Κυβερνοασφάλεια στη Ναυτιλία : Συγκριτική μελέτη! του Στέφανου Σπανού Director, CTO & Lead Assessor of ISONIKE Ltd
16/01/2021 15:12
Η αυξανόμενη χρήση της προηγμένης τεχνολογίας πληροφοριών και επικοινωνιών (Information & Communication Technology (ICT)) και επιχειρησιακής τεχνολογίας αυτοματισμών (Operational Technology (OT)) στα πλοία, έχει λάβει -όπως αναμενόταν- μια εκθετικά αυξανόμενη πορεία. Αυτό αυξάνει την αποτελεσματικότητα και την αποδοτικότητα των λειτουργιών τόσο επί του πλοίου όσο και στην ξηρά. Ωστόσο, ένα πλοίο που παραδοσιακά θεωρείτο ως ένα σχετικά «κλειστό» – ως εκ τούτου «απομονωμένο» & «προστατευμένο» σύστημα, έχει πλέον ανοίξει τις πύλες του στον κυβερνοχώρο. Κατά συνέπεια αυτό έχει επιφέρει τρωτότητες σε έναν σημαντικό αριθμό απειλών ασφαλείας στον κυβερνοχώρο.
Οι κύριοι ενδιαφερόμενοι (Stakeholders) της Ναυτιλιακής Βιομηχανίας γνωρίζουν πολύ καλά ότι μια αναποτελεσματική προστασία της ασφάλειας στον κυβερνοχώρο μπορεί να οδηγήσει σε μείζονα θέματα ασφάλειας, περιβάλλοντος και εμπορίου! Αυτό δημιουργεί έναν νέο «τομέα» προκλήσεων στη ναυτιλία: Την πρόκληση για την ασφάλεια στον κυβερνοχώρο.
Σε απάντηση στην πρόκληση για την ασφάλεια στον κυβερνοχώρο, ο ΙΜΟ ( International Maritime Organization ) που αποτελεί την παγκόσμια αρχή καθορισμού προτύπων για την ασφάλεια και τις περιβαλλοντικές επιδόσεις της διεθνούς ναυτιλίας, ενέκρινε στις 16 Ιουνίου 2017 το ψήφισμα MSC.428 (98) – Διαχείριση Διακινδύνευσης στον Κυβερνοχώρο στα Συστήματα Διαχείρισης Ασφάλειας για τη Ναυτιλία (Maritime Cyber Risk Management in Safety Management Systems) ως μέρος του υποχρεωτικού κανονιστικού πλαισίου για τη ναυτιλιακή βιομηχανία. Το ψήφισμα IMO Resolution MSC.428(98) συμπληρώνεται με τις οδηγίες του IMO για τη διαχείριση της διακινδύνευσης στον κυβερνοχώρο IMO Guidelines on Maritime Cyber Risk Management MSC-FAL.1/Circ.3 και τέθηκε σε πλήρη ισχύ την 1η Ιανουαρίου 2021 ως μέρος του υποχρεωτικού Διεθνούς Κώδικα Διαχείρισης Ασφάλειας – International Safety Management Code (Resolution A.741(18)).
Τόσο το IMO Resolution MCS.428 (98) όσο και το IMO Guidelines MSC-FAL.1 / Circ.3 λαμβάνουν σαφή θέση προτείνοντας μια «προσέγγιση διαχείρισης της διακινδύνευσης για τους κινδύνους στον κυβερνοχώρο η οποία να είναι ανθεκτική και να εξελίσσεται ως φυσική επέκταση των υπαρχόντων διαχειριστικών πρακτικών ασφάλειας» (MSC-FAL.1 / Circ.3, §2.1.8.). Επιπλέον, αναγνωρίζονται (χωρίς να περιορίζονται σε αυτές) ως βέλτιστες πρακτικές για την εφαρμογή της διαχείρισης διακινδύνευσης στον κυβερνοχώρο οι κάτωθι :
- Guidelines on Cyber Security Onboard Ships : Οι κατευθυντήριες γραμμές Κυβερνο-ασφάλειας για τα πλοία που έχουν συγγραφεί και υποστηρίζονται από τους διεθνής εμβέλειας οργανισμούς της ναυτιλίας BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF και IUMI.
- ISO/IEC 27001 : Το Πρότυπο ISO / IEC 27001 σχετικά με την Πληροφορική – Τεχνικές ασφάλειας – Συστήματα διαχείρισης ασφάλειας πληροφοριών – Απαιτήσεις. Δημοσιεύθηκε από κοινού από τον Διεθνή Οργανισμό Τυποποίησης (ISO) και τη Διεθνή Ηλεκτροτεχνική Επιτροπή (IEC).
- NIST Framework : Πλαίσιο του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών για τη Βελτίωση της Υποδομής Κυβερνο-ασφάλειας.
Όπως υποδεικνύει ο τίτλος της έκδοσης του BIMCO, τα “Guidelines on Cyber Security Onboard Ships” (GCSOS) παρέχουν μια σειρά από οδηγίες κυβερνο-ασφάλειας για χρήση από τα πλοία ώστε αυτά να ανταποκρίνονται και να προστατεύονται από τους κινδύνους του κυβερνοχώρου. Συγκεκριμένα, το κύριο σώμα των κατευθυντήριων γραμμών παρέχει τις οδηγίες για την εφαρμογή των ελέγχων προστασίας στον κυβερνοχώρο. Το παράρτημα 1 των κατευθυντήριων γραμμών αναγνωρίζει και απαριθμεί μια σύνοψη των συστημάτων, του εξοπλισμού, των τεχνολογιών και των δεδομένων επί του πλοίου που θα μπορούσαν ενδεχομένως να είναι ευάλωτα σε κινδύνους στον κυβερνοχώρο. Το Παράρτημα 2 των κατευθυντήριων γραμμών παρέχει τα ελάχιστα μέτρα που πρέπει όλες οι εταιρείες να εξετάσουν να εφαρμόζουν, προκειμένου να αντιμετωπίσουν τη διαχείριση της διακινδύνευσης στον κυβερνοχώρο εντός του εγκεκριμένου Συστήματος Διαχείρισης Ασφάλειας (Κώδικας ISM) και το Παράρτημα 3 παρέχει οδηγίες για τα εν πλω δίκτυα των πλοίων.
Η σύγκριση συμβατότητας που πραγματοποίησε η ISONIKE αντιπαραθέτοντας τις παραγράφους των “Guidelines on Cyber Security Onboard Ships της BIMCO με τις παραγράφους του ISO / IEC 27002 Τεχνολογία πληροφοριών – Τεχνικές Ασφαλείας – Κώδικας Πρακτικής για τους Ελέγχους Ασφαλείας Πληροφοριών εντόπισε ορισμένες διαφορές μεταξύ των δύο πλαισίων που περιγράφονται σε αυτά.
Οι βασικές διαφορές που εντοπίστηκαν μεταξύ των πλαισίων εμπίπτουν στους ακόλουθους κύριους τομείς:
- Το ISO / IEC 27002 σχετίζεται άμεσα με το ISO / IEC 27001. Το πρώτο παρέχει έναν κώδικα πρακτικής για το δεύτερο. Αλλά το πιο σημαντικό είναι ότι το δεύτερο παρέχει τις Απαιτήσεις για τα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών για τη Πιστοποίηση Οργανισμών σε Διαπιστευμένα Σχήματα κατα ISO / IEC 27001. Τα “Guidelines on Cyber Security Onboard Ships” της BIMCO δεν σχετίζονται με κανένα διαπιστευμένο σχήμα πιστοποίησης.
- Τα “Guidelines on Cyber Security Onboard Ships” ακολουθούν μια εξιδεικευμένη προσέγγιση που εστιάζει στη ναυτιλιακή βιομηχανία και ορολογία (π.χ. παροχή καθοδήγησης για τις σχέσεις: μεταξύ του διαχειριστή και του πλοιοκτήτη, μεταξύ του πλοιοκτήτη και του πράκτορα κ.λπ.) ενώ το ISO / IEC 27002 ακολουθεί μια γενική προσέγγιση η οποία έχει εφαρμογή σε όλους του κλάδους (π.χ. εξετάζοντας τις σχέσεις με τα τρίτα μέρη γενικά – επιτρέποντας στον κάθε οργανισμό να τις καθορίσει)
- Το ISO / IEC 27002 περιλαμβάνει συγκεκριμένους στόχους ελέγχου (όπως για την Ασφάλεια Ανθρώπινου Δυναμικού, υποχρεωτικές Πολιτικές Ασφάλειας, Διαβάθμιση κλπ) με πιο σαφή τρόπο.
- Τα “Guidelines on Cyber Security Onboard Ships” εξετάζουν την επιχειρησιακή τεχνολογία αυτοματισμών (Operational Technology (OT)) (π.χ. ISA / IEC 62443) με πιο άμεσο τρόπο, ενώ το ISO / IEC 27002 εστιάζει περισσότερο στη τεχνολογία πληροφορικής και τηλεπικοινωνιών (Information & Communication Technology (ICT)) – εξετάζοντας το OT έμμεσα.
- Τα “Guidelines on Cyber Security Onboard Ships” εφαρμόζεται με άμεσο τροπο σε πλοία (τα οποία με τη σειρά τους μπορούν να θεωρηθούν ως “λειτουργικές οντότητες”). Οποιαδήποτε εφαρμογή σε άλλους ενδιαφερόμενους (π.χ. διαχειρίστρια εταιρεία) είναι έμμεση. Το ISO / IEC 27002 εφαρμόζεται και στον οργανισμό και σε όλες τις “λειτουργικές οντότητες» ή τοποθεσίες του.
- Τα “Guidelines on Cyber Security Onboard Ships” βασίζονται στο Το ISO / IEC 27002 πλαισιώνεται από μια μεθοδολογία Αξιολόγησης Διακινδύνευσης της ίδιας οικογένειας προτύπων (ISO 27005) – όμως παραμένει ανοιχτό σε οποιαδήποτε άλλη μεθοδολογία εκτίμησης διακινδύνευσης (π.χ. CRAMM, Mehari, NIST, STORM, ISO 31000 κ.λπ.).
Δείτε την συνέχεια του άρθρου στην πηγή https://www.itsecuritypro.gr