Η κυβερνοασφάλεια στην ναυτιλία

Άρθρο των Θοδωρή Στεργίου, Director, Συμβουλευτικού Τμήματος, KPMG και Νικόλαου Αστυφίδη, Manager, Συμβουλευτικού Τμήματος, KPMG στο περιοδικό NAFS

Άρθρο των Θοδωρή Στεργίου, Director και Νικόλαου Αστυφίδη, Manager, Συμβουλευτικό Τμήμα

Η κυβερνοασφάλεια στην ναυτιλία: Ένα φλέγον ζήτημα στα χρόνια του ψηφιακού μετασχηματισμού

Η ναυτιλία αποτελώντας έναν από τους σημαντικότερους κλάδους μεταφοράς αγαθών και επιβατών σε παγκόσμιο επίπεδο, εξελίσσεται γοργά με άρμα τον ψηφιακό μετασχηματισμό ενδοεταιρικών διαδικασιών αλλά  και πλοίων. Η ολοένα και ευρύτερη αξιοποίηση της τεχνολογίας για την υποστήριξη των επιχειρησιακών και επιχειρηματικών διαδικασιών, καθιστά απαραίτητη τη διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριών και την ανάγκη για αποτελεσματικό σχεδιασμό της ασφάλειας πληροφοριών βάσει αξιολόγησης των κινδύνων. Είναι χαρακτηριστικό ότι τα τελευταία τρία χρόνια (2017-2020) οι κυβερνοεπιθέσεις με στόχο τις ναυτιλιακές εταιρείες έχουν σημειώσει κατακόρυφη αύξηση, της τάξης του 900%, σε σχέση με την κατάσταση προ πενταετίας.

Παρόλο που μερικοί από τους μεγαλύτερους ναυτιλιακούς οργανισμούς έχουν πέσει θύματα κυβερνοεπιθέσεων,  συνεχίζει να πλανάται η πεποίθηση, σε πολλές εταιρείες του χώρου, ότι κάτι τέτοιο δεν πρόκειται να συμβεί σε αυτές. Αυτό έχει ως αποτέλεσμα η κυβερνοασφάλεια να μην λαμβάνεται υπόψιν στη συνολική αξιολόγηση κινδύνου του οργανισμού, θεωρώντας ότι αποτελεί καθαρά θέμα τεχνολογικής φύσεως, κάτι το οποίο όμως δεν είναι ακριβές.

Ο κάθε οργανισμός προκειμένου να διαφυλάξει τα περιουσιακά του στοιχεία, αλλά και την εύρυθμη λειτουργεία του από κυβερνοεπιθέσεις, θα πρέπει πρώτα να φροντίσει να θωρακίσει τις τρείς κυριότερες γραμμές άμυνάς του, οι οποίες είναι: 

  • Ο άνθρωπος

  • Η τεχνολογία

  • Οι διαδικασίες.
     

Ο άνθρωπος

Ο ανθρώπινος παράγοντας είναι η κινητήρια δύναμη κάθε οργανισμού αλλά και το καθοριστικότερο συστατικό ώστε όλες οι επιχειρηματικές δραστηριότητες να εκτελούνται με συνέπεια και ακρίβεια. Η εκπαίδευση του προσωπικού των περισσότερων ναυτιλιακών σε θέματα κυβερνοασφάλειας είναι ελλιπής. Αυτό είναι κάτι που οι περισσότεροι κυβερνοεγκληματίες το γνωρίζουν και το εκμεταλλεύονται κατά το πρώτο κύμα επιθέσεων τους, το οποίο έχει και πολύ υψηλό δείκτη επιτυχίας. Επιθέσεις κοινωνικής μηχανικής (social engineering),  κυρίως μέσω ηλεκτρονικού ταχυδρομείου, είναι αυτές που έχουν θέσει σε κίνδυνο την επιχειρηματική δραστηριότητα μερικών από τους μεγαλύτερους ναυτιλιακούς οργανισμούς. Είναι επιτακτική ανάγκη όλο το προσωπικό, τόσο στην θάλασσα, όσο και στην στεριά να εκπαιδεύεται και να ενημερώνεται σε θέματα κυβερνοασφάλειας με παραδείγματα ανάλογα με τα καθήκοντα του. Με αυτόν τον τρόπο διαμορφώνεται θετική κουλτούρα κυβερνοασφάλειας στον οργανισμό, και τον καθιστά πιο αποτελεσματικό στην αντιμετώπιση προκλήσεων και τεχνασμάτων κυβερνοεγκληματιών, όντας σε θέση να αναγνωρίσει άμεσα απειλές τέτοιου είδους. 

Η τεχνολογία

Το κύμα της ψηφιοποίησης, όπως είναι αναμενόμενο, έρχεται να αναδιαμορφώσει τον τρόπο που χρησιμοποιείται η τεχνολογία, καθιστώντας την εργαλείο επιχειρηματικής ανάπτυξης. Τα μέχρι πρόσφατα απομονωμένα συστήματα ενός πλοίου (OT – Operations) αρχίζουν να παλαιώνουν και η συντήρησή τους τα καθιστά ασύμφορα σε σχέση με το τι μπορούν να προσφέρουν τα αντίστοιχα συστήματα τελευταίας γενιάς. Ο ΟΤ κόσμος σε συνδυασμό με τις ΙΙοΤ (Industrial Internet of Things) λύσεις, αρχίζει να αλλάζει το μοντέλο λειτουργείας του πλοίου, καθώς πλέον μπορούν τα συστήματα αυτά να επικοινωνούν και να ελέγχονται από την στεριά μέσω των παρόχων δορυφορικής επικοινωνίας (airtime providers). Αυτό αυτομάτως εκθέτει τα πλοία σε ένα μεγάλο φάσμα κυβερνοαπειλών, καθώς το βασικό κανάλι επικοινωνίας είναι το διαδίκτυο.

Ο αριθμός των αναγνωρισμένων ευπαθειών στα ΟΤ συστήματα του πλοίου (π.χ. AIS, ECDIS κτλ.) αυξάνεται συνεχώς, προσθέτοντας απειλές που μπορούν δυνητικά να πλήξουν την ασφάλεια του πλοίου αλλά και του πληρώματος. Αν στην όλη εξίσωση προστεθούν και τα ΙΤ συστήματα (email, CRM κτλ.) το πεδίο του κινδύνου μεγαλώνει αρκετά, τόσο για το πλοίο αλλά και για την υποδομή στην στεριά. Είναι σημαντικό λοιπόν να υπάρχει ένα συγκεκριμένο πλαίσιο για τον τρόπο που τα συστήματα (IT και OT) θωρακίζονται από κακόβουλες επιθέσεις, ενώ ταυτόχρονα θα πρέπει να υπάρχουν και οι αντίστοιχοι μηχανισμοί έγκυρης αναγνώρισης των εν λόγω απειλών. Δεν είναι λίγα τα παραδείγματα εταιριών του κλάδου που έπεσαν θύμα κυβερνοεπιθέσεων, με πολύ πρόσφατο παράδειγμα την επίθεση τύπου ransomware στην εταιρεία κρουαζιέρας Carnival.

Οι διαδικασίες

Η ανάγκη της επικοινωνίας και της εναρμόνισης του ανθρώπινου, του τεχνολογικού και του κανονιστικού παράγοντα, μας φέρνει στο σημείο όπου θα πρέπει να επαναπροσδιορίσουμε τον τρόπο που λειτουργούν οι εταιρείες στον ναυτιλιακό κλάδο  σε σχέση με την ασφάλεια των πληροφοριών. Υπενθυμίζουμε ότι ο IMO αντιλαμβανόμενος τις προκλήσεις του κλάδου έχει ορίσει αυστηρές προθεσμίες (Ιανουάριος 2021) ώστε οι ναυτιλιακές να λάβουν τα απαραίτητα μέτρα σχετικά με την κυβερνοασφάλεια τους. Είναι ανάγκη λοιπόν να αναπτυχθούν νέες ή να ανανεωθούν οι υπάρχουσες διαδικασίες και πολιτικές ασφάλειας ώστε να προσδώσουν μια κοινή πορεία για την αντιμετώπιση των κινδύνων που δύνανται να πλήξουν την ασφάλεια των πληροφοριών.

Αυτό μπορεί να επιτευχθεί μέσα από ένα ώριμο πλαίσιο διακυβέρνησης της ασφάλειας των πληροφοριών (ISMS – Information Security Management System), το οποίο θα λαμβάνει υπόψιν τα βασικά συστατικά της ασφάλειας πληροφοριών, ήτοι εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Μέσα από αυτό το πλαίσιο είναι σημαντικό να αναγνωρισθούν οι πραγματικές απειλές καθώς και ο αντίκτυπος που συνεπάγεται για κάθε οργανισμό.  Επιπλέον, θα πρέπει να είναι δομημένο με τέτοιο τρόπο ώστε να ορίζονται συγκεκριμένοι στρατηγικοί δείκτες παρακολούθησης της κυβερνοασφάλειας του οργανισμού (KPIs ή KRIs) στο σύνολό του (γραφεία και πλοία). 

Λαμβάνοντας λοιπόν υπόψιν όλα τα παραπάνω, αναλογιστείτε το σενάριο όπου ένα πλοίο πλέοντας στη θάλασσα πέφτει θύμα κυβερνοεπίθεσης, και λόγω αυτής, το οποιοδήποτε λιμάνι του αρνείται τον ελλιμενισμό σε αυτό. Αυτό θα συνέβαινε διότι αν στα συστήματα του πλοίου έχει εγκατασταθεί κάποιο κακόβουλο λογισμικό (π.χ. malware) τότε από την στιγμή που θα έδενε στο λιμάνι, αυτομάτως θα γινόταν σύνδεση με το τοπικό δίκτυο, με αποτέλεσμα να μεταφερθεί το πρόβλημα και σε αυτό, μολύνοντας τους πληροφοριακούς πόρους με το ίδιο κακόβουλο λογισμικό. Και αν αυτό το περιστατικό γινόταν η αιτία να υποκλαπούν ευαίσθητα ή προσωπικού χαρακτήρα δεδομένα, τότε σίγουρα το τμήμα πληροφορικής θα ήταν η τελευταία γραμμή άμυνας, καθώς πολύ γρήγορα η διοίκηση της εταιρείας θα έπρεπε να κληθεί να δώσει εξηγήσεις και να διαχειριστεί την κρίση. 

Είναι λοιπόν κατανοητό ότι η κυβερνοασφάλεια είναι ένα φλέγον ζήτημα στις μέρες μας για τον τομέα της ναυτιλίας, το οποίο δυνητικά μπορεί να έχει σημαντικές επιπτώσεις στις κρίσιμες δραστηριότητες των ναυτιλιακών εταιρειών. Η κυβερνοασφάλεια δεν είναι ένα θέμα που αφορά μόνο το τμήμα πληροφορικής των ναυτιλιακών, αλλά ένας τομέας που πρέπει να παρακολουθείται στενά από την διοίκηση, ορίζοντας δείκτες και κανόνες λειτουργείας με στόχο την ασφάλεια τόσο των επιχειρηματικών λειτουργειών αλλά και του ίδιου του προσωπικού. Ταυτόχρονα, γίνεται κατανοητό ότι η κυβερνοασφάλεια οφείλει να αποτελεί πλέον μέρος του επιχειρηματικού κινδύνου μιας ναυτιλιακής εταιρίας αλλά και το όχημά της για τη διασφάλιση της συνέχειας των δραστηριοτήτων της.

© 2021 KPMG Σύμβουλοι Μονοπρόσωπη Α.Ε., Ελληνική Ανώνυμη Εταιρεία και μέλος του διεθνούς οργανισμού ανεξάρτητων εταιρειών-μελών της KPMG συνδεδεμένων με την KPMG International Limited, ιδιωτική Αγγλική εταιρεία περιορισμένης ευθύνης με εγγυητικές εισφορές. Με την επιφύλαξη κάθε δικαιώματος.