Päivi Brunou,
Head of
Cybersecurity
at Wärtsilä
Voyage.
FINLANDS SJÖFART SUOMEN MERENKULKU 21
skada och sannolikhet. En viss risk måste tålas i den operativa
verksamheten, men hur kan rederiet veta vad som
är lagom mycket risker och vara säker på att alla viktiga
frågor har beaktats?
– Då IT- och OT-systemen närmar sig varandra innebär
det nya utmaningar även för cyberproffsen, som måste
betrakta dem på ett nytt sätt. Stora rederier har oftast ITdataskyddsteam
eller någon slags IT-förvaltning, men om
rederiet inte har personal som förstår OT-system och som
skulle kunna bedöma cyberrisker kan det vara bra att ta in
utomstående konsulter, rekommenderar Brunou.
Enligt Brunou finns det många sätt att utarbeta de hotmodelleringar
som IMO kräver och det vore viktigt att hitta
en som passar ens egna behov bäst så att man kan börja
kartlägga riskerna.
– Modellen behöver inte vara perfekt direkt, utan i
början räcker det att man förstår de största riskerna på onshore
och fartygssidan. Det kan vara bra att bryta ner det
i delar och börja t.ex. med fartygstyp, som alla systerfartyg,
därefter gå vidare till enskilda fartyg och slutligen till
fartygens enskilda system. Dataskydd är kontextuellt och
riskerna är inte desamma på olika typer av fartyg på olika
trafikeringsområden, preciserar Brunou.
Brunou betonar också samarbetet mellan olika aktörer
och samarbetsparter. Exempelvis feedback från kunden är
en mycket viktig informationskanal för Wärtsilä.
– Rederiets kommunikation med leverantörerna, som
varven, och klassificeringsinstituten ökar datasäkerheten
på fartygen. Varven bestämmer vad man måste ta hänsyn
till. Ägaren måste däremot skapa sig en förståelse för vad
som är viktigt att skydda för egen del. Även om det finns information
att tillgå från externa källor ska besluten i sista
hand fattas i ägarens verksamhet, fortsätter Brunou.
På Wärtsilä tittar man
mycket brett på dataskyddet.
Bolagets verksamheter
delas in i många olika
segment (Marine Power,
Marine Systems, Voyage
och Energy), som vart och
ett har egna anpassade
sätt att hantera produkternas
livslängdsrisker.
Brunous division Voyage
har flera hundra programutvecklare
och produkter,
och Brunou förklarar
deras dataskydd enligt
följande:
– Vi satsar på säker programutveckling och har som mål
att göra en hotkatalog för varje produkt, dvs. identifiera
riskerna i anknytning till den. I det arbetet identifierar vi
de viktiga produktkraven, som vi kan hitta i standarder och
tillgänglig teknik. Sedan tittar vi även på kundernas önskemål
och krav och slutligen på våra egna utgångspunkter,
dvs. vad vi själva önskar av våra produkter.
– De senaste åren har vi förbättrat dataskyddet för
t.ex. ECDIS enormt mycket. Vi utbildar utvecklarna i ett
datasäkert sätt att sköta saker och ting, har begränsat
olika anslutningar, har våra komponenter i molnet och har
implementerat moderna arbetssätt. Cybersamfundets stöd
hjälper oss också att kartlägga problem, och vi utnyttjar
t.ex. etiska forskares och white hat-hackares kunskaper
för att förbättra produkternas dataskyddskapacitet genom
Vulnerability Disclosure Policy (VDP) och i framtiden även
t.ex. i programmet Bug bounty, berättar Brunou.