Cyber Risk στη ναυτιλία: Πραγματικός κίνδυνος ή ένας ακόμα μύθος;
Ναυτιλία
Hacking Ships: H ναυτιλιακή βιομηχανία βρίσκεται σε κίνδυνο
Τα σύγχρονα πλοία θεωρούνται ένας προνομιακός στόχος για τους hackers και τους πειρατές που αυξάνουν τις επιθέσεις τους στην ναυτιλιακή βιομηχανία.
Τα σύγχρονα θαλάσσια πλοία συχνά παρακολουθούνται και ελέγχονται από εγκαταστάσεις ξηρός χιλιάδες μίλια μακριά για να εξασφαλιστεί έτσι η αποτελεσματικότητα. Αυτό δημιουργεί μια νέα πλατφόρμα για τους hackers και τους πειρατές για τη διεξαγωγή στοχευμένων κυβερνοεπιθέσεων σε πλοία
Μεγαλώνουν στον κυβερνοχώρο οι κίνδυνοι για τη ναυτιλιακή βιομηχανία
Πολλαπλές μελέτες σε θέματα ασφάλειας αποδεικνύουν ότι η ναυτιλιακή βιομηχανία αντιμετωπίζει ένα μείζονα κίνδυνο όσον αφορά την ασφάλειά της στον κυβερνοχώρο. Για αιώνες, τα πλοία χρησιμοποιούνται ως ένας τρόπος μεταφοράς εμπορευμάτων σε όλο τον κόσμο. Η ναυτιλιακή βιομηχανία εξαρτάται σε μεγάλο βαθμό σε συστήματα υπολογιστών, σε διαδικασίες, σε ανθρώπινο δυναμικό και στην τεχνολογία. Αυτή η βιομηχανία μεταφέρει τρισεκατομμύρια δολάρια εμπορευμάτων ανά έτος σε κάθε γωνιά του κόσμου. Η Information Technology έχει διαδραματίσει έναν πολύ σημαντικό ρόλο στην ναυτιλιακή βιομηχανία. Σήμερα, τα σύγχρονα πλοία είναι πλήρως μηχανογραφημένα. Τα πάντα είναι συνδεδεμένα με δίκτυα. Τα σύγχρονα πλοία έχουν πολύπλοκες εργασίες φορτοεκφόρτωσης που συνδέονται εξ ολοκλήρου μέσω του κυβερνοχώρου. Οι γερανοί μετακινούνται μέσω GPS συστημάτων.
«Η κυβερονασφάλεια (Cybersecurity) είναι ένα θέμα ασφάλειας. Κάθε πλοίο που κατασκευάστηκε έχει λογισμικό που διαχειρίζεται τις μηχανές του, το λογισμικό αυτό ενημερώνεται όταν το σκάφος απομακρύνεται από την παραλία, και ο Καπετάνιος δεν γνωρίζει καν για την ενημέρωση του λογισμικού», δήλωσε ο Υποναύαρχος Paul Thomas, της Αμερικανικής Ακτοφυλακής. Οι χάκερς θα μπορούσαν να επηρεάσουν τον έλεγχο του πλοίου, να θέσουν εκτός λειτουργίας τα συστήματα πλοήγησής του, να διακόψουν τις επικοινωνίες του ή να κλέψουν εμπιστευτικά δεδομένα, σύμφωνα με την Allianz Global Corporate & Specialty SE’s 2015 Safety and Shipping Review. «Τα πληρώματα γίνονται όλο και μικρότερα, τα πλοία γίνονται όλο και μεγαλύτερα, και μια αυξανόμενη εξάρτηση από την αυτοματοποίηση όλων των διαδικασιών επιδεινώνει σημαντικά την κατάσταση της ασφάλειας και μεγαλώνει τους κινδύνους από τους χάκερς για την διατάραξη των βασικών συστημάτων» ανέφερε η έκθεση.
Η αυξημένη χρήση των συστημάτων πληροφορικής για την πλοήγηση, την επιθεώρηση του φορτίου, την ταχεία εκφόρτωση, την διανομή των αγαθών και την διακίνηση εμπορευμάτων στα λιμάνια τα καθιστά εκτεθειμένα σε απειλές στον κυβερνοχώρο, αν δεν υλοποιούνται οι κατάλληλοι έλεγχοι ασφαλείας.
Οι Cyber απειλές στη ναυτιλιακή βιομηχανία χωρίζονται σε πέντε κύριους τύπους. Οι απειλές για:
- Πλοία και ασφαλή πλοήγηση
- Δορυφορική επικοινωνία
- Συστήματα παρακολούθησης φορτίου
- Θαλάσσια συστήματα ραντάρ
- Συστήματα αυτόματης αναγνώρισης
Πολλές επιθέσεις στον κυβερνοχώρο έχουν πραγματοποιηθεί στο παρελθόν σε εμπορικά πλοία. Σε ένα τέτοιο περιστατικό ένα εμπορικό πλοίο του στρατού των ΗΠΑ ήταν ο στόχος μιας επίθεσης από, φερόμενους ως δράστες, Κινέζους military hackers . Το 2012, ο Κινέζικος Στρατός έθεσε σε κίνδυνο “πολλαπλά συστήματα” σε ένα εμπορικό πλοίο της Transcom. Οι providers ναυτιλίας ήταν επίσης ο στόχος των λεγόμενων spear-phishing campaigns.
Αυτές οι επιθέσεις χρησιμοποιούν παραπλανητικά μηνύματα e-mail που στοχεύουν σε μια συγκεκριμένη εταιρεία για να αποκτήσουν ασφαλή πρόσβαση σε εμπιστευτικά δεδομένα. Ομοίως, η KPMG έχει συνεργαστεί με μια σημαντική ναυτιλιακή εταιρεία που έχει πέσει θύμα μιας εσκεμμένης επίθεσης hacking, πιθανώς από έναν ανταγωνιστή. Οι χάκερς πρόσφατα έθεσαν εκτός λειτουργίας μια πλωτή εξέδρα άντλησης πετρελαίου, ενώ μια άλλη εξέδρα ήταν τόσο γεμάτη με malware που χρειάστηκαν 19 ημέρες για να γίνει έμπιστη και πάλι. Σομαλοί πειρατές επέλεξαν τους στόχους τους βλέποντας τα δεδομένα πλοήγησης online, με αποτέλεσμα να αναγκάσουν τα πλοία είτε να απενεργοποιήσουν τα συστήματα πλοήγησης τους, ή να μεταδίδουν ψεύτικα δεδομένα έτσι ώστε να φαίνεται σαν να βρίσκονται κάπου αλλού. Ηackers διείσδυσαν σε υπολογιστές που είναι συνδεδεμένοι με το βελγικό λιμάνι της Αμβέρσας, στο οποίο βρίσκονταν ειδικά containers, υπέκλεψαν λαθραία φάρμακα και διέγραψαν τα αρχεία.
Ο GPS expert, Todd Humphreys, καθηγητής στο Πανεπιστήμιο του Τέξας, απέδειξε πως χρησιμοποιώντας απλά μια φθηνή συσκευή που αποτελείται από μια μικρή κεραία, ένα ηλεκτρονικό GPS “spoofer” των 3.000 δολλαρίων και ένα laptop, είναι σε θέση να λάβει τον πλήρη έλεγχο του εξελιγμένου συστήματος πλοήγησης ενός super-yacht πάνω από 210-foot στη Μεσόγειο Θάλασσα.
Δυστυχώς, πολλά cyber-events στη ναυτιλιακή βιομηχανία παρέμειναν απαρατήρητα ή οι επιχειρήσεις δεν θέλουν να τα αποκαλύψουν δημόσια, λένε ειδικοί σε θέματα ασφάλειας. Ένας εκπρόσωπος της Maersk Line, της κορυφαίας εταιρείας shipping container στον κόσμο, είπε:
“Ναι, θεωρούμε το cyber risk απειλή, αλλά τα πλοία δεν είναι πιο ευάλωτα σε τέτοιου είδους επιθέσεις από τα onshore συστήματα και τους οργανισμούς. Παίρνουμε στα σοβαρά αυτόν τον κίνδυνο και διασφαλίζουμε ότι είμαστε προστατευμένοι από τέτοιου είδους απειλές”.
Η ναυτιλιακή βιομηχανία πρέπει να ενσωματώσει την κατάλληλη άμυνα στις στρατηγικές της για να μπορέσει να χειριστεί τις απειλές στον κυβερνοχώρο. Η εφαρμογή της κατάλληλης άμυνας περιλαμβάνει διεξοδικούς ελέγχους, όπως:
- Εγκατάσταση antivirus λογισμικών
- Πολιτική για την ασφαλή λειτουργία και συντήρηση του συστήματος
- Ασφαλής σχεδιασμός και ανάπτυξη εφαρμογών και συστημάτων.
- Ευαισθητοποίηση των υπαλλήλων που εργάζονται στη ναυτιλιακή βιομηχανία
- Διασφάλιση των λιμένων που χρησιμοποιούν κατά κύριο λόγο αυτοματοποιημένα συστήματα για τη διακίνηση φορτίων.
Η ναυτιλιακή βιομηχανία θα πρέπει να ακολουθήσει κανόνες και πρότυπα ασφαλείας σε όλα τα επίπεδα της οργάνωσης.
Πηγή: securityaffairs.co/
"Κυβερνο-ασφάλεια και Ναυτιλία – Ένα σύγχρονο πρόβλημα".
Την Πέμπτη, 3 Δεκεμβρίου 2015, με πρωτοβουλία της Διεύθυνσης Ασφάλειας Ναυσιπλοΐας του Αρχηγείου Λιμενικού Σώματος-Ελληνικής Ακτοφυλακής, πραγματοποιήθηκε στο Ίδρυμα Ευγενίδου, Ημερίδα με θέμα: "Κυβερνο-ασφάλεια και Ναυτιλία – Ένα σύγχρονο πρόβλημα".
Στη συνάντηση συμμετείχαν στελέχη από ναυτιλιακές εταιρείες, Αναγνωρισμένους και εξουσιοδοτημένους από την Ελληνική Ναυτιλιακή Διοίκηση Οργανισμούς και Νηογνώμονες καθώς και φοιτητές των Πανεπιστημίων Πειραιώς και Αιγαίου και της ΑΕΝ Ασπροπύργου.
Ο Γενικός Γραμματέας Καθηγητής κ. Ιωάννης Θεοτοκάς στον χαιρετισμό του ανέφερε ότι στο πλαίσιο της θεσμικής συνεργασίας και διαβούλευσης του Υπουργείου με τη ναυτιλιακή κοινότητα, η εν λόγω Ημερίδα αποτελεί μια από εκείνες τις πρωτοβουλίες που έχουν προγραμματιστεί προκειμένου να υπάρξει ενημέρωση των ναυτιλιακών εταιρειών, των νηογνωμόνων και των φορέων της ναυτιλίας για τις τελευταίες εξελίξεις για επίκαιρα θέματα, όπως αυτό των κακόβουλων επιθέσεων στα λογισμικά των πλοίων και των ναυτιλιακών εταιρειών καθώς και των λιμενικών υποδομών. Συνεχίζοντας, επισήμανε ότι στόχος της εκδήλωσης είναι να καταγραφούν οι προβληματισμοί και οι απόψεις της ναυτιλιακής κοινότητας, ούτως ώστε μέσα από ένα εποικοδομητικό διάλογο να βελτιωθεί, όπου απαιτείται, η συνεργασία αυτή για να αντιμετωπισθούν τα πιθανά προβλήματα των πλοίων μας.
Στην εκδήλωση συμμετείχαν ως ομιλητές στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ. με επικεφαλής τον Υποστράτηγο ΕΛ.ΑΣ ΣΦΑΚΙΑΝΑΚΗ Εμμανουήλ, εκπρόσωποι της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ, της Εθνικής Ασφάλειας Αντιμετώπισης Κυβερνοεπιθέσεων και του ΚΕΜΕΑ, καθώς επίσης και οι κ.κ. ΓΚΡΙΤΖΑΛΗΣ Δημήτριος και ΝΙΚΗΤΑΚΟΣ Νικήτας, καθηγητές του Οικονομικού Πανεπιστημίου Αθηνών και του Πανεπιστημίου Αιγαίου, αντιστοίχως, και τέλος, εκπρόσωποι του Πανεπιστημίου Πειραιά και του ΚΕΝΑΠ, οι οποίοι παρουσίασαν από την δική τους προοπτική τα θέματα που σχετίζονται με το θέμα των κυβερνο-επιθέσεων (cyber-attacks) στις εφαρμογές των πλοίων, των εταιρειών και των λιμενικών υποδομών, ενώ από πλευράς Διεύθυνσης Ασφάλειας Ναυσιπλοΐας έγινε παρουσίαση επί των εξελίξεων στους Διεθνείς Οργανισμούς σε ότι αφορά το θέμα της κυβερνο-ασφάλειας (cyber-security), των προσφάτων ανακοινώσεων της Ακτοφυλακής των ΗΠΑ σε ότι αφορά τη Στρατηγική για την Κυβερνο-Ασφάλεια στον τομέα της ναυτιλίας.
Στο πλαίσιο της εκδήλωσης, αναπτύχθηκαν προβληματισμοί και έγινε εκτενής συζήτηση επί θεμάτων κυβερνοασφάλειας που αντιμετωπίζουν πλοία και εταιρείες, εντοπίζοντας πραγματικά και δυνητικά προβλήματα που έχουν ανακύψει, καθώς και πρακτικές που εφαρμόζονται επί του παρόντος, σε θέματα εξοπλισμού, λογισμικού καθώς και εκπαίδευσης στελεχών εταιρειών και φορέων για την αποτελεσματικότερη αντιμετώπισή τους.
Παρουσιάσεις
Collaborative Security Management Services for Port Information Systems
Cybersecurity from a corporate perspective