FINLANDS SJÖFART SUOMEN MERENKULKU 17
ESIMERKKEJÄ ALUSTEN OT-JÄRJESTELMISTÄ OVAT MM.
�� Integrated Navigation System (INS)
�� Electronic Chart Display and Information
System (ECDIS)
�� Global Positioning System (GPS)
�� Automatic Identification System (AIS)
�� Global Maritime Distress and Safety System (GMDSS)
�� Satelliitti- ja integroidut kommunikointijärjestelmät
�� Langaton lähiverkko (W-LAN)
�� Lastinkäsittelyohjelmistot ja ballast-järjestelmät
�� Propulsio- ja ohjausjärjestelmät
�� Polttoainejärjestelmät
Digitalisaation ja automaation lisääntyminen aluksilla
tekee merenkulkijan entistä riippuvaisemmiksi eri
järjestelmien ja palveluiden toimivuudesta.
Yksittäiset alukset taas ovat riippuvaisia niitä ylläpitävien
varustamoiden toimintapolitiikasta ja merenkulkijoiden
vaikuttamismahdollisuudet ovatkin täten merkittävästi
pienemmät. Tämä ei kuitenkaan tarkoita, ettei alusten
miehistöjen tarvitsisi osallistua kybertalkoisiin.
Brunoun mukaan kenties tärkein ja käytännönläheisin
keino kyberuhilta suojautumiseksi ja järjestelmien
toimivuuden edesauttamiseksi liittyy alusten miehistöjen
omien laitteiden käyttöön.
– Erityisesti pitää huomioida, että työntekijöiden
henkilökohtaiset laitteet tulee pitää suljettujen verkkojen
ja ohjausjärjestelmien ulkopuolella. Tämä tarkoittaa, että
ei esimerkiksi tökätä omaa USB-tikkua ECDIS-koneeseen,
ladata puhelinta mistä tahansa vapaana olevasta USBportista
tai kytketä omaa Playstationia aluksen verkkoon.
Suljettuja verkkoja, joissa on ohjauslaitteita ja controllereita,
pitää suojella, Brunou ohjeistaa.
Brunoun mukaan sellaisia työtapoja ja teknologioita,
jotka ovat olleet IT-puolella jo vuositolkulla, kuten
antivirusskannereita, käytetään nykyään myös teollisuusautomaation
puolella, mutta asia ei ole aivan niin yksinkertaisesti
ratkaistu.
– Väli IT:n ja OT:n välillä kapenee ja tuo resurssiköyhille
OT-laitteille, sensoreille ynnä muille monenlaisia
haasteita. Asioita ei vain voida tehdä samalla lailla kuin
IT-verkon puolella. Esimerkiksi automaatio- ja navigaatiojärjestelmän
on aina oltava saatavilla, jolloin esimerkiksi
MFA-tyyppinen tunnistautuminen ei ole käytännössä
toimiva ratkaisu. Tarpeet liittyen reaaliaikaiseen tietoon
ja saatavuuteen ovat hyvin erilaisia, Brunou havainnollistaa.
Samaan aikaan perinteisten merimiestaitojen ylläpito
käy vaikeammaksi, kun esimerkiksi taivaankappaleisiin
perustuva avomerinavigointi, jonka hallitseminen lisää
operatiivisen toiminnan resilienssiä, on tuttua käytännön
tasolla enää ani harvalle. Resilienssillä viitataan prosessin
kykyyn palautua ennalleen vahingollisen tapahtuman
jälkeen.
RISKIT JA NIIDEN HALLINTA
Yksittäiseen laivaan kohdistuvan hyökkäyksen todennäköisyys
on hyvin pieni, mutta toteutuessaan se voisi
aiheuttaa erittäin suurta vaaraa ihmishengelle, omaisuudelle
ja ympäristölle.
Kyberriskin suuruutta arvioidaankin sen potentiaalisen
harmin ja tapahtuman todennäköisyyden kautta. Jonkinlaista
riskiä operatiivisessa toiminnassa on pakko sietää,
mutta miten varustamo voi tietää, mikä on sopiva määrä
riskiä ja olla varma siitä, että kaikki oleelliset asiat on
otettu huomioon?
– IT- ja OT-järjestelmien toisiaan lähestyminen luo
kyberammattilaisillekin uusia haasteita, kun niitä pitää
huomioida uudella tavalla. Isoilla varustamoilla on yleensä
IT-tietoturvatiimejä tai jonkinlainen IT-hallinto, mutta jos
varustamolla ei ole OT-ymmärtäväistä henkilökuntaa, joka
pystyisi arvioimaan kyberriskejä, voi olla hyödyllistä ottaa
ulkopuolista konsultointia, Brunou suosittelee.
Varsinaisia keinoja IMO:n vaatimien uhkamallinuksien
tekemiseen löytyy Brunoun mukaan todella paljon, ja
niistä tärkeää olisi löytää itselleen mahdollisimman hyvä
ja sopiva, jolla pääsisi liikkeelle riskien kartoittamisessa.
– Mallin ei tarvitse olla heti täydellinen, vaan alussa
riittää, että ymmärretään on-shore- ja aluspuolien pahimmat
riskit. Tekemistä voi olla hyvä pilkkoa osiin ja lähteä
liikkelle esim. alustyypistä, kuten kaikki sisaralukset,
sitten yksittäiset alukset ja lopulta niiden yksittäiset
järjestelmät. Tietoturva on kontekstuaalista, ja riskit eivät
ole samoja erityyppisillä aluksilla eri liikennöintialueilla,
Brunou täsmentää.
Brunou painottaa myös yhteistyötä eri toimijoiden ja
kumppaneiden välillä. Esimerkiksi asiakkaalta saatu
palaute on yksi hyvin tärkeä informaatiokanava
Wärtsilälle.
– Varustamon kommunikaatio toimittajien, kuten
telakoiden, ja luokituslaitosten välillä lisää alusten
tietoturvallisuutta. Telakat määrittelevät, mitä pitää olla
huomioituna. Omistajan pitää saada kuitenkin luotua
itselleen se ymmärrys, että mikä hänelle on tärkeää
suojata. Vaikka tietoa olisikin saatavilla ulkopuolisista
lähteistä, päätösten tulee lopulta tapahtua omistajan
liiketoiminnassa, Brunou jatkaa.
Wärtsilällä tietoturvaa huomioidaan hyvin laaja-alaisesti.
Yhtiön liiketoiminnot jakautuvat moneen eri
segmenttiin (Marine Power, Marine Systems, Voyage ja
Energy) ja niillä on kullakin käytössä omaan toimintaansa
sopeutettuja keinoja hallita tuotteidensa elinkaaririskejä.
Brunoun Voyage-divisioonaan kuuluu useita satoja
ohjelmistokehittäjiä ja tuotteita, ja näihin liittyen Brunou
avaa tuotetietoturvaa seuraavasti:
– Panostamme turvalliseen ohjelmistokehitykseen ja
tavoitteenamme on laatia jokaiselle tuotteelle uhkakatalogi
eli tunnistaa siihen liittyvät riskit. Tähän sisältyviä
vaiheita ovat tuotteiden oleellisten vaatimusten tunnista-