Του καπτ. Γεώργιου Γεωργούλη
Η ναυτιλιακή βιομηχανία συνεχίζει να εισάγει τεχνολογίες και ψηφιακά συστήματα που συνδέονται με το διαδίκτυο για τη βελτίωση των λειτουργιών των εμπορικών πλοίων και των λιμενικών εγκαταστάσεων, όπως αυτές που χρησιμοποιούνται στη μεταφορά των φορτίων και στην ασφαλή ναυσιπλοΐα. Ωστόσο, αυτή η ψηφιακή διασύνδεση έχει εισαγάγει κινδύνους για την ασφάλεια στον κυβερνοχώρο, συμπεριλαμβανομένης της απειλής επιθέσεων για λύτρα, που μπορούν να διαταράξουν τις λειτουργίες, μη εξουσιοδοτημένης πρόσβασης σε ελέγχους πλοίων και συστήματα πλοήγησης, κατασκοπείας σε πρακτικές της εφοδιαστικής αλυσίδας και κλοπής εμπορικών μυστικών.
Όταν τα περιστατικά στον κυβερνοχώρο αναφέρονται γρήγορα, οι αρχές μπορούν να χρησιμοποιήσουν τις πληροφορίες για να παρέχουν βοήθεια και να εκδίδουν προειδοποιήσεις, και επομένως να αποτρέψουν άλλους να πέσουν θύματα παρόμοιων επιθέσεων. Αυτές οι πληροφορίες είναι επίσης κρίσιμες για τον εντοπισμό τάσεων των επιθέσεων, που μπορούν να βοηθήσουν στην προστασία της βιομηχανίας. Τέτοιες πληροφορίες μπορεί να είναι:
- Δεδομένα και ώρα εκδήλωσης, τοποθεσία, είδος επίθεσης και λεπτομερής περιγραφή του συμβάντος.
- Μη εξουσιοδοτημένη πρόσβαση στο σύστημα της εταιρείας.
- Επιθέσεις άρνησης παροχής υπηρεσίας (Denial of Service – DOS), που διαρκούν περισσότερες από 12 ώρες.
- Κακόβουλο λογισμικό στο συστήματα της εταιρείας, συμπεριλαμβανομένου και του τύπου, εάν είναι γνωστό.
- Στοχευμένες και επαναλαμβανόμενες σαρώσεις στα συστήματα υπηρεσιών πληροφορικής της εταιρείας.
- Επανειλημμένες προσπάθειες για την απόκτηση μη εξουσιοδοτημένης πρόσβασης στο σύστημα της εταιρείας.
- Μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα σε κινητά ή μέσα κοινωνικής δικτύωσης που σχετίζονται με ηλεκτρονικό ψάρεμα.
- Συμβάντα που αφορούν στη ναυσιπλοΐα, τα οποία σχετίζονται με παρεμβολές στα συστήματα δορυφορικών επικοινωνιών (SATCOM) και δορυφορικού εντοπισμού θέσης (AIS και GNSS).
Σε περίπτωση κυβερνοεπίθεσης, η διαχειρίστρια εταιρεία πρέπει να στείλει μήνυμα ηλεκτρονικού ταχυδρομείου στη σημαία, στις παράκτιες αρχές, στην αστυνομία, στη λιμενική αρχή και στον πάροχο υπηρεσιών ασφάλειας στον κυβερνοχώρο. Η κοινή χρήση πληροφοριών με τον πάροχο υπηρεσιών κυβερνοασφάλειας δεν φτάνει αλλά ούτε αντικαθιστά την υποχρέωση που προκύπτει από το θεσμικό πλαίσιο για την αναφορά του περιστατικού στους υπόλοιπους φορείς.
Σχετικά με την αναφορά των περιστατικών στις αρχές, για παράδειγμα, η Ακτοφυλακή των ΗΠΑ (USCG) επιδιώκει να αντιμετωπίσει τους κινδύνους θαλάσσιας κυβερνοασφάλειας θεσπίζοντας τις ελάχιστες απαιτήσεις για την αναφορά περιστατικών κυβερνοασφάλειας από την κοινότητα της ναυτιλιακής βιομηχανίας. Το USCG τονίζει ότι η εντολή για την υποβολή εκθέσεων θα είναι αρκετά ευρεία και οι προσδοκίες τους για την αναφορά οποιασδήποτε τέτοιας ύποπτης δραστηριότητας θα γίνουν πολύ μεγαλύτερες στο μέλλον.
Οι νέες απαιτήσεις USCG θα ισχύουν μόνο για πλοία υπό σημαία ΗΠΑ και εγκαταστάσεις των ΗΠΑ που υπόκεινται στους κανονισμούς του νόμου περί ασφάλειας θαλάσσιων μεταφορών του 2002. Αν και δεν είναι υποχρεωτικό, οποιοδήποτε άλλο πλοίο, λιμάνι ή παραθαλάσσια εγκατάσταση μπορεί επίσης να αναφέρει περιστατικά ασφάλειας στον κυβερνοχώρο.
Σε διεθνές επίπεδο, ο ΙΜΟ εφάρμοσε το ψήφισμα MSC.428(98) το 2021, το οποίο απαιτεί από τους ιδιοκτήτες πλοίων και τους διαχειριστές να λαμβάνουν υπόψη τους τους συνολικούς κινδύνους στον κυβερνοχώρο και να εφαρμόζουν τις διατάξεις αυτές για την ασφάλεια στον κυβερνοχώρο σε όλα τα επίπεδα του συστήματος διαχείρισής τους, σύμφωνα με τον Διεθνή Κώδικα Ασφαλούς Διαχείρισης (ISM).
Σε συνδυασμό με αυτό το ψήφισμα, ο ΙΜΟ εξέδωσε επίσης κατευθυντήριες γραμμές για τη Διαχείριση Κινδύνων στον Ναυτιλιακό Κυβερνοχώρο (MSC-FAL.1/Circ.3). Αυτό παρέχει συστάσεις και οδηγίες υψηλού επιπέδου για τη διαχείριση θαλάσσιων κινδύνων στον κυβερνοχώρο, που μπορούν να ενσωματωθούν στις υπάρχουσες διαδικασίες διαχείρισης κινδύνου.
Το παραπάνω άρθρο δημοσιεύθηκε στο Τεύχος Σεπτεμβρίου 2024 των Ναυτικών Χρονικών.
Μπορείτε να αποκτήσετε το Τεύχος Σεπτεμβρίου πατώντας εδώ.
