hvorfor 50, 000 skibe er så sårbare over for cyberangreb

De 50, 000 skibe, der sejler på havet til enhver tid, har tilsluttet sig en stadig voksende liste over objekter, der kan hackes. Cybersikkerhedseksperter viste for nylig, hvor nemt det var at bryde ind i et skibs navigationsudstyr. Dette sker kun få år efter, at forskere viste, at de kunne narre GPS'en fra en superyacht til at ændre kurs. Der var engang genstande som biler, brødristere og slæbebåde gjorde kun, hvad de oprindeligt var designet til at gøre. I dag er problemet, at de alle også taler til internettet.

Historien indtil videre

Historier om maritim cybersikkerhed kommer kun til at sprede sig. Den maritime industri har været langsom til at indse, at skibe, ligesom alt andet, er nu en del af cyberspace. Den Internationale Søfartsorganisation (IMO), FN-organet, der har til opgave at regulere det maritime rum, har været sen og noget langsom med at overveje passende regulering, når det kommer til cybersikkerhed.

I 2014 IMO konsulterede deres medlemskab om, hvordan retningslinjerne for maritime cybersikkerhed skulle se ud. To år senere udsendte de deres foreløbige retningslinjer for risikostyring af cybersikkerhed, som er brede og ikke særligt maritime specifikke. Og nu, ikke overraskende, skibe bliver hacket.

Den maritime industris kompleksitet

Der er flere kernespørgsmål, der gør cybersikkerhed for den maritime industri særlig udfordrende at håndtere.

Først, der er mange forskellige fartøjsklasser, som alle opererer i meget forskellige miljøer. Disse fartøjer har en tendens til at have forskellige computersystemer indbygget i dem. Væsentligt, mange af disse systemer er bygget til at holde i over 30 år. Med andre ord, mange skibe kører forældede og ikke-understøttede operativsystemer, som ofte er dem, der er mest udsat for cyberangreb.

Sekund, brugerne af disse maritime computersystemer er konstant i forandring. Skibsbesætninger er meget dynamiske, skifter ofte med kort varsel. Som resultat, besætningsmedlemmer bruger ofte systemer, de ikke kender, øger potentialet for cybersikkerhedshændelser i forbindelse med menneskelige fejl. Yderligere, vedligeholdelse af indbyggede systemer, inklusive navigation, er ofte kontraheret med en række tredjeparter. Det er meget muligt, at et skibs besætning har ringe forståelse for, hvordan systemer ombord interagerer med hinanden.

En tredje kompleksitet er forbindelsen mellem indbyggede og terrestriske systemer. Mange maritime virksomheder er i konstant kommunikation med deres fartøjer. Skibets cybersikkerhed er også afhængig, derefter, på cybersikkerheden i den landbaserede infrastruktur, der gør dette muligt. Implikationerne af sådanne afhængigheder blev tydeliggjort i 2017, da et cyberangreb på A.P.Møller-Mærsks systemer resulterede i forsinkelser i lasten på tværs af hele deres flåde. Dette er især udfordrende for IMO, som kan styre lignende havneregler, men har meget lidt kontrol over maritime operatørers bredere systemer og processer.

Skridt i den rigtige retning

I 2017 IMO ændrede to af deres generelle sikkerhedsstyringskoder for eksplicit at indeholde cybersikkerhed. Den internationale skibs- og havnefacilitetssikkerhedskode (ISPS) og International Security Management Code (ISM) beskriver, hvordan havne- og skibsoperatører skal udføre risikostyringsprocesser. At gøre cybersikkerhed til en integreret del af disse processer bør sikre, at operatører i det mindste er bevidste om cyberrisici.

Forhåbentlig, dette er starten på en mere holistisk tilgang til regulering af maritim cybersikkerhed. Den viden opnået fra disse nye cyberrisikovurderinger kan gøre det muligt for IMO at udvikle et bredere sæt af cybersikkerhedsregler. Der er meget lavt hængende frugt, der skal plukkes, for eksempel ved at harmonisere nogle udstyrskrav med eksisterende cybersikkerhedsstandarder vedtaget af andre sektorer.

Vende skibet rundt

Den maritime industri står uden tvivl bag andre transportsektorer, såsom rumfart, i forhold til cybersikkerhed. Der synes også at være mangel på hastende karakter for at få huset i orden. Trods alt, de cyberspecifikke ændringer til ISM og ISPS træder først i kraft den 1. januar 2021, og de repræsenterer kun begyndelsen på en rejse. Så den maritime industri virker særligt dårligt rustet til at håndtere fremtidige udfordringer, såsom cybersikkerhed for fuldt autonome fartøjer.

På den positive side, den langsomme og stabile tilgang til udvikling af cybersikkerhedsregler giver i det mindste mulighed for at lære af andre sektorer og fuldt ud forstå maritime cybersikkerhedsrisici, i stedet for at træffe forhastede, dårligt informerede beslutninger.

Udviklingen af ​​robuste maritime cybersikkerhedsregler vil gå meget langsomt, og muligvis smertefuldt, behandle. Men, skibet er begyndt at dreje.

Denne artikel blev oprindeligt publiceret på The Conversation. Læs den originale artikel.