Υπενθυμίζεται ότι από την 1η Ιανουαρίου 2021, τίθεται σε εφαρμογή ο κανονισμός του Διεθνούς Ναυτιλιακού Οργανισμού (International Maritime Organization - IMO), για την κυβερνοασφάλεια. Βάσει του κανονισμού «Maritime Cyber Risk Management in Safety Management Systems», πλοιοκτήτες και διαχειριστές οφείλουν να έχουν μεριμνήσει ώστε να υπάρχει στους κανόνες ασφαλείας των πλοίων τους πρόβλεψη σχετική με την διαχείριση των κυβερνοκινδύνων.
Οι οδηγίες του IMO συνοψίζονται ως εξής: Ταυτοποίηση, Προστασία, Ανίχνευση, Απάντηση, Ανάρρωση. Πρόκειται για μία διαδικασία, την οποία πρέπει να περάσει ένας πλοιοκτήτης, για να μπορέσει, σύμφωνα με τον Οργανισμό, να διαχειριστεί αποτελεσματικά μία επικίνδυνη κατάσταση στον κυβερνοχώρο. Σε αυτό το πλαίσιο, οι εφοπλιστές παροτρύνονται να λάβουν μία σειρά από μέτρα προστασίας, από τη δημιουργία back-up αρχείων μέχρι την αναβάθμιση των λογισμικών και την ασφάλιση των δικτύων των πλοίων.
Προβλήματα πίσω από τον κανονισμό
Η ενίσχυση της κυβερνοασφάλειας στη ναυτιλιακή βιομηχανία κρίνεται απαραίτητη, δεδομένων των δεκάδων επιθέσεων έναντι κορυφαίων ενώσεων και εταιρειών, όπως ο ΙΜΟ και η CMA CGM, που είχαν σαν αποτέλεσμα την παραβίαση ευαίσθητων δεδομένων ασφαλείας.
Ωστόσο, μέλη της ναυτιλιακής κοινότητας διατυπώνουν ανησυχίες για ορισμένα προβλήματα, τα οποία ενδέχεται να ανακύψουν κατά την εφαρμογή του κανονισμού και ως εκ τούτου να εκθέσουν τους πλοιοκτήτες.
Μιλώντας στο Reporter ο κ. Ewan Robinson, Διευθύνων Σύμβουλος της Yango Satellite Communications και πιστοποιημένος «ηθικός χάκερ» χαιρετίζει την προσπάθεια του ΙΜΟ, αλλά ασκεί κριτική στη δράση ναυτιλιακών φορέων, όπως οι νηογνώμονες και οι λιμενικές αρχές, οι οποίοι εμπλέκονται άμεσα στις διαδικασίες, κάνοντας λόγο για «κατά το δοκούν ερμηνεία του κανονισμού». Όπως επισημαίνει, «οι πλοιοκτήτες βρίσκονται αυτή τη στιγμή σε ιδιαίτερα δύσκολη θέση, καθώς έρχονται αντιμέτωποι με απαιτήσεις, οι οποίες δεν αρμόζουν στο πνεύμα του κανονισμού».
Σύμφωνα με τον κ. Robinson, αυτοί οι φορείς, οι οποίοι είναι σε θέση να προτείνουν κατευθυντήριες γραμμές για την ορθή εφαρμογή του κανονισμού, «βλέπουν» τη διαδικασία σαν μία «άσκηση» κάλυψης ορισμένων προϋποθέσεων, χωρίς να δίνουν ουσιαστική σημασία στη βελτίωση της θέσης των εταιρειών στον κυβερνοχώρο. «Έτσι, οι προτεινόμενες λύσεις είναι πολύ πιθανό να οδηγήσουν σε μία αδυναμία ή ακόμη και σε ένα πιθανό σφάλμα του συστήματος», υπογραμμίζει.
Ο κ. Robinson εξηγεί φέρνοντας ως παράδειγμα προτάσεις για την εγκατάσταση πρόσθετου εξοπλισμού πάνω στα πλοία - υπολογιστές, λογισμικό - τα οποία «υπερφορτώνουν» τα ήδη πιεσμένα συστήματα των πλοίων. «Η προσθήκη επιπλέον μηχανημάτων για την αντιμετώπιση πιθανών προβλημάτων από τη συνεργασία με τρίτα μέρη - μηχανικοί, προμηθευτές - θα μπορούσε να οδηγήσει σε αδυναμίες, όπως η καθυστέρηση των ενημερώσεων των συστημάτων, δημιουργώντας εν τέλει, ένα "hotspot μόλυνσης"» σημειώνει.
Οι επιζήμιες συνεργασίες με τρίτα μέρη, τις οποίες προσπαθούν να αποφύγουν οι ναυτιλιακοί φορείς, αναδείχτηκαν κατά την πρόσφατη επίθεση χάκερς στην αμερικανική εταιρεία λογισμικού SolarWinds. Αφού παραβίασαν την εταιρεία, οι χάκερς κατάφεραν να εισέλθουν σε δίκτυα συνεργαζόμενων εταιρειών και υπηρεσιών και τους προσέφεραν κακόβουλο λογισμικό, παρουσιάζοντάς το ως δήθεν update του προγράμματος Orion. Το αποτέλεσμα ήταν 18.000 πελάτες της SolarWinds, ανάμεσα στους οποίους και αμερικανικές κυβερνητικές υπηρεσίες, να βρεθούν εκτεθειμένοι. «Πρόκειται για ένα πολύ συγκεκριμένο παράδειγμα της κατάστασης που αντιμετωπίζουν τα τμήματα ΙΤ των πλοίων, όπου οι αστοχίες τρίτων έχουν προκαλέσει πολλά προβλήματα», σχολίασε ο κ. Robinson.
Το ζήτημα της ευθύνης
Σε αυτό το σημείο φυσικά εγείρεται το ερώτημα για το που θα ξεκινά και που θα σταματά η ευθύνη του πλοιοκτήτη και αντίστοιχα του ειδικού που επιμελείται τα συστήματα ασφαλείας του πλοίου.
Αν ο πλοιοκτήτης είναι υπεύθυνος για την «εφαρμογή της καλύτερης πρακτικής και την τήρηση των διεθνών προτύπων» - όπως ορίζουν οι οδηγίες του IMO - και οι δημιουργοί του λογισμικού, για παράδειγμα, προβούν σε ένα λάθος και εκθέσουν το πλοίο σε μία κυβερνοεπίθεση, ποιός θα είναι αυτός που θα βρεθεί αντιμέτωπος με συνέπειες; διερωτάται ο κ. Robinson, προσθέτοντας πως δεν έχει γίνει καμία ενέργεια για τη διευθέτηση ενός τέτοιου ζητήματος.
Παραβίαση ενός πλοίου σε… 60 δευτερόλεπτα
Σε ερώτηση, τέλος, για το κατά πόσο οι ναυτιλιακές εταιρείες είναι προετοιμασμένες να αποκρούσουν κακόβουλες επιθέσεις, η απάντηση του κ. Robinson είναι αποστομωτική: «Μπορώ ακόμη να συνδεθώ στο σύστημα μίας εταιρείας και να απενεργοποιήσω όλα τα δίκτυα επικοινωνίας μέσα σε 60 δευτερόλεπτα!»
«Η επίλυση του προβλήματος των κυβερνοεπιθέσεων απαιτεί αποφασιστικά βήματα και άμεσα. Πρέπει να δοθεί προτεραιότητα σε κρίσιμα θέματα, όπως η προσεκτική διαχείριση των εξωτερικών συνεργατών και η εξειδίκευση του προσωπικού» καταλήγει.
Γιώργος Γεωργίου
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο reporter.gr