Устаревшие технологии, случайно влияющие на безопасность

Соединение с устаревшими технологиями, когда предприятия соединяют активы, несет в себе значительный киберриск в морской отрасли, пишет Крейг Вулдридж, менеджер по базовой сертификации морской кибербезопасности Консорциума IASME.

На сектор международного судоходства приходится около 90 процентов всей мировой торговли, и поскольку в любой момент времени в море или в порту находится около 50,000 XNUMX судов, морская отрасль является крупнейшей и наиболее важной цепочкой поставок в мире.

В настоящее время отрасль переживает значительную цифровую трансформацию, во многом обусловленную целями по декарбонизации. В то же время достижения в области подключенных технологий также оказывают значительное давление на морские организации, заставляя их подключать свои активы и инфраструктуру, чтобы оставаться эффективными на конкурентном рынке.

Эти активы могут иметь устаревшие технологии, которые никогда не разрабатывались с учетом кибербезопасности, но тем не менее подключаются к глобальным оншорным предприятиям по всей цепочке поставок.

Кибербезопасность необходима не только для защиты ИТ и данных судна, но и для защиты бортовых операционных технологий (например, встроенных компьютеров для управления физическими устройствами или оборудованием и включения интеллектуальных морских систем).

Эта растущая цифровая угроза увеличивает общую уязвимость и, следовательно, риск кибератаки на борту судна.

Морская отрасль исторически является консервативным рынком, который нелегко распознает новые вызовы в своей работе. Многие рекомендации по кибербезопасности слишком сложны, чтобы их можно было выполнять, и IASME считает, что регулярного соответствующего обучения не хватает.

При этом правила кибербезопасности становятся более строгими.

Международная морская организация теперь заявляет, что судовладельцы и менеджеры должны включить управление киберрисками в безопасность судов. Несоблюдение этих требований может привести к увеличению угроз атак с использованием программ-вымогателей и террористических атак, а также к увеличению страховых взносов, отказу в доступе в порты и задержанию судов. Результатом могут стать большие финансовые потери для владельцев и операторов.

Управление киберрисками в морском секторе требует активного подхода и должно работать в соответствии с правилами ИМО.

ИАСМЕ считает (основываясь на своем опыте обеспечения кибербезопасности в других секторах), что текущую ситуацию можно решить с помощью доступной и понятной схемы сертификации, которая поможет организациям понять наиболее важные меры контроля, которые необходимо внедрить для достижения приемлемого уровня кибербезопасности.

Если бы все организации в морском секторе прошли сертификацию базовой гарантии, это позволило бы устранить изменчивость, связанную с тем, как управление киберрисками рассматривается в системе управления безопасностью в соответствии с действующими рекомендациями ИМО.

В настоящее время существуют различные степени киберготовности и безопасности, что, в свою очередь, препятствует установлению общепринятого базового уровня защиты.

Чтобы продвинуться в этом направлении, IASME разработал базовую схему сертификации морской кибербезопасности.

Эта схема направлена ​​на обучение и поддержку морских организаций в обеспечении достижимого уровня кибербезопасности внутри самого судна. Организация проводит проверенную онлайн-оценку, которая обеспечивает базовый уровень уверенности, но за ней может последовать проверенная версия, обеспечивающая более высокий уровень уверенности. Обе версии помогут организациям соответствовать требованиям руководящих принципов IMO.

В идеале схема сертификации Maritime Cyber ​​Baseline может стать признанным стандартом, показывающим, что владельцы, операторы и строители всех судов серьезно относятся к своей кибербезопасности и внедрили средства контроля и процессы, которые помогут снизить риск возникновения кибератак. на борту самого судна.