Ναυτιλία και κυβερνοασφάλεια: Όσα θα πρέπει να γνωρίζετε

0

Του Καπτ. Γεώργιου Γεωργούλη

Ενώ η πληροφορική (Information Technologies – IT) περιλαμβάνει συστήματα μηχανογράφησης και λογισμικά σε γραφεία και λιμάνια, η επιχειρησιακή τεχνολογία (Operational Technologies) έχει εφαρμογές στον έλεγχο επιχειρησιακών συστημάτων, όπως έλεγχος μηχανών, διαχείριση φορτίου, συστήματα πλοήγησης κ.ά. Μέχρι πριν από κάποια χρόνια, αυτά τα συστήματα ήταν συνήθως ανεξάρτητα το ένα από το άλλο και φυσικά δεν υπήρχε καμία παρέμβαση στα συστήματα αυτά από τη στεριά. Ωστόσο, η εξέλιξη της τεχνολογίας και των επικοινωνιών επέτρεψε την ενσωμάτωση των λογισμικών και των συστημάτων ελέγχου, δηλαδή των κόσμων IT και OT.

Στις ναυτιλιακές επιχειρησιακές τεχνολογίες OT περιλαμβάνονται συστήματα όπως:
• Ενσωματωμένα συστήματα γέφυρας (Vessel Integrated Navigational System)
• Παγκόσμιο σύστημα εντοπισμού θέσης (Global Position System)
• Δορυφορικές επικοινωνίες (Satellite Communication)
• Αυτόματο σύστημα αναγνώρισης (Automatic Identification System)
• Συστήματα ραντάρ και ηλεκτρονικοί χάρτες (ARPA and ECDIS)

Ενώ αυτές οι τεχνολογίες και τα συστήματα βοηθούν ουσιαστικά στην επίτευξη της μέγιστης απόδοσης για τη ναυτιλιακή βιομηχανία, την ίδια στιγμή είναι ευάλωτα σε κυβερνοεπιθέσεις, διότι παρέχουν πληροφορίες σχετικές με το στίγμα, την πορεία και την ταχύτητα του πλοίου, το φορτίο του, αλλά και πληροφορίες ελέγχου των συστημάτων επικοινωνίας του πλοίου.

Προκειμένου να αντιμετωπιστούν οι παραπάνω απειλές στον κυβερνοχώρο, είναι σημαντικό να λαμβάνονται υπόψη τα κάτωθι:
• Τα συστήματα OT ελέγχουν τελικά το φυσικό περιβάλλον του πλοίου.
• Τα συστήματα OT είναι υπεύθυνα για την απόδοση σε πραγματικό χρόνο και η αντίδραση σε τυχόν περιστατικά είναι κρίσιμη για να διασφαλιστεί η υψηλή αξιοπιστία των συστημάτων.
• Η πρόσβαση σε συστήματα ΟΤ πρέπει να ελέγχεται αυστηρά χωρίς να διακόπτεται η απαιτούμενη αλληλεπίδραση ανθρώπου-μηχανής.
• Η ασφάλεια αυτών των συστημάτων είναι υψίστης σημασίας και είναι απαραίτητη η παρακολούθηση των σφαλμάτων. Ακόμα και η παραμικρή απόκλιση από τη φυσιολογική λειτουργία δεν πρέπει να είναι αποδεκτή.
• Έχουν μεγάλο κύκλο ζωής και τυχόν ενημερώσεις ή ενημερώσεις κώδικα σε αυτά τα συστήματα πρέπει να εφαρμόζονται προσεκτικά (συνήθως από τον κατασκευαστή) για να αποφευχθεί η μείωση της αξιόπιστης λειτουργίας τους.
• Τα συστήματα OT έχουν σχεδιαστεί για να υποστηρίζουν την προβλεπόμενη επιχειρησιακή διαδικασία και ενδέχεται να μην έχουν αρκετή μνήμη και υπολογιστικούς πόρους για να υποστηρίξουν δυνατότητες ασφαλείας.
• Η απώλεια ελέγχου της λειτουργίας των συστημάτων ΟΤ μπορεί να αποτελέσει σημαντικό κίνδυνο για την ασφάλεια του πλοίου του πληρώματος και του φορτίου, και να προκαλέσει μεγάλη ζημιά στο θαλάσσιο περιβάλλον.

Εκτός όμως από την αμείωτη εξέλιξη των συστημάτων ΟΤ, η μεγάλη πρόκληση πλέον αφορά τα Maritime Autonomous Systems (MAS). Με την ανάπτυξη της τεχνητής νοημοσύνης και την ευρεία χρήση του διαδικτύου, η νέα γενιά πλοίων θα ελέγχεται εξ αποστάσεως από την ξηρά. Τα συστήματα αυτά σήμερα βρίσκονται στο στάδιο των πιλοτικών εφαρμογών και αναμένεται να μπουν σε λειτουργία στο μέλλον και, ασχέτως της χρονικής απόστασης που μας χωρίζει από την εφαρμογή τους στην πράξη, είναι βέβαιο ότι θα επηρεάσουν το τεχνικό, οικονομικό, οικολογικό, νομοθετικό και κοινωνικό περιβάλλον. Αυτό σημαίνει όμως και πλήρη εξάρτηση από τα συστήματα OT.

Η ψηφιοποίηση των συστημάτων και δραστηριοτήτων του πλοίου στοχεύει να αυξήσει την απόδοση, την αποτελεσματικότητα και την καλύτερη συνεργασία στον κλάδο. Ωστόσο, ταυτόχρονα, σημαίνει σημαντική αύξηση της πιθανότητας κυβερνοεπίθεσης στα παραπάνω συστήματα από κακόβουλα λογισμικά, με στόχο την απώλεια ελέγχου των συστημάτων από το πλοίο. Η ναυτιλιακή βιομηχανία μεταφέρει το 90% των προϊόντων που μεταφέρονται παγκοσμίως και, φυσικά, η απόλυτη ψηφιοποίηση των διαδικασιών της αποτελεί πολύ ελκυστικό στόχο γι’ αυτούς που σχεδιάζουν και αναπτύσσουν τα κακόβουλα λογισμικά.

Τον περασμένο Ιούλιο, η ακτοφυλακή των ΗΠΑ εξέδωσε ειδοποίηση ασφαλείας, προειδοποιώντας όλες τις ναυτιλιακές εταιρείες για επιθέσεις στον κυβερνοχώρο. Το περιστατικό που οδήγησε σε αυτή την ειδοποίηση συνέβη τον Φεβρουάριο του 2019, όταν ένα ποντοπόρο πλοίο με προορισμό το λιμάνι της Νέας Υόρκης και του Νιου Τζέρσεϊ ανέφερε «ένα σημαντικό κυβερνο-συμβάν που επηρέασε το δίκτυο των πλοίων τους». Μετά από έρευνα διαπιστώθηκε ότι, παρόλο που το κακόβουλο λογισμικό υποβάθμισε σημαντικά τη λειτουργικότητα του ενσωματωμένου συστήματος υπολογιστών στο πλοίο, τα βασικά συστήματα ελέγχου των χειρισμών δεν είχαν επηρεαστεί. Αυτή δεν ήταν η πρώτη φορά που η ακτοφυλακή των ΗΠΑ είχε εκδώσει προειδοποίηση για την ασφάλεια στον κυβερνοχώρο. Τον Μάιο του 2019 δημοσίευσε ενημερωτικό δελτίο για να αυξήσει τον βαθμό επαγρύπνησης των ναυτιλιακών εταιρειών σχετικά με τις «απόπειρες «ηλεκτρονικού ψαρέματος» και τις απόπειρες εισβολής κακόβουλου λογισμικού, που στοχεύει στα ποντοπόρα πλοία.

Ένα περιστατικό στον κυβερνοχώρο στα πλοία μπορεί να έχει σοβαρές συνέπειες για το πλήρωμα, τους επιβάτες και το φορτίο του πλοίου. Λαμβάνοντας υπόψη ότι πολλά πλοία μεταφέρουν επικίνδυνα φορτία σε στερεά και υγρή μορφή, ένα περιστατικό στον κυβερνοχώρο μπορεί να έχει σοβαρές περιβαλλοντικές συνέπειες ή να οδηγήσει σε πειρατεία του πλοίου με στόχο την κλοπή του φορτίου.

Το διεθνές Συμβούλιο της Βαλτικής (Baltic International Maritime Council – BIMCO) έχει δώσει τον ορισμό ενός περιστατικού κυβερνοεπίθεσης «ως κάθε περιστατικό που οδηγεί σε απώλεια διαθεσιμότητας ή ακεραιότητας κρίσιμων για την ασφάλεια δεδομένων και ΟΤ».

Τα περιστατικά ασφάλειας στον κυβερνοχώρο μπορεί να είναι:
• Ένα συμβάν το οποίο επηρεάζει τη διαθεσιμότητα και την ακεραιότητα των συστημάτων OT (για παράδειγμα, καταστροφή των δεδομένων ηλεκτρονικών χαρτών).
• Μια αστοχία που προέκυψε κατά τη συντήρηση και την επιδιόρθωση του λογισμικού.
• Απώλεια δεδομένων που είναι κρίσιμα για τη λειτουργία ενός πλοίου, όπως των παγκόσμιων δορυφορικών συστημάτων πλοήγησης (Global Navigation Satellite Systems ‒GNSS).

Το 2017, ο Διεθνής Ναυτιλιακός Οργανισμός (IMO) με την MSC.428 (98) απόφαση της Επιτροπής Ασφαλείας ενσωμάτωσε τις διαδικασίες σχετικά με τη διαχείριση κινδύνων στον κυβερνοχώρο, στο σύστημα διαχείρισης ασφάλειας (SMS) των πλοίων. Ένα εγκεκριμένο SMS θα πρέπει να εξετάζει τη διαχείριση κινδύνων στον κυβερνοχώρο και να αναφέρει τα μέτρα πρόληψης και τις διαδικασίες αντιμετώπισης των περιστατικών κυβερνοεπιθέσεων. Η καταληκτική ημερομηνία για τη συμμόρφωση των πλοίων και την ενσωμάτωση μέτρων πρόληψης και προστασίας από τις κυβερνοεπιθέσεις στο σύστημα ασφαλούς διαχείρισης είναι η 01/01/2021.

Ο ΙΜΟ ανέπτυξε επίσης οδηγίες που παρέχουν συστάσεις υψηλού επιπέδου για τη διαχείριση κινδύνων στον κυβερνοχώρο, για την προστασία της ναυτιλίας από τις υπάρχουσες αλλά και τις αναδυόμενες απειλές στον κυβερνοχώρο. Όπως τονίζεται επίσης στις οδηγίες του ΙΜΟ, η αποτελεσματική διαχείριση κινδύνων στον κυβερνοχώρο πρέπει να ξεκινά από το επίπεδο των ανώτερων διευθυντικών στελεχών των ναυτιλιακών επιχειρήσεων. Τα ανώτερα διευθυντικά στελέχη πρέπει να καλλιεργήσουν μια κουλτούρα ευαισθητοποίησης σχετικά με τον κίνδυνο στον κυβερνοχώρο σε όλα τα επίπεδα και τμήματα της εταιρείας και των πλοίων, και να διασφαλίσουν ότι το σύστημα διαχείρισης κινδύνων στον κυβερνοχώρο, βρίσκεται σε λειτουργία και αξιολογείται συνεχώς μέσω αποτελεσματικών μηχανισμών ανάδρασης (feedback).

Οι βέλτιστες πρακτικές που πρέπει να αναπτυχθούν είναι:
• Προσδιορισμός του περιβάλλοντος της απειλής για τις εξωτερικές και εσωτερικές απειλές στον κυβερνοχώρο.
• Προσδιορισμός των ευάλωτων συστημάτων όπου μπορεί να επέλθει η απειλή, κατανοώντας τις πιθανές συνέπειες σε αυτά τα συστήματα
• Αξιολόγηση της έκθεσης σε κίνδυνο, προσδιορίζοντας την πιθανότητα και τις συνέπειες από ενδεχόμενη επίθεση.
• Ανάπτυξη μέτρων προστασίας για να μειωθούν οι συνέπειες από πιθανή απειλή.
• Κατάρτιση σχεδίων έκτακτης ανάγκης για τη μείωση τυχόν πιθανών κινδύνων στον κυβερνοχώρο.

Η έκθεση της ναυτιλιακής βιομηχανίας στον κίνδυνο των κυβερνοεπιθέσεων είναι αρκετά ευάλωτη, με τα πληρώματα να μην είναι κατάλληλα εκπαιδευμένα στην αναγνώριση και στην αντιμετώπιση των απειλών. Σε αυτό το πλαίσιο, οι ναυτιλιακές εταιρείες πρέπει να κινηθούν πολύ γρήγορα προς την κατεύθυνση της προστασίας των συστημάτων τους, παρέχοντας ένα αξιόπιστο λειτουργικό περιβάλλον όχι μόνο από την άποψη της απόδοσης αλλά και από την άποψη της ασφάλειας.

Η διατήρηση της αποτελεσματικής ασφάλειας στον κυβερνοχώρο δεν είναι απλώς ένα ζήτημα τεχνολογικής εξέλιξης και συστημάτων πληροφορικής, αλλά μάλλον μια θεμελιώδης επιχειρησιακή επιταγή στο θαλάσσιο περιβάλλον του 21ου αιώνα.

Το συγκεκριμένο άρθρο με τίτλο “Ναυτιλία και κυβερνοασφάλεια” δημοσιεύθηκε στο τεύχος Οκτωβρίου 2020 των Ναυτικών Χρονικών. Μπορείτε να διαβάσετε το τεύχος των Ναυτικών Χρονικών εδώ.