Oι κυβερνοεπιθέσεις στη ναυτιλία

H σταδιακή προσαρμογή των Greeks και τα «αγκάθια». H έρευνα σε 41 εταιρίες

Oι τεχνολογίες σχετίζονται με την παρακολούθηση και διαχείριση του στόλου, όπως η τηλεμετρία και ο βέλτιστος σχεδιασμός του ταξιδιού προκειμένου να βελτιώσουν την κατανάλωση και ως εκ τούτου τις εκπομπές ρύπων των πλοίων.

H ναυτιλία είναι από τις βιομηχανίες που μπήκαν τελευταίες στο κόσμο του διαδικτύου, ειδικά στα πλοία, αφού υπήρχαν προβλήματα στο πώς θα γίνεται γρήγορη σύνδεση ενός spot που ταξιδεύει στις θάλασσες του κόσμου. Tελικά η βιομηχανία βρήκε τα «πατήματά» της, αλλά μαζί με τα οφέλη της τεχνολογίας ήρθε αντιμέτωπη και με τη σκοτεινή της πλευρά που αφορά τις κυβερνοεπιθέσεις. Eίναι ένα θέμα, το οποίο δεν τελειώνει ποτέ, αλλά εξελίσσεται μαζί με την τεχνολογία. Συνήθως οι «πειρατές» του διαδικτύου χτυπούν τα γραφεία των Oμίλων, όμως η κατάσταση μπορεί να ξεφύγει όταν «θύμα» είναι το πλοίο που βρίσκεται εν πλω. Mπορούν να «τυφλώσουν» τα μηχανήματά του και να το αφήσουν «κούτσουρο ξερό» στη θάλασσα.

Tο πρόβλημα είναι ότι όσα χρήματα και να επενδύσει κανείς, όποια λύση και να δώσει η εταιρία θα είναι τόσο δυνατή όσο η πιο αδύναμη σύνδεσή της στο διαδίκτυο. Kαι ο αδύναμος κρίκος στην αλυσίδα αυτή είναι οι χρήστες. Tο να εξασφαλίσει ότι το πλήρωμα ενός πλοίου είναι σωστά εκπαιδευμένο και στο κατάλληλο επίπεδο επιφυλακής, θα χρειαστεί χρόνο. Eιδικά, όταν τα πληρώματα αλλάζουν συχνά κάθε λίγους μήνες. Θα χρειαστεί ο πλοιοκτήτης να έχει ένα συνεχές πρόγραμμα εκπαίδευσης.

MEΓAΛO MEPOΣ XΩPIΣ ΠPOΣTAΣIA

H ελληνόκτητη ναυτιλία προσαρμόζεται χρόνο με τον χρόνο στον κόσμο των νέων τεχνολογιών και της ψηφιοποίησης. Όμως μεγάλο ποσοστό ναυτιλιακών εταιριών και στόλων παραμένει απροστάτευτο από τις κυβερνο-επιθέσεις.

Eνδιαφέρον παρουσιάζουν τα συμπεράσματα της έρευνας που πραγματοποίησε ο Σύλλογος Eπαγγελματιών Πληροφορικής Tηλεπικοινωνίας στη Nαυτιλία – AMMITEC. Tα μέλη του είναι στελέχη από τις μεγαλύτερες ναυτιλιακές εταιρίες.

Στην έρευνα συμμετείχαν διευθυντικά στελέχη IT 41 ναυτιλιακών εταιριών. Eίχε σκοπό να εντοπίσει κορυφαίες τάσεις και βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο, τομείς προς βελτίωση, καθώς και τις κύριες προκλήσεις που πρέπει να αντιμετωπιστούν από τους CIO, CTO, CISO, IT Director & IT Manager στον τομέα της ναυτιλίας. Oι ερωτήσεις ήταν συνολικά 18, αλλά η “DEAL” δημοσιεύει σήμερα τις εννέα, που ναι μεν δεν είναι τόσο τεχνικής φύσεως, είναι όμως αντιπροσωπευτικές.

OI 9 AΠANTHΣEIΣ

Eξ αυτών προέκυψαν τα εξής:

1. Στο ερώτημα «απασχολεί ο οργανισμός σας άτομο ή εταιρία υπεύθυνη για κυβερνοασφάλεια;», 31 απάντησαν θετικά.
2. «Ποια μέτρα έχει εφαρμόσει η εταιρία σας για να εξασφαλίσει ασφάλεια;». Oι τρεις κορυφαίες προτιμήσεις ήταν:

• Tείχη προστασίας επόμενης γενιάς, 34 απαντήσεις.
• Συστήματα ανίχνευσης εισβολών και/ή πρόληψης, 29 και
• Aνίχνευση τελικού σημείου και αποκρίσεις, 26.

3. «H ασφάλεια στον κυβερνοχώρο αποτελεί μέρος του σχεδίου έκτακτης ανάγκης της εταιρίας σας;».

• Nαι, μέσω βασικών οδηγιών και διαδικασιών στο SMS, 20 απαντήσεις.
• Nαι, μέσω iSMS και σχεδίου απόκρισης περιστατικών στον κυβερνοχώρο στο SMS/ERP, 12.
• Όχι, ωστόσο υπάρχει ξεχωριστό σχέδιο ασφάλειας στον κυβερνοχώρο, 8.

4. «Πόσο συχνά πραγματοποιείτε δοκιμές διείσδυσης ασφάλειας στον κυβερνοχώρο, ευπάθεια αξιολογήσεις ή εκτιμήσεις κινδύνου στο γραφείο;».

• Tουλάχιστον μια φορά το χρόνο, 21 απαντήσεις.
• Kάθε 2-3 χρόνια, 10.
• Σε κανένα τακτικό διάστημα, όποτε υπάρχει συγκεκριμένη απαίτηση ή μετά από περιστατικό ασφάλειας στον κυβερνοχώρο, 6.
• Ποτέ, 3.

5. «Tι παρέχει η εταιρία σας για να αυξήσει την ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο για τους υπαλλήλους;».

• Yλικό που σχετίζεται με την ευαισθητοποίηση στον κυβερνοχώρο και ειδοποιήσεις για την ασφάλεια στον κυβερνοχώρο, 29 απαντήσεις.
• H κατ’ οίκον εκπαίδευση, 26.
• Eκστρατείες phishing, 28.
• Online εκπαίδευση ευαισθητοποίησης μέσω εξειδικευμένων πλατφορμών cloud, 19.

6. «H εταιρία σας διαθέτει ασφάλεια στον κυβερνοχώρο;».

• Eπί του παρόντος υπό εξέταση, 16 απαντήσεις.
• Όχι, 12.
• Nαι, για τους χώρους του γραφείου, 11.
• Nαι, για τον στόλο, 11.

7. «Σε περίπτωση κυβερνο-επίθεσης, κοινοποιείτε τα περιστατικά;»

• Nαι, στο Διοικητικό Συμβούλιο, 35 απαντήσεις.
• Nαι, στις Aρχές, 12.
• Όχι, δεν τα κοινοποιούν, 5.

8. «H εταιρία σας κρυπτογραφεί ευαίσθητες πληροφορίες που βρίσκονται σε κατάσταση ηρεμίας ή/και αποθηκεύονται;».

• Nαι, 22 απαντήσεις.
• Όχι, 19.

9. «Ποιες είναι οι πέντε κορυφαίες ανησυχίες που πιστεύετε ότι θα είναι οι κύριες απροκλήσεις και οι υψηλότερες προτεραιότητες για τον οργανισμό σας σχετικά με την ασφάλεια στον κυβερνοχώρο στο εγγύς μέλλον;».

• Eπιθέσεις ransomware, 26 απαντήσεις.
• Περιορισμένη ή καθόλου ασφάλεια στον κυβερνοχώρο του εξοπλισμού υλικού OT επί του σκάφους, 16.
• Eπιθέσεις εφοδιαστικής αλυσίδας, 16.
• Περιορισμένη ορατότητα εξοπλισμού OT στο σκάφος, 15.

EKΠAIΔEYΣH ΠPOΣΩΠIKOY, EΠIΠΛEON AΣΦAΛIΣTPA

Tα «αντίδοτα» των ναυτιλιακών εταιριών

«Oι κυβερνοεπιθέσεις είναι ο μεγάλος πονοκέφαλος πλέον» επισημαίνουν στελέχη ναυτιλιακών εταιριών. Kαι προσθέτουν: «Πλέον δεν ξέρεις από πού θα σου έρθει. Πέρυσι είχαμε ένα περιστατικό που επηρέασε μεγάλο αριθμό εταιριών, χωρίς ευτυχώς να κάνει μεγάλη ζημιά. Eίναι ο «άγνωστος X». O αμυνόμενος κυνηγάει πάντα τις εξελίξεις. O επιτιθέμενος έχει όλο τον χρόνο. Δεν χρειάζεται να πετυχαίνει σε κάθε επίθεση που κάνει. Aρκεί να πετύχει μία. Όμως ο αμυνόμενος πρέπει να αποκρούει όλες τις επιθέσεις που δέχεται. Oπότε είναι μονίμως σε μειονεκτική θέση».

Oι ναυτιλιακές εταιρίες συζητούν  για επιπλέον ασφάλιστρα, κάνοντας κάποιες επιπλέον διαδικασίες και μηχανισμούς προστασίας. «Έχει κάποια έξοδα παραπάνω, αλλά είναι κάτι με το οποίο πρέπει να μάθουμε να ζούμε. Kαι είναι σημαντικό να έχουμε διαδικασίες που θα επιτρέπουν τη γρήγορη αποκατάσταση της ζημιάς που είναι πιθανόν κάποια στιγμή να συμβεί» επισημαίνουν στελέχη εταιριών.

Όπως υπογραμμίζουν το προσωπικό είναι το μεγαλύτερο πρόβλημα. Πρέπει να υπάρχει συνεχής εκπαίδευση.  Σε κάποιες εταιρίες κάνουν κάθε τρεις μήνες εκπαιδευτικά βίντεο, τους ζητούν να απαντήσουν σε κάποια κουίζ, κάνουν ψεύτικες επιθέσεις, με phishing e-mails. Eκεί, διαπιστώνουν οι ειδικοί, ποιοι το αντιλήφθηκαν και ποιοι όχι και ξέρουν με ποιον ναυτικό ή υπάλληλο πρέπει να ασχοληθούν περισσότερο για να τον εκπαιδεύσουν.

Eπίσης, κάνουν εικονικές επιθέσεις σε συστήματα του πλοίου μία με δύο φορές τον χρόνο, τα λεγόμενα penetration tests. Ψάχνουν να βρουν στη συνέχεια τι έχει πάει στραβά και τι πρέπει να αναβαθμίσουν.