του Στέφανου Σπανού, General Director, CTO & Lead Assessor of ISONIKE Ltd
Οι εξελίξεις στον κυβερνοχώρο είναι ραγδαίες, με σημαντικά οφέλη στις ζωές όλων μας. Μαζί με τις θετικές αυτές εξελίξεις, όμως, έρχονται και οι αυξανόμενες κυβερνοεπιθέσεις (Cyberattacks), που αποτελούν μία από τις μάστιγες της εποχής. Για τα πλοία ειδικότερα, παραφράζοντας τις λέξεις ενός παλαιού γνωμικού, θα μπορούσε κανείς να πει με βεβαιότητα ότι: «Τα πλοία σήμερα εντάσσονται σε δύο κατηγορίες: τα πλοία που έχουν δεχτεί κυβερνοεπίθεση και τα πλοία που θα δεχτούν κυβερνοεπίθεση».
Σήμερα, αποτελεί αδιαμφισβήτητο γεγονός ότι η κυβερνοασφάλεια (Cybersecurity) είναι ύψιστης σημασίας και στον χώρο της ναυτιλιακής βιομηχανίας. Όλοι οι κύριοι ενδιαφερόμενοι (Stakeholders) γνωρίζουν ότι τυχόν έλλειψη κατάλληλων και αποτελεσματικών μέτρων κυβερνοασφάλειας μπορεί να επιφέρει από μεσαίου μεγέθους μέχρι και καταστροφικές συνέπειες στο πλοίο, στο περιβάλλον, στο φορτίο του ή ‒το σημαντικότερο‒ στους ανθρώπους του. Γι’ αυτό και δίδεται μεγάλη έμφαση από το κανονιστικό πλαίσιο (ΙΜΟ, κ.λπ.) μέχρι και τον έλεγχο της εφαρμογής αυτών των μέτρων (Flag states, PSC, κ.λπ.).
Η επιβεβλημένη από το κανονιστικό πλαίσιο του ΙΜΟ ύπαρξη του Εγχειριδίου Κυβερνοασφάλειας επί των πλοίων (Cyber Security Manual), με έναρξη ισχύος την 1/1/2021, αποτελεί ένα πολύ σημαντικό μέτρο κυβερνοασφάλειας. Ως περιεχόμενο του εγχειριδίου προβλέπονται εκείνες οι πολιτικές και οι διαδικασίες οι οποίες στοχεύουν στη διασφάλιση της ασφάλειας των ηλεκτροτεχνολογικών υποδομών (ΙΤ & ΟΤ) από κυβερνοεπιθέσεις καθώς και στην αποτελεσματική διαχείριση συμβάντων κυβερνοασφάλειας. Επίσης, το περιεχόμενο προβλέπει τους ρόλους και τις ευθύνες των αξιωματικών και του πληρώματος. Όλο αυτό αποτελεί αναπόσπαστο μέρος του ευρύτερου Σχεδίου Έκτακτης Ανάγκης (Contingency Plan) και του Διεθνούς Κώδικας Διαχείρισης Ασφάλειας (International Safety Management Code).
Το κάθε σύστημα διαχείρισης, όσο τέλειο και να είναι, εφαρμόζεται από τους ανθρώπους που καλούνται να έχουν ενεργούς ρόλους σε αυτό. Έτσι, η ύπαρξη του Εγχειριδίου Κυβερνοασφάλειας δεν μπορεί από μόνη της να εγγυηθεί την εφαρμογή και την αποτελεσματικότητα των προβλεπόμενων σε αυτό πολιτικών, διαδικασιών και μέτρων. Γι’ αυτό, το κανονιστικό πλαίσιο προβλέπει τον καθορισμό και την εφαρμογή ενός αποτελεσματικού σχεδίου αντίδρασης (response plan), το οποίο να περιλαμβάνει ασκήσεις των μέτρων κυβερνοασφάλειας (cybersecurity drills).
Τα οφέλη από την εφαρμογή σχεδίου αντίδρασης και ασκήσεων κυβερνοασφάλειας στα πλοία είναι πολλαπλά, με κυριότερα τα εξής:
- Κανονιστική συμμόρφωση. Η εφαρμογή των ασκήσεων κυβερνοασφάλειας αποτελεί πλέον κανονιστική απαίτηση, που ελέγχεται από εκπαιδευμένα κλιμάκια λιμενικών αρχών (PSC). Οι λιμενικές αρχές λαμβάνουν οδηγίες [π.χ. USCG Vessel Cyber Risk Management Work Instruction CVC-WI-027(1), 27/10/2020] και διενεργούν όλο και αναλυτικότερους «εις βάθος» ελέγχους για τα μέτρα κυβερνοασφάλειας στα πλοία καθώς και για το επίπεδο γνώσης, εξοικείωσης και ευαισθητοποίησης των αξιωματικών και του πληρώματος στα θέματα αυτά. Η εφαρμογή και η επίδειξη σχεδίου ασκήσεων κυβερνοασφάλειας αυξάνει τον βαθμό εμπιστοσύνης ως προς την κανονιστική συμμόρφωση.
- Ευαισθητοποίηση, εξοικείωση, γνώση των ανθρώπων. Όπως προαναφέρθηκε, το οποιοδήποτε σύστημα εφαρμόζεται από τους ανθρώπους του. Οι αποτελεσματικές ασκήσεις κυβερνοασφάλειας αποτελούν παράμετρο ζωτικής σημασίας για την αποτελεσματική εφαρμογή του συστήματος και του ευρύτερου σχεδίου έκτακτης ανάγκης.
- Μείωση του χρόνου αντίδρασης σε περίπτωση συμβάντος. Ο χρόνος αντίδρασης των αξιωματικών και του πληρώματος είναι σημαντική παράμετρος, διότι από αυτόν τον χρόνο εξαρτάται ο βαθμός αρνητικής επίπτωσης ενός συμβάντος κυβερνοασφάλειας. Η συχνή και αποτελεσματική εξάσκηση συμβάλλει στη σωστή προετοιμασία και κατ’ επέκταση μειώνει τον χρόνο αντίδρασης, άρα τις αρνητικές επιπτώσεις ενός συμβάντος.
- Βελτίωση του συντονισμού μεταξύ διαχειρίστριας εταιρείας και πλοίου. Υπάρχουν περιπτώσεις όπου η αντιμετώπιση ενός συμβάντος κυβερνοασφάλειας θα απαιτεί εξωτερική παρέμβαση. Η συχνή εξάσκηση βελτιώνει τον συντονισμό του πλοίου με τη διαχειρίστρια εταιρεία και εκείνης με εξωτερικούς συνεργάτες ‒ συνεπώς επιτρέπει αμεσότερη και αποτελεσματικότερη εφαρμογή των απαιτούμενων ενεργειών.
- Συνεχής βελτίωση. Από τις ασκήσεις κυβερνοασφάλειας και την αξιολόγηση των αποτελεσμάτων προκύπτουν διδάγματα σχετικά με τις απειλές, τα τρωτά σημεία και τις επιπτώσεις τους. Τα διδάγματα αυτά δίνουν έναυσμα στη συνεχή βελτίωση, που με τη σειρά της είναι απαραίτητο συστατικό κάθε επιτυχούς και αποτελεσματικού συστήματος διαχείρισης.
Βάσει των ανωτέρω, ο σχεδιασμός και η εφαρμογή ενός αποτελεσματικού σχεδίου αντίδρασης (response plan), συμπεριλαμβανομένων των ασκήσεων των μέτρων κυβερνοασφάλειας (cybersecurity drills), είναι κρίσιμης σημασίας. Η μέθοδος που μπορεί να ακολουθηθεί είναι εκείνη των τεσσάρων κυκλικών βημάτων PDCA (Plan, Do, Check, Act) του W.E. Deming, δηλαδή του «Σχεδιάζω-Εκτελώ-Ελέγχω-Ενεργώ» για τον έλεγχο και τη βελτίωση, η οποία αποτελεί και την πεμπτουσία όλων των αποτελεσματικών συστημάτων διαχείρισης.
Σύμφωνα με την εφαρμογή αυτής της μεθόδου:
«Σχεδιάζω» (Plan)
Κατά το βήμα του σχεδιασμού, η διαχειρίστρια εταιρεία σχεδιάζει και τεκμηριώνει το Εγχειρίδιο Κυβερνοασφάλειας (Cyber Security Manual) για τα πλοία. Σε αυτό πρέπει να περιέχονται όλες οι υποχρεωτικές ενότητες και πληροφορίες προσαρμοσμένες στο σύστημα διαχείρισης της εταιρείας και στις ιδιαιτερότητες του πλοίου.
Το εγχειρίδιο θα πρέπει να περιλαμβάνει και το σχέδιο ασκήσεων, που με τη σειρά του αποτελείται από τις προδιαγραφές των ασκήσεων, την περιοδικότητα και την απαιτούμενη έκθεση (report). Η κάθε έκθεση άσκησης μπορεί ενδεικτικά να περιλαμβάνει:
- Ταυτότητα
- Σενάριο άσκησης
- Στόχους άσκησης
- Στοιχεία (συμμετέχοντες, περιοδικότητα, αναφορά στις πολιτικές και στις διαδικασίες των οποίων η εφαρμογή ελέγχεται, κ.λπ.)
- Δείκτες επίδοσης
- Αποτελέσματα
- Αξιολόγηση, διδάγματα και ευκαιρίες βελτίωσης
«Εκτελώ» (Do)
Κατά το βήμα της εκτέλεσης, η διαχειρίστρια εταιρεία:
- Εγκαθιστά το Εγχειρίδιο Κυβερνοασφάλειας (Cyber Security Manual) στα υπό διαχείριση πλοία της.
Κατόπιν, η διαχειρίστρια εταιρεία και το πλοίο από κοινού:
- Εκπαιδεύουν το προσωπικό στους τομείς των ρόλων και των ευθυνών του.
- Υλοποιούν το πρόγραμμα ασκήσεων κυβερνοασφάλειας, το οποίο σχεδιάστηκε κατά το προηγούμενο βήμα με τη διενέργεια όλων των ασκήσεων.
- Τεκμηριώνουν τις απαιτούμενες εκθέσεις και αναφορές με την περιγραφή και την αξιολόγηση των αποτελεσμάτων.
«Ελέγχω» (Check)
Κατά το βήμα του ελέγχου, η διαχειρίστρια εταιρεία και το πλοίο από κοινού:
- Ελέγχουν το κατά πόσον τα αποτελέσματα της άσκησης ήταν αναμενόμενα και επιθυμητά (σε σύγκριση με τους δείκτες επίδοσης) καθώς και τι περιθώρια βελτίωσης υπάρχουν.
«Ενεργώ» (Act)
Στην περίπτωση που από τα δύο προηγούμενα βήματα εντοπιστούν αποκλίσεις ή ευκαιρίες για βελτίωση, τότε κατά το βήμα της ενέργειας η διαχειρίστρια εταιρεία και το πλοίο από κοινού σχεδιάζουν και υλοποιούν σχέδιο δράσης για την εξάλειψη των αποκλίσεων, την άνοδο στην καμπύλη εκμάθησης και τη βελτίωση του συστήματος.
Οι μέθοδοι για κυβερνοεπιθέσεις εξελίσσονται. Γι’ αυτό και τα εφαρμοζόμενα μέτρα καθώς και η ετοιμότητα πρέπει να εντάσσονται στην ευρύτερη στρατηγική κυβερνοασφάλειας των ναυτιλιακών οργανισμών.
Μέσω της ανάπτυξης στον τομέα της πληροφορικής (IT, OT), υπάρχει διαθέσιμη πληθώρα ηλεκτρονικών εργαλείων και πλατφορμών, που βοηθούν αποτελεσματικά στην κυβερνοασφάλεια στα πλοία. Επίσης υπάρχουν μοντέλα υλοποίησης, πρότυπα διαχείρισης (ISO/IEC 27001, ISO 22301, κ.λπ.) και σχήματα πιστοποίησης, τα οποία έχουν θετικό αποτύπωμα και επισφραγίζουν τα μέτρα και τη στρατηγική κυβερνοασφάλειας.
Το παραπάνω άρθρο δημοσιεύθηκε στο τεύχος Νοεμβρίου 2022 των Ναυτικών Χρονικών. Μπορείτε να αποκτήσετε το τεύχος πατώντας εδώ.