ABC för
cybersäkerhet
inom sjöfarten
FINLANDS SJÖFART SUOMEN MERENKULKU 19
järjestelmiin etänä käsiksi
pääsy voisi tehdä mittavaa
tuhoa liiketoiminnalle. Riskit
kasvavat merkittävästi, kun
tiettyä toimintoa pyörittävä
järjestelmä liitetään verkkoon,
jolloin teoreettisella tasolla
mahdollistuu myös auktorisoimaton
pääsy palvelimelle. Jos
kyberrikollinen pääsee
sörkkimään esimerkiksi lastin
lämpötilaa, se voi mennä
pilalle ja koko logistiikkaketjun
voi vetää viemäristä alas.
Myös GPS:n haavoittuvuus
ja manipulointiherkkyys
nousevat herkästi esille, kun
kyse on kyberturvallisuudesta.
Taskukokoisella 10 euron
GPS-jammerilla saa erittäin
paljon harmia aikaan, kun
1 mW:n teho riittää antamaan
alukselle vääriä positioita,
nopeuksia ja kursseja ilman,
että tästä aiheutuu edes
hälytyksiä komentosillalle.
Kun häirintälaitteen tehoa
lisätään, tippuvat kriittisten
järjestelmien kuten ECDISin,
autopilotin, AIS:n ja gyrokompassin
GNSS:ään nojaavat
ominaisuudet nopeasti
kokonaan pois pelistä.
Brunoun mukaan konnektiviteetti
on kuitenkin välttämätöntä,
jos halutaan päästä
osalliseksi digitalisaation
tarjoamiin hyötyihin.
– Dataa eri järjestelmistä
pitää pystyä siirtämään
järjestelmien välillä aluksen
sisäisesti sekä myös ulos
alukselta, jotta sitä voidaan
arvioida ja hyödyntää liiketoiminnan
kehittämisessä.
Hyödyt voivat liittyä esimerkiksi
aluksen energiatehokkuuden
parantamiseen tai
reittien optimointiin, Brunou
������������������������������������
IMO:s sjösäkerhetskommitté Maritime Safety Committee
(MSC) har i sin 98:e session godkänt en resolution om
hantering av cyberrisker inom sjöfarten. Till följd av denna
resolution rekommenderas rederierna att för DoC-auditeringar
som utförs efter 1.1.2021 bereda en granskning av cyberriskerna
på sina fartyg som en del av SMS-säkerhetsledningssystemet.
Syftet är att öka kunskaperna om cyberrisker
och -sårbarhet inom sjöfartssektorn och på så sätt trygga
en störningsfri sjöfart. TEXT: ESA KALLIO BAKGRUNDSBILD: PIXABAY
Cyberattacker är ett av de hetaste samtalsämnena idag i västerländsk
media. Nyheterna berättar vecka efter vecka om hur ännu ett framstående
bolag utsatts för ett allvarligt dataintrång och hur värdefull
information hamnat i fel händer eller viktiga affärssystem inte är
tillgängliga. Det senaste fallet vi fick höra om var Veikkaus, där sårbarheten
hos deras webbsidor utnyttjades för ekonomisk vinning.
Sjöfartssektorn har naturligtvis inte heller klarat sig helt utan attacker. Enligt
cybersäkerhetsföretaget Naval Dome har antalet cyberattacker mot sjöfartens
driftteknologi (OT) ökat med hela 900 % de senaste tre åren.
Förutom världens största rederier CMA CGM, APM-Maersk, COSCO och MSC
har även IMO själva utsatts för cyberattacker, då organisationens webbsidor
attackerades hösten 2020 och blockerades helt. Enligt spekulationer handlade
det i IMO:s fall om en s.k. ransomware-attack, men IMO har inte trätt fram och
kommenterat fallet i detalj.
Det är däremot ingen gissning att cybersäkerhetskulturen utvecklas till det
bättre ju mer information om motgångar och incidenter som delas öppet.
Enligt Wärtsilä Voyages dataskyddschef Päivi Brunou är det när det gäller
cybersäkerheten viktigast att börja bygga upp en kultur där man vågar prata
om saker och ting inom sjöfarten.
– Det finns inga dumma frågor och det är inte alltid lätt att upptäcka cyberfrågor
på fartygen eller rederiernas kontor. Även om man skulle klicka på en länk i
ett phishingmeddelande bör man alltid berätta det, säger Brunou.
OT, NÄTVERK OCH SYSTEM FÖR DRIFTTEKNOLOGI
Enligt Brunou är fartygen inte längre skyddade enskilda öar och bristen på
dataskydd handlar inte längre bara om att en cyberbrottsling kan hacka
systemen och stjäla data. Dataskyddsproblem kan även uppstå genom misstag
från personalens sida och är i själva verket vanligare än externa attacker.
– Uppskattningsvis omkring 80 % av dataskyddsproblemen vad gäller OP är
misstag. Skadliga program kommer alltså in i systemet av misstag och gör att
t.ex. controllerns minne fylls och antingen stänger av sig själv eller saktas ner
till en kritisk nivå, förklarar Brunou.