Θοδωρής Στεργίου
Director, Συμβουλευτικό Τμήμα, KPMG
Νικόλαος Αστυφίδης
Manager, Συμβουλευτικό Τμήμα, KPMG
Η ναυτιλία, αποτελώντας έναν από τους σημαντικότερους κλάδους μεταφοράς αγαθών και επιβατών σε παγκόσμιο επίπεδο, εξελίσσεται γοργά, με άρμα τον ψηφιακό μετασχηματισμό ενδοεταιρικών διαδικασιών αλλά και πλοίων. Η ολοένα και ευρύτερη αξιοποίηση της τεχνολογίας για την υποστήριξη των επιχειρησιακών και επιχειρηματικών διαδικασιών καθιστά απαραίτητη τη διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριών και την ανάγκη για αποτελεσματικό σχεδιασμό της ασφάλειας πληροφοριών βάσει αξιολόγησης των κινδύνων. Είναι χαρακτηριστικό ότι τα τελευταία τρία χρόνια (2017-2020) οι κυβερνοεπιθέσεις με στόχο τις ναυτιλιακές εταιρείες έχουν σημειώσει κατακόρυφη αύξηση, της τάξης του 900%, σε σχέση με την κατάσταση προ πενταετίας.
Παρότι μερικοί από τους μεγαλύτερους ναυτιλιακούς οργανισμούς έχουν πέσει θύματα κυβερνοεπιθέσεων, συνεχίζει να πλανάται η πεποίθηση, σε πολλές εταιρείες του χώρου, ότι κάτι τέτοιο δεν πρόκειται να συμβεί σε αυτές. Αυτό έχει ως αποτέλεσμα η κυβερνοασφάλεια να μη λαμβάνεται υπόψη στη συνολική αξιολόγηση κινδύνου του οργανισμού, θεωρώντας ότι αποτελεί καθαρά θέμα τεχνολογικής φύσεως, κάτι το οποίο όμως δεν είναι ακριβές.
Ο κάθε οργανισμός, προκειμένου να διαφυλάξει τα περιουσιακά του στοιχεία, αλλά και την εύρυθμη λειτουργία του από κυβερνοεπιθέσεις, θα πρέπει πρώτα να φροντίσει να θωρακίσει τις τρεις κυριότερες γραμμές άμυνάς του, οι οποίες είναι:
– Ο άνθρωπος,
– Η τεχνολογία,
– Οι διαδικασίες.
Ο άνθρωπος
Ο ανθρώπινος παράγοντας είναι η κινητήρια δύναμη κάθε οργανισμού, αλλά και το καθοριστικότερο συστατικό ώστε όλες οι επιχειρηματικές δραστηριότητες να εκτελούνται με συνέπεια και ακρίβεια. Η εκπαίδευση του προσωπικού των περισσότερων ναυτιλιακών σε θέματα κυβερνοασφάλειας είναι ελλιπής. Αυτό είναι κάτι που οι περισσότεροι κυβερνοεγκληματίες γνωρίζουν και το εκμεταλλεύονται κατά το πρώτο κύμα επιθέσεών τους, το οποίο έχει και πολύ υψηλό δείκτη επιτυχίας. Επιθέσεις κοινωνικής μηχανικής (social engineering), κυρίως μέσω ηλεκτρονικού ταχυδρομείου, είναι αυτές που έχουν θέσει σε κίνδυνο την επιχειρηματική δραστηριότητα μερικών από τους μεγαλύτερους ναυτιλιακούς οργανισμούς. Είναι επιτακτική ανάγκη όλο το προσωπικό, τόσο στη θάλασσα όσο και στη στεριά, να εκπαιδεύεται και να ενημερώνεται σε θέματα κυβερνοασφάλειας με παραδείγματα ανάλογα με τα καθήκοντά του. Με αυτόν τον τρόπο διαμορφώνεται θετική κουλτούρα κυβερνοασφάλειας στον οργανισμό και τον καθιστά πιο αποτελεσματικό στην αντιμετώπιση προκλήσεων και τεχνασμάτων κυβερνοεγκληματιών, όντας σε θέση να αναγνωρίσει άμεσα απειλές τέτοιου είδους.
Η τεχνολογία
Το κύμα της ψηφιοποίησης, όπως είναι αναμενόμενο, έρχεται να αναδιαμορφώσει τον τρόπο που χρησιμοποιείται η τεχνολογία, καθιστώντας την εργαλείο επιχειρηματικής ανάπτυξης. Τα μέχρι πρόσφατα απομονωμένα συστήματα ενός πλοίου (OT Operations) αρχίζουν να παλαιώνουν και η συντήρησή τους τα καθιστά ασύμφορα σε σχέση με το τι μπορούν να προσφέρουν τα αντίστοιχα συστήματα τελευταίας γενιάς. Ο ΟΤ κόσμος, σε συνδυασμό με τις ΙΙοΤ (Industrial Internet of Things) λύσεις, αρχίζει να αλλάζει το μοντέλο λειτουργίας του πλοίου, καθώς πλέον μπορούν τα συστήματα αυτά να επικοινωνούν και να ελέγχονται από τη στεριά μέσω των παρόχων δορυφορικής επικοινωνίας (airtime providers). Αυτό αυτομάτως εκθέτει τα πλοία σε ένα μεγάλο φάσμα κυβερνοαπειλών, καθώς το βασικό κανάλι επικοινωνίας είναι το Διαδίκτυο. Ο αριθμός των αναγνωρισμένων ευπαθειών στα ΟΤ συστήματα του πλοίου (π.χ. AIS, ECDIS κ.λπ.) αυξάνεται συνεχώς, προσθέτοντας απειλές που μπορούν δυνητικά να πλήξουν την ασφάλεια του πλοίου αλλά και του πληρώματος. Αν στην όλη εξίσωση προστεθούν και τα ΙΤ συστήματα (email, CRM κ.λπ.) το πεδίο του κινδύνου μεγαλώνει αρκετά, τόσο για το πλοίο όσο και για την υποδομή στη στεριά. Είναι σημαντικό λοιπόν να υπάρχει ένα συγκεκριμένο πλαίσιο για τον τρόπο που τα συστήματα (IT και OT) θωρακίζονται από κακόβουλες επιθέσεις, ενώ ταυτόχρονα θα πρέπει να υπάρχουν και οι αντίστοιχοι μηχανισμοί έγκυρης αναγνώρισης των εν λόγω απειλών. Δεν είναι λίγα τα παραδείγματα εταιρειών του κλάδου που έπεσαν θύμα κυβερνοεπιθέσεων, με πολύ πρόσφατο παράδειγμα την επίθεση τύπου ransomware στην εταιρεία κρουαζιέρας Carnival.
Οι διαδικασίες
Η ανάγκη της επικοινωνίας και της εναρμόνισης του ανθρώπινου, του τεχνολογικού και του κανονιστικού παράγοντα, μας φέρνει στο σημείο όπου θα πρέπει να επαναπροσδιορίσουμε τον τρόπο που λειτουργούν οι εταιρείες στον ναυτιλιακό κλάδο σε σχέση με την ασφάλεια των πληροφοριών. Υπενθυμίζουμε ότι ο IMO, αντιλαμβανόμενος τις προκλήσεις του κλάδου, έχει ορίσει αυστηρές προθεσμίες (Ιανουάριος 2021) ώστε οι ναυτιλιακές να λάβουν τα απαραίτητα μέτρα σχετικά με την κυβερνοασφάλειά τους. Είναι ανάγκη λοιπόν να αναπτυχθούν νέες ή να ανανεωθούν οι υπάρχουσες διαδικασίες και πολιτικές ασφάλειας, ώστε να προσδώσουν μια κοινή πορεία για την αντιμετώπιση των κινδύνων που δύνανται να πλήξουν την ασφάλεια των πληροφοριών. Αυτό μπορεί να επιτευχθεί μέσα από ένα ώριμο πλαίσιο διακυβέρνησης της ασφάλειας των πληροφοριών (ISMS, Information Security Management System), το οποίο θα λαμβάνει υπόψη τα βασικά συστατικά της ασφάλειας πληροφοριών, ήτοι εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Μέσα από αυτό το πλαίσιο είναι σημαντικό να αναγνωρισθούν οι πραγματικές απειλές, καθώς και ο αντίκτυπος που συνεπάγεται για κάθε οργανισμό. Επιπλέον, θα πρέπει να είναι δομημένο με τέτοιο τρόπο ώστε να ορίζονται συγκεκριμένοι στρατηγικοί δείκτες παρακολούθησης της κυβερνοασφάλειας του οργανισμού (KPIs ή KRIs) στο σύνολό του (γραφεία και πλοία).
Λαμβάνοντας λοιπόν υπόψη όλα τα παραπάνω, αναλογιστείτε το σενάριο όπου ένα πλοίο, πλέοντας στη θάλασσα, πέφτει θύμα κυβερνοεπίθεσης και λόγω αυτής το οποιοδήποτε λιμάνι τού αρνείται τον ελλιμενισμό σε αυτό. Αυτό θα συνέβαινε διότι αν στα συστήματα του πλοίου έχει εγκατασταθεί κάποιο κακόβουλο λογισμικό (π.χ. malware), τότε, από τη στιγμή που θα έδενε στο λιμάνι, αυτομάτως θα γινόταν σύνδεση με το τοπικό δίκτυο, με αποτέλεσμα να μεταφερθεί το πρόβλημα και σε αυτό, μολύνοντας τους πληροφοριακούς πόρους με το ίδιο κακόβουλο λογισμικό. Και αν αυτό το περιστατικό γινόταν η αιτία να υποκλαπούν ευαίσθητα ή προσωπικού χαρακτήρα δεδομένα, τότε σίγουρα το τμήμα πληροφορικής θα ήταν η τελευταία γραμμή άμυνας, καθώς πολύ γρήγορα η διοίκηση της εταιρείας θα έπρεπε να κληθεί να δώσει εξηγήσεις και να διαχειριστεί την κρίση.
Είναι λοιπόν κατανοητό ότι η κυβερνοασφάλεια είναι ένα φλέγον ζήτημα στις μέρες μας για τον τομέα της ναυτιλίας, το οποίο δυνητικά μπορεί να έχει σημαντικές επιπτώσεις στις κρίσιμες δραστηριότητες των ναυτιλιακών εταιρειών. Η κυβερνοασφάλεια δεν είναι ένα θέμα που αφορά μόνο το τμήμα πληροφορικής των ναυτιλιακών, αλλά ένας τομέας που πρέπει να παρακολουθείται στενά από τη διοίκηση, ορίζοντας δείκτες και κανόνες λειτουργίας με στόχο την ασφάλεια τόσο των επιχειρηματικών λειτουργιών όσο και του ίδιου του προσωπικού. Ταυτόχρονα, γίνεται κατανοητό ότι η κυβερνοασφάλεια οφείλει να αποτελεί πλέον μέρος του επιχειρηματικού κινδύνου μιας ναυτιλιακής εταιρείας αλλά και το όχημά της για τη διασφάλιση της συνέχειας των δραστηριοτήτων της.