο προγραμματισμός και η διεξαγωγή των συντηρήσεων (Plan Maintenance System, PMS)

Αυτοματοποιώντας Κρίσιμες Διεργασίες

Ταυτόχρονα, τα Operational Technology (OT) ή Industrial Internet of Things (IIoT) Systems, τα οποία αυξάνονται και υιοθετούνται συνεχώς από τις ναυτιλιακές εταιρίες, έρχονται να αυτοματοποιήσουν ή/και να ενισχύσουν κάποιες κρίσιμες διεργασίες, όπως:

• η παρακολούθηση της κατάστασης (επίπεδο θερμοκρασίας, επίπεδο υγρασίας) του εμπορεύματος
• η παρακολούθηση του επιπέδου βλαβερών για το πλήρωμα αερίων (πχ. παρακολούθηση της περιβαλλοντικής κατάστασης των δεξαμενών των Tankers)
• η βελτιστοποίηση της διαδρομής της πορείας του πλοίου
• η παρακολούθηση της απόδοσης των μηχανών του πλοίου
• η παρακολούθηση καταναλώσεων και εκπομπών CO₂

Προφανώς όλα τα συστήματα του πλοίου έχουν πολλές εξαρτήσεις με 3^rd party οργανισμούς όπως:

• Navigation Providers: Εταιρίες οι οποίες είναι υπεύθυνες για την υποστήριξη των συστημάτων και των χαρτών πλοήγησης (όπου σε ένα μεγάλο ποσοστό είναι μόνο ψηφιακοί).
• Cloud Providers: Λόγω της ραγδαίας εξέλιξης στο χώρο του δορυφορικού Internet, υπάρχουν πλέον διαθέσιμες μεγάλες ταχύτητες και πολλά σύγχρονα πλοία έχουν ήδη εξοπλιστεί με την εν λόγω τεχνολογία. Ταυτόχρονα, αναπτύσσονται νέες cloud υπηρεσίες στoχευμένες στην απομακρυσμένη παρακολούθηση και διαχείριση των πλοίων. Ως αποτέλεσμα, η εξάρτηση πλέον των συστημάτων του πλοίου με το Cloud Infrastructure είναι όλο ένα και πιο σημαντική.
• Telco Providers: Εταιρίες οι οποίες είναι υπεύθυνες για τα συστήματα τηλεπικοινωνιών του πλοίου
• Makers (Vendors των OT Systems) οι οποίοι είναι υπεύθυνοι για την ανάπτυξη, την εγκατάσταση και τη συντήρηση αυτών των ΟΤ συστημάτων. Συνήθως τα συστήματα αυτά είναι «blackbox» για τους διαχειριστές των ναυτιλιακών εταιριών και η διαχείρισή τους είναι εξ’ ολοκλήρου ευθύνη των makers.

Εικόνα 1. Vessels: Floating Digital Offices

Διασύνδεση IT & OT

Η ραγδαία εξέλιξη της τεχνολογίας καθώς και η υιοθέτηση νέων τεχνολογιών και συνδεδεμένων συστημάτων IT & OT μεταμορφώνει το παγκόσμιο ναυτιλιακό περιβάλλον, προσφέροντας ευκαιρίες για πιο ασφαλέστερη και πράσινη ναυσιπλοΐα.​

Τα πλεονεκτήματα από την υιοθέτηση των ΟΤ συστημάτων πάνω στο πλοίο προφανώς είναι πάρα πολλά:

• Τα ΟΤ συστήματα μπορούν να λειτουργήσουν ημιαυτόνομα ή πλήρως αυτόνομα, υποστηρίζουν ή αυτοματοποιούν πλήρως πολύπλοκες διαδικασίες, ενισχύοντας την αποτελεσματικότητα και μειώνοντας την ανθρώπινη παρέμβαση.​
• Τα ΟΤ συστήματα μειώνουν το χρόνο και κατ’ επέκταση το κόστος διεξαγωγής καθημερινών διαδικασιών πάνω στο πλοίο.
• Οι συνδεδεμένες τεχνολογίες χαρακτηρίζονται πλέον ως ζωτικής σημασίας τεχνολογίες για τη μείωση των εκπομπών αερίων μέσω βελτιστοποίησης της διαδρομής του πλοίου και άλλων αυτοματισμών.
• Η ψηφιακή τεχνολογία θεωρείται βασικός παράγοντας υλοποίησης της στρατηγικής decarbonization των ναυτιλιακών εταιριών (απαίτηση κανονισμών).
• Οι ψηφιακές τεχνολογίες όχι μόνο ενισχύουν τη βιωσιμότητα αλλά βελτιώνουν, τη φυσική ασφάλεια και την ασφάλεια του πληρώματος, αυτοματοποιώντας πολύπλοκες διαδικασίες, ωφελώντας την ασφάλεια των λιμένων και εν γένει της ναυσιπλοΐας.​

Παρόλα αυτά η συνεχόμενη υιοθέτηση νέας γενιάς συστημάτων (ΙΤ&ΟΤ) δημιουργεί την ανάγκη για διασύνδεση των συστημάτων αυτών, είτε μεταξύ τους, είτε με συστήματα εκτός του πλοίου (π.χ. cloud services). Αυτή η νέα τάση αυξάνει την πιθανότητα εκδήλωσης περιστατικών ασφάλειας στα συστήματα του πλοίου. Τα πληροφοριακά συστήματα των εμπορικών πλοίων δύναται να είναι εκτεθειμένα σε πολλαπλές απειλές και ευπάθειες στον κυβερνοχώρο και οποιαδήποτε διακοπή ή δυσλειτουργία των κρίσιμων συστημάτων του πλοίου (π.χ. συστήματα πλοήγησης ή/ και ΟΤ συστήματα) θα έχει σημαντική επίπτωση στην επικοινωνία γραφείου-πλοίου ή στην ομαλή πλοήγηση του πλοίου ή ακόμη και στην ακεραιότητα του εμπορεύματος.

Ανάλυση & Διαχείριση Επικινδυνότητας με Σύγχρονα εργαλεία

Όλο αυτό το περιβάλλον δημιουργεί την ανάγκη στο να ενσωματωθούν στις μεθοδολογίες και εργαλεία Ανάλυσης & Διαχείρισης Επικινδυνότητας, νέες απειλές τις οποίες ενδεχομένως δεν είχαμε σκεφτεί, απειλές στοχευμένες ή προερχόμενες από την ανάγκη υιοθέτησης και διασύνδεσης των OT συστημάτων, όπως:

• Full control του Navigation συστήματος
• Απώλεια του main switch board του πηδαλίου λόγω malware
• Chart spoofing​
• GPS jamming and spoofing
• Loss of fuel control​ system
• Loss of ballast water valve λόγω ελλιπούς ενημέρωσης συστήματος
• Επίθεση στο PMS σύστημα
• κλπ

Στην ICT PROTECT έχουμε ενσωματώσει τέτοιου είδους απειλές στην μεθοδολογία που χρησιμοποιούμε. Συγκεκριμένα, η προτεινόμενη μεθοδολογία συμμόρφωσης της ICT PROTECT για τη Διαχείριση Επικινδυνότητας στη Ναυτιλία προέρχεται από τα διεθνή πρότυπα, τους κανονισμούς και τις βέλτιστες πρακτικές. Έχουμε αναπτύξει το Cyber Security Compliance Framework και το χρησιμοποιούμε με επιτυχία μέσω του Εργαλείου STORM GRC προκειμένου να αντιμετωπίζουμε τις περίπλοκες απαιτήσεις συμμόρφωσης των πελατών μας (συμπεριλαμβανομένου του ναυτιλιακού τομέα).

Το εργαλείο STORM GRC προσφέρει μια δέσμη στοχευμένων υπηρεσιών στους τελικούς χρήστες, προκειμένου να τους καθοδηγήσει να διαχειρίζονται με ασφάλεια τα Πληροφοριακά Συστήματα και να δημιουργούν όλα τα υποχρεωτικά έγγραφα και αποδεικτικά στοιχεία που απαιτούνται από το ISO 27001, το ISO 22301 και τις ειδικές απαιτήσεις της βιομηχανίας για την ασφάλεια στον κυβερνοχώρο (όπως ΙMO, BIMCO, TMSA, κ.λπ.). Το STORM GRC μπορεί να αποτελέσει ένα ολιστικό εργαλείο συμμόρφωσης με τις απαιτήσεις ασφάλειας της «νέας πραγματικότητας» στον τομέα της ναυτιλίας δίνοντας τη δυνατότητα στην ομάδα ασφάλειας των ναυτιλιακών εταιριών να:

• να αποτυπώνουν τα ΙΤ & ΟΤ συστήματα του πλοίου μέσω των υφιστάμενων ΙΤ&ΟΤ Αsset Μodels που βρίσκονται διαθέσιμα στο STORM GRC
• να αποτυπώνουν όλες τις αλληλεξαρτήσεις των συστημάτων του πλοίου και γραφείου
• να προσδιορίζουν, αξιολογούν και κατηγοριοποιούν τις περιοχές επικινδυνότητας του οργανισμού, μέσω στοχευμένων απειλών σε ΙΤ και ΟΤ που προϋπάρχουν στο STORM GRC
• να αναγνωρίζουν τις επιπτώσεις που θα έχει ένα σοβαρό περιστατικό στην λειτουργία γραφείου ή/και του πλοίου,
• να διεξάγουν αποτίμηση επικινδυνότητας για ΙΤ & ΟΤ συστήματα, όπως αυτό απαιτείται από τους κανονισμούς της ναυτιλίας,
• να επιλέγουν κατάλληλα και αξιόπιστα μέτρα προστασίας ώστε να επιτυγχάνεται η εμπιστευτικότητα, η διαθεσιμότητα και η ακεραιότητα των δεδομένων,
• να διεξάγουν εσωτερικές επιθεωρήσεις (ως προς τις απαιτήσεις των προτύπων)
• να αναπτύσσουν και να επικαιροποιούν όλες τις απαραίτητες διαδικασίες και πολιτικές ασφάλειας.

CASE STUDY

Στον πίνακα 1 παρουσιάζεται ένα ενδεικτικό case study μη εξουσιοδοτημένης πρόσβασης / ελέγχου σε ένα από τα ΟΤ συστήματα που αναφέραμε προηγουμένως (π.χ. ballast water system).

Πίνακας 1

Αξίζει να σχολιάσουμε τις πιο σημαντικές ή και ποιο συνηθισμένες αδυναμίες που παρουσιάζονται στο εν λόγω case study:

• Απουσία security configuration βάσει των βέλτιστων πρακτικών. Πολλά από τα συστήματα αυτά έχουν δημιουργηθεί χωρίς να λαμβάνουν υπόψιν τους στο Product Design Phase συγκεκριμένα κριτήρια για το security configuration. Ενδεικτικά αναφέρονται: χρήση μόνο απαραίτητων δικτυακών πρωτοκόλλων και δικτυακών ports, απενεργοποίηση default accounts, αλλαγή των default passwords κλπ.
• Ελλιπής διαδιακασία patch management. Η συγκεκριμένη διαδικασία είναι επίπονη και χρονοβόρα ενώ ταυτόχρονα πολλές φορές δεν είναι εφικτό να πραγματοποιηθεί έγκαιρα καθώς πολλές φορές δεν είναι εύκολο το πλοίο να προσεγγίσει άμεσα ένα λιμάνι (ή να μείνει για περισσότερο χρόνο από το προβλεπόμενο) για να μπορέσει ο maker να κάνει το απαραίτητο update των συστημάτων. Ως αποτέλεσμα μπορεί να παραμείνει ένα σύστημα outdated για πολύ μεγάλο χρονικό διάστημα.

Συμπεράσματα

Η υιοθέτηση νέων τεχνολογιών και OT συστημάτων στα πλοία έχει πολλά πλεονεκτήματα, όμως ταυτόχρονα τα συστήματα των πλοίων βρίσκονται αντιμέτωπα σε νέες απειλές και κατ’ επέκταση νέους κινδύνους. Το αντίκτυπο από ένα περιστατικό ασφαλείας ενδέχεται να είναι καταστροφικό όχι μόνο για το πλοίο και το πλήρωμα αλλά μπορεί να έχει επιπτώσεις και σε διεθνές οικονομικό επίπεδο, καθώς το πλοίο είναι κρίσιμη οντότητα στο ήδη πολύπλοκο περιβάλλον ναυτιλίας.

Προκειμένου να βελτιωθεί η ασφάλεια και να αποφευχθούν τέτοια περιστατικά, υπάρχουν αρκετές κατευθυντήριες γραμμές και βέλτιστες πρακτικές που πρέπει να ακολουθούνται, όπως το ΙΜΟ: MCS-FAL.1-Circ.3 «Guidelines on Maritime Cyber Risk Management», το «OCIMF: Tanker Management Self-Assessment v3» και το «BIMCO: Guidelines on Cyber Security Onboard Ships v4»

Ταυτόχρονα, είναι πλέον επιτακτική ανάγκη η υιοθέτηση μεθοδολογιών και εργαλείων Διαχείρισης Κινδύνου οι οποίες θα μπορούν να ενσωματώσουν, να αξιολογούν και διαρκώς να παρακολουθούν απειλές και αδυναμίες προεχόμενες από το νέο αυτό τεχνολογικό περιβάλλον των πλοίων.

References:

• IMO – MSC-FAL.1/Circ.3 – Guidelines on Maritime Cyber Risk Management, July 2017,
  • https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat).pdf
• IMO – RESOLUTION MSC.428(98) – Maritime Cyber Risk Management in Safety Management Systems, June 2017,
  • https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/Resolution%20MSC.428(98).pdf
• United States Coast Guard, February 2020, Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities,
  • https://www.dco.uscg.mil/Portals/9/DCO%20Documents/5p/5ps/NVIC/2020/NVIC_01-20_CyberRisk_dtd_2020-02-26.pdf?ver=2020-03-19-071814-023
• IACS – UK, Rec 166 – Recommendation on Cyber Resilience – New Corr.1 July 2020 Clean,
  • https://www.iacs.org.uk/publications/recommendations/161-180/rec-166-new-corr1/
• OCIMF – TMSA3 – Tanker Management Self-Assessment, April 2017,
  • https://www.shipnet.no/key-elements-of-tmsa-3/
• BIMCO – The Guidelines on Cyber Security Onboard Ships v4,
  • https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships
• BIMCO – Cyber Security Workbook for On Board Ship Use, 2nd Edition, 2021,
  • https://www.bimco.org/about-us-and-our-members/publications/cyber-security-workbook
  • BIMCO- The Guidelines on Cyber Security Onboard Ships
  • https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships
• IMO – ISM Code, 2018 Edition,
  • https://www.dohle-yachts.com/wp-content/uploads/2021/05/ISM-Code-2018.pdf
• ENISA – EU, Port Cybersecurity – Good practices for cybersecurity in the maritime sector, November 2019,
  • https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector
• United Kingdom Department of Transport – Cyber Security for Ports and Port Systems, January 2020,
  • https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/859925/cyber-security-for-ports-and-port-systems-code-of-practice.pdf
• IAPH – International Association of Ports and Harbors, Port Community Cyber Security,
  • https://sustainableworldports.org/wp-content/uploads/IAPH-Port-Community-Cyber-Security-Report-Q2-pdf
  • https://sustainableworldports.org/wp-content/uploads/IAPH-Cybersecurity-Guidelines-version-1_0.pdf