KÄYTÄNNÖN VINKKEJÄ
minen, ja niitä voi tulla standardeista ja käytettävissä
olevista tekniikasta. Toiseksi myös asiakkaiden toiveista
ja vaatimuksista sekä viimeiseksi meidän omista lähtökohdistamme
eli mitä me itse haluamme tuotteiltamme.
– Esimerkiksi ECDISin tietoturvaa on viime vuosina
parannettu todella paljon. Kehittäjät saavat koulutusta
tietoturvallisesta tavasta tehdä asioita, erilaisia yhteyksiä
on rajoitettu, komponentit sijaitsevat pilvessä, ja käyttöön
on otettu moderneja toimintatapoja. Myös kyberyhteisön
tuki auttaa ongelmien kartoittamisessa, ja esimerkiksi eettisten
tutkijoiden ja valkohattuhakkereiden osaamista
käytetään hyväksi tuotteiden tietoturvakyvykkyyksien
parantamisessa Vulnerability Disclosure Policyn (VDP)
kautta ja tulevaisuudessa myös esim. Bug bounty -ohjelmassa,
Brunou kertoo.
TYYPILLISIÄ UHKAKUVIA
Ulkomaanliikenteen aluksen tyypillinen elinkaari on noin
30-35 vuotta ja vanhojen järjestelmien kyberuhat ovat
yleensä huonosti tunnettuja. Aluksilla voi olla päivittäisessä
käytössä kymmenien vuosien ikäisiä tietokoneita,
joiden toimintaan operatiiviset prosessit nojaavat sokeasti.
Brunou tunnustaakin, että aiemmin laitteiden ja
järjestelmien suojaamisessa on keskitytty enemmän ns.
ulkokehäsuojaukseen.
– Meidän tuotteissamme on hyvin pitkät elinkaaret ja
aiemmin, ennen merenkulkualan heräämistä kyberuhkiin,
laitteiden suojaus on pitkälti ollut perimeter defense
-tyyppistä eli on keskitytty suojaamaan vain ulkokehää. Se
mikä on sitten siellä sisällä, on voinut olla hyvin pehmeää
eikä kyberturvalliseksi tai robustiksi kehitettyä. Nykyään
18 SUOMEN MERENKULKU FINLANDS SJÖFART
VINKIT LAIVAVÄELLE:
�� Käytä vahvoja salasanoja, vaihda ne säännöllisesti, äläkä
käytä samoja salasanoja useassa eri paikassa.
�� Vaihda järjestelmien ja verkkolaitteiden oletussalasanat
käyttöönotettaessa.
�� Päivitä käyttöjärjestelmät ja ohjelmistot aina, kun uudet
versiot tulevat saataville.
�� Älä käytä muistitikkuja, mikäli se ei ole pakollista tiedon
siirtämiseksi. Jos järjestelmä tarvitsee muistitikkuja, pidä
huoli, että ne ovat osoitettuja vain kyseiseen tehtävään ja
pysyvät puhtaina.
�� Älä avaa sähköpostien liitetiedostoja, ellet voi olla täysin
varma niiden turvallisuudesta.
�� Jos saat epäilyttävän sähköpostin varustamon konttorilta
esim. tilisiirtoon liittyen, soita ja kysy.
�� Älä käytä OT-järjestelmiä tai niiden verkkoja muuhun kuin
niiden alkuperäiseen käyttötarkoitukseen.
�� Älä postaa kuvia kriittisistä järjestelmistä sosiaaliseen
mediaan.
�� Opi tunnistamaan kalasteluyritysten tuntomerkit.
�� Opi tunnistamaan yleisimpiin OT-järjestelmiin kohdistuvat
hyökkäykset, kuten GPS:n spoofaaminen ja mieti, millä
menetelmin voisit jatkaa toimintaa ilman kyseistä
järjestelmää.
�� Kybervahingon jälkeen ensimmäinen toimenpide on estää
jatkotilanteet ja kartoittaa vahingoittuneet järjestelmät.
�� Käytä työasioissa aluksen työhön osoitettuja tietokoneita ja
omiin asioihin vapaa-ajan käyttöön tarkoitettuja tietokoneita.
�� Rajoita pääsy kriittisiin järjestelmiin vain välttämättömille
henkilöille.
�� Yritä mahdollisimman hyvin pysyä kartalla siitä, mitä
ulkopuoliset järjestelmien huoltajat tekevät ko. järjestelmille.
�� Lopettakaa yhteiskäyttötunnusten käyttäminen.
�� Älä käytä aluksen WiFiä pankkiasioiden hoitamiseen.
�� Älä liitä IoT-laitteita (kuten kännykällä ohjattavaa
kahvinkeitintä) laivan WiFiin.
�� Ilmoita kaikki kyberturvallisuuspoikkeamat varustamolle
– tunnistakaa liiketoiminnassanne henkilöt, joille tieto on
oleellista.
VINKIT VARUSTAMOILLE:
�� Implementoi kyberturvallisuus osaksi turvallisuusjohtamis-
järjestelmää MSC:n suositusten mukaisesti.
�� Tunnista aluskohtaiset kyberriskit ja minimoi niiden
mahdollisuus toteutua.
�� Järjestä kyberturvallisuuskoulutusta ja ota kyberturvallisuus-
harjoitukset osaksi aluksen harjoitussuunnitelmaa.
�� Jaa avoimesti tietoa myös epäonnistumisista ja havaituista
puutteista kyberturvallisuuskulttuurin rakentamiseksi
eteenpäin kyberturvallisuusviranomaiselle. Linkki Traficomin
Kyberturvallisuuskeskuksen kyberharjoituksiin: https://
www.kyberturvallisuuskeskus.fi/fi/palvelumme/
harjoitustoiminta
�� Korjaa havaitut puutteet mahdollisimman pian.
�� Ylläpidä lokia hyväksytyistä tavarantoimittajista.
USB-tikkujen, etäyhteyksien, kannettavien läppäreiden
ym. aikana ulkokehän suojaus ei enää riitä.
Toimintaympäristö aluksilla on muuttunut. 20 vuoden
ajan päivittämättömänä pysynyt painolastiveden paikallinen
hallintajärjestelmä ei ole yhteydessä internetiin, mutta
jos USB-tikulla tuodaan haittaohjelma sitä pyörittävälle
koneelle joko vahingossa tai tahallaan, koko lastausoperaatio
vaarantuu ja täten aluksen tuottavuus lähtee
jyrkällä kulmakertoimella kohti pilssiä.
Toisaalta myös esimerkiksi aluksen lastitilojen tuuletus
/
/
