Από την έντυπη έκδοση

Επτά από τις δέκα κορυφαίες εταιρείες μεταφοράς εμπορευματοκιβωτίων στον κόσμο έχουν αναγνωρίσει δημόσια ότι έχουν πέσει θύματα επιθέσεων στον κυβερνοχώρο.

Παρά την αυξανόμενη απειλή για την ασφάλεια στον κυβερνοχώρο, η κατανόηση του ναυτιλιακού κλάδου σχετικά με τις επιθέσεις στον κυβερνοχώρο και από πού προέρχονται παραμένει σχετικά φτωχή. Το ίδιο ισχύει και για την κατανόηση των ευθυνών, των κινδύνων και των υποχρεώσεων του κλάδου.

Σύμφωνα με έκθεση που δημοσίευσαν οι εταιρείες CyberOwl, που ειδικεύεται στην κυβερνοασφάλεια στη ναυτιλία, η Holman Fenwick Willan (HFW), δικηγορική εταιρεία ναυτικού δικαίου, και ο οργανισμός καινοτομίας Thetius, παρά την πρόοδο που σημειώθηκε με την οδηγία IMO 2021, ο κυβερνοχώρος εγκυμονεί ακόμα σημαντικούς κινδύνους για τη ναυτιλία. Η έκθεση, με τίτλο «The Great Disconnect» (Η μεγάλη αποσύνδεση) βασίστηκε στις απόψεις πάνω από 200 επαγγελματιών, προσωπικού ξηράς, ναυτικών και προμηθευτών του κλάδου σε όλα τα επίπεδα.

Βασικό εύρημα της έκθεσης είναι ότι 3% των κυβερνοεπιθέσεων που σημειώθηκαν στη ναυτιλία τα τελευταία τρία χρόνια, οδήγησε στην καταβολή λύτρων. Ο μέσος όρος λύτρων που καταβλήθηκαν ήταν 3,1 εκατ. δολάρια. Αντιθέτως, το 2021 η ετήσια δαπάνη για την ασφάλεια στον κυβερνοχώρο μεσαίας ναυτιλιακής εταιρείας για το σύνολο του στόλου δεν ξεπέρασε τις 100 χιλιάδες δολάρια. Συγκριτικά, για κάθε 1 δολάριο λύτρα η μέση δαπάνη της πληγείσας ναυτιλιακής εταιρείας για τη διαχείριση του κυβερνοκινδύνου ήταν μόλις 3 σεντ, ενώ για προστασία εναντίον φυσικής πειρατείας 524 δολάρια.

«Η ερευνητική ομάδα εντόπισε σημαντικά κενά στον τρόπο με τον οποίο διαχειρίζονται τα θέματα κυβερνοασφάλειας οι ναυτιλιακοί οργανισμοί και η ευρύτερη αλυσίδα εφοδιασμού, αλλά και στον τρόπο με τον οποίο ο κλάδος προσεγγίζει τον κίνδυνο», αναφέρει ο διευθυντής ΕΜΕΑ της CyberOwl, Βασίλης Γκλεγκλές.

Συχνό φαινόμενο

Ο εντοπισμός κακόβουλου λογισμικού ή κυβερνοεπιθέσεων σε ναυτιλιακά συστήματα, είναι πλέον συχνό φαινόμενο. Η έρευνα έδειξε πως το 36% των οργανισμών πιστεύει ότι έχει πέσει θύμα κυβερνοεπίθεσης κατά την τελευταία τριετία.

Τον Φεβρουάριο του 2022, περίπου στην έναρξη της σύγκρουσης μεταξύ Ρωσίας και Ουκρανίας, η CyberOwl ήταν σε αυξημένη επιφυλακή για κακόβουλη δραστηριότητα στον κυβερνοχώρο εθνικών κρατών. Η ομάδα της CyberOwl εντόπισε σε 8 πλοία διαφορετικών πλοιοκτητών κακόβουλο λογισμικό, που συνδεόταν στενά με πολιτική κατασκοπεία, σχεδιασμένο να παρέχει στον εισβολέα απομακρυσμένη, μη εξουσιοδοτημένη πρόσβαση, για πλήρη χειρισμό και έλεγχο των μηχανημάτων.

Ένα άλλο βασικό εύρημα της έκθεσης είναι ότι όσο υψηλότερα ιεραρχικά βρίσκεται κάποιος σε έναν ναυτιλιακό οργανισμό, τόσο λιγότερες οι πιθανότητες να γνωρίζει για μια κυβερνοεπίθεση. «Αποκαλύπτεται έτσι το χάσμα μεταξύ του μεγέθους των κινδύνων στους οποίους είναι εκτεθειμένες οι ναυτιλιακές εταιρείες και του βαθμού στον οποίο αυτοί είναι γνωστοί στη διοίκηση» τονίζει ο κ. Γκλεγκλές, προσθέτοντας ότι «είναι ζωτικής σημασίας να αποκτήσουν τα στελέχη της ναυτιλίας επίγνωση των κινδύνων αυτών και να κατανοήσουν σε βάθος τους μηχανισμούς ελέγχου που έχουν εγκαταστήσει οι οργανισμοί τους για να τους μετριάσουν».

Ευθύνη των εταιρειών

Είναι γεγονός ότι για τους εγκληματίες του κυβερνοχώρου είναι απλώς θέμα χρόνου μέχρι να βρουν έναν τρόπο να παρακάμψουν το επόμενο σύστημα ασφαλείας που θα αναπτύξουν οι επαγγελματίες της κυβερνοασφάλειας, αναφέρει ο δρ. Μάνθος Μαχαίρας, Chief Information Officer της Metrostar Management Corp. και αντιπρόεδρος της AMMITEC.

Είναι λοιπόν σαφές ότι χρειαζόμαστε μια νέα προσέγγιση για να προχωρήσουμε στην επόμενη φάση της θωράκισης των εταιρειών μας. Το θέμα της κυβερνοασφάλειας θα πρέπει πλέον να μπει στις αίθουσες των διοικητικών συμβουλίων και να γίνει κατανοητό από όλους ότι είναι ευθύνη της εταιρείας, στο σύνολό της, να αντιμετωπίσει αυτό το νέο επιχειρηματικό ρίσκο.

Στη ναυτιλία ειδικότερα, δεδομένης της νέας γεωπολιτικής πραγματικότητας, ο κίνδυνος κυβερνοεπίθεσης είναι αυτή τη στιγμή περισσότερο ρεαλιστικός από ποτέ. Ο ENISA -ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια- έχει ήδη από το 2018 κατατάξει τη ναυτιλία στις Κρίσιμες Υποδομές (Κ.Υ.) της Ε.Ε. και έχει περιλάβει τη μεταφορά επιβατών και εμπορευμάτων στον κατάλογο των Βασικών Υπηρεσιών (Β.Υ.) που θα πρέπει να προστατεύονται από κυβερνοεπιθέσεις. Η οδηγία 2016/1148/ΕΕ σχετικά με «μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση» έχει εφαρμοστεί και στην Ελλάδα με υπουργική απόφαση από το 2019.

Το πρόβλημα όμως είναι ότι τα Δ.Σ. των εταιρειών συνήθως αρκούνται σε μια απλή διαβεβαίωση του διευθυντή Πληροφορικής ότι η εταιρεία έχει firewalls και antivirus και ότι γενικότερα έχει ασφαλιστεί η περίμετρος του δικτύου έτσι ώστε να μπορεί να αμυνθεί απέναντι σε όλες τις γνωστές επιθέσεις. Στην εποχή όμως του Cloud, των κοινωνικών δικτύων, των κινητών συσκευών και του Metaverse, αυτό δεν είναι σε καμία περίπτωση αρκετό! Οι διοικήσεις των εταιρειών θα πρέπει κατ’ ελάχιστο να λάβουν υπόψη τους τα εξής:

1. Η κυβερνοασφάλεια είναι κάτι περισσότερο από την προστασία των δεδομένων.

Τα στελέχη των σημερινών εταιρειών θα πρέπει να ανησυχούν περισσότερο για απειλές όπως η διαρροή προσωπικών πληροφοριών (GDPR), υφαρπαγή εμπορικών πληροφοριών (DLP) και κάθε είδος εξελιγμένης οικονομικής απάτης (Financial Fraud).

2. Τα Δ.Σ. πρέπει να συμμετέχουν ενεργά στη διαμόρφωση της στρατηγικής ασφάλειας στον κυβερνοχώρο.

Ευθύνη του Δ.Σ. είναι να βεβαιωθεί ότι υπάρχει ένα σχέδιο αντιμετώπισης του κινδύνου κυβερνοεπίθεσης (Cyber Incident Response Plan).

3. Τα Δ.Σ. πρέπει να εστιάζουν στον κίνδυνο για τη φήμη και την επιχειρηματική συνέχεια (Business Continuity).

Οι ανησυχίες των Δ.Σ. θα πρέπει πλέον να εστιάζονται περισσότερο σε αυτούς του κινδύνους και όχι μόνο στη διασφάλιση της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας (CIA).

4. Η κυρίαρχη προσέγγιση για την ασφάλεια στον κυβερνοχώρο είναι η άμυνα σε βάθος (Defense in Depth).

Είναι απαραίτητα επιπλέον επίπεδα ασφαλείας, όπως συστήματα Τεχνητής Νοημοσύνης (Cyber AI) και Κέντρα Επιχειρήσεων Ασφαλείας (SOC).

5. Η κυβερνοασφάλεια είναι πρωτίστως ένα οργανωτικό πρόβλημα, όχι απλώς ένα τεχνικό πρόβλημα.

Μελέτες έχουν δείξει ότι το 88% των περιστατικών παραβίασης δεδομένων προκλήθηκε από λάθη των εργαζομένων. Το Δ.Σ. έχει καίριο ρόλο στη δημιουργία κουλτούρας κυβερνοασφάλειας.