De största hotbilderna på fartygen riktas mot driften
och fartygens framdrivningssystem, som byggts upp som
OT-nätverk (Operational Technology) vid sidan om traditionella
IT-nätverk (Information Technology), men som i allt
högre grad även integrerats som en del av dem. Integreringen
av IT- och OT-system på fartyg och deras anslutning
till internet ökar risken för cyberattacker.
EXEMPEL PÅ FARTYGENS OT-SYSTEM ÄR BL.A.:
�� Integrated Navigation System (INS)
�� Electronic Chart Display and Information System
(ECDIS)
�� Global Positioning System (GPS)
�� Automatic Identification System (AIS)
�� Global Maritime Distress and Safety System (GMDSS)
�� Satellitsystem och integrerade kommunikationssystem
�� Trådlöst lokalt nätverk (W-LAN)
�� Lasthanteringsprogram och ballastsystem
�� Propulsions- och styrsystem
�� Bränslesystem
Den ökade digitaliseringen och automatiseringen på fartyg
gör sjömännen ännu mer beroende av att de olika systemen
och tjänsterna fungerar.
Enskilda fartyg är i sin tur beroende av verksamhetspolicyn
hos de rederier som upprätthåller dem och sjömännens
möjlighet att påverka är därmed avsevärt mindre.
Det innebär däremot inte att fartygens besättningar inte
behöver delta i cybertalkon.
Enligt Brunou är kanske det viktigaste och mest praktiska
sättet att skydda sig mot cyberhot och trygga fungerande
system knutet till besättningens användning av sina
egna enheter.
20 SUOMEN MERENKULKU FINLANDS SJÖFART
– Det gäller framför allt att se till att besättningens
personliga enheter hålls utanför de slutna nätverken och
styrsystemen. Det innebär t.ex. att man inte ska stoppa in
sin USB-sticka i ECDIS-maskinen, ladda sin telefon i vilken
ledig USB-port som helst eller ansluta sin Playstation till
fartygets nätverk. Slutna nätverk till vilka styranordningar
och controllers är anslutna måste skyddas, förklarar Brunou.
Enligt Brunou används arbetssätt och teknologier som
funnits på IT-sidan i åratal, såsom antivirusskannrar,
numera också på OT-sidan, men frågan är inte riktigt så
enkelt löst.
– Gapet mellan IT och OT minskar och ställer resursfattiga
OT-enheter, sensorer m.m. inför andra utmaningar.
Det går helt enkelt inte att göra saker och ting på samma
sätt som på IT-sidan. Till exempel måste automations- och
navigeringssystemet alltid vara tillgängligt, så t.ex. MFAliknande
identifiering är inte någon fungerande lösning i
praktiken. Behoven av realtidsinformation och tillgänglighet
är mycket olika, illustrerar Brunou.
Samtidigt blir det allt svårare att bevara de traditionella
sjömanskunskaperna, då t.ex. endast mycket få fortfarande
har praktiska kunskaper om himlakroppsbaserad navigering
på öppet hav, kunskaper som ökar den operativa
verksamhetens resiliens. Med resiliens avses processens
förmåga att återhämta sig efter en skadlig händelse.
RISKER OCH RISKHANTERING
Sannolikheten att ett enskilt fartyg utsätts för en attack är
mycket liten, men om den skulle inträffa skulle den kunna
orsaka mycket stor skada för människor, egendom och
miljön.
Cyberriskens storlek bedöms genom dess potentiella