 |
|
 |
|
Киберриски для мирового судоходства
Доля морских перевозок в мировом грузообороте по оценкам различных агентств колеблется от 62% до 91% (www.novelco.ru). Глобальным документом, регулирующим безопасность морских перевозок, является Международная конвенция SOLAS 74 «Международная конвенция по охране человеческой жизни на море». В ЕС действует пакет нормативных документов «Морской пакет 1986 г.», включающий в себя требования по организации морских перевозок. В России приняты «Правила безопасности морской перевозки грузов», утверждённые приказом Минтранса №ВР-1/п с изменениями от 06.07.2012 г.
Последние два года отмечены резким ростом хакерских атак на морские перевозки, как на сами суда, так и на прибрежную портовую инфраструктуру. В одном только 2020 году организация U.S. Maritime Transportation System Information Sharing and Analysis Center (MTS-ISAC) зафиксировала 62 случая атак на морские суда, плавающие под американским флагом. Перечисляя причины такого роста, MTS-ISAC выделяет международную напряженность, пандемию COVID-19 (как результат последней увеличение числа работающих на «удаленке»), запоздалое реагирование законодателей на быстро меняющийся ландшафт угроз, «неадекватные угрозам» ресурсы и технологии, используемые службами безопасности в этом сегменте экономики.
Фишинг остается наиболее предпочтительным оружием в арсенале киберкриминала. Его разновидности включают поддельные, фальшивые инвойсы, DocuSign (сервис, позволяющий загружать, отправлять на подписание, просматривать, подписывать и отслеживать статус документов), OneDrive (сервис Microsoft для хранения файлов в облаке, доступный бесплатно всем владельцам учетной записи Microsoft), ссылки на приложения, голосовые письма, факсимиле.
В последнее время вся система морских перевозок подвергается мощной цифровизации, отмечает М. Эджертон, автор практического руководства по морской безопасности «A Practitioner’s Guide to Effective Maritime and Port Security». Эта тенденция требует двойного осмысления, считает он. С одной стороны, неоспоримо повышение эффективности всех составляющих морской инфраструктуры. С другой – налицо рост уязвимости перед хакерскими атаками (Security Management, November, 2021).
Согласно опросу, опубликованному старейшим журналом Lloyd’s List (издается с 1734 года), большинство экспертов и практиков морского дела уверены, что Большие Данные, искусственный интеллект, роботы и автоматы будут определять развитие судоходной индустрии в промежуток 2022 – 2026 гг., а, кроме того, рассматривают как весьма эффективные инвестиции в цифровизацию отрасли.
Неизбежность и необходимость перевода индустрии в цифровой формат никем не оспаривается. Интеграция на единой платформе портовых служб, судов, госорганов и регуляторов, отслеживающих информацию о морских перевозках, а также партнеров, позволяет мгновенно получать информацию, анализировать, реагировать и принимать решения.
Принимая во внимание огромные риски, связанные с цифровизацией, Международная морская организация (The International Maritime Organization), учреждение ООН, за последние два года выпустила ряд рекомендаций по кибербезопасности. Они нацелены на четкое определение персональной ответственности и роли людей, занимающихся защитой информации, обучение методам раннего распознавания киберугроз, способам реагирования на инциденты безопасности, восстановления нормального рабочего ритма.
Рекомендации охватывают широкий спектр уязвимостей систем, включая капитанский мостик, грузообработку, судовые двигательные установки, в целом машинные отделения, системы СКУД, обслуживание пассажиров, телекоммуникации, и т.д.
На основе циркуляров ИМО в России с 1 января 2021 года действует Руководство по обеспечению кибербезопасности Российского морского регистра судоходства (полный текст его см. https://lk.rs-class.org/regbook/getDocument2?type=rules3&d=BD2581FF-C53E-49FB-B8F8-0021E7F08005&f=2-030101-040).
Документ подсказывает, как составить план кибербезопасности судна, как фиксируются и характеризуются потенциальные уязвимости систем информзащиты, имеющиеся риски, оценки последствий и меры по их минимизации, включая подготовку персонала. Однако руководство не регламентирует, какое оборудование или какие конкретно технические решения следует применять для минимизации определенных типов рисков/угроз. Практическая реализация плана – зона ответственности специалистов самой компании совместно с системным интегратором. Последним выступает верфь или та организация, которая объединяет различные компьютеризированные системы в единый интегрированный комплекс.
Для реализации всего комплекса работ по защите от угроз требуются различные профессиональные компетенции: ИТ, связь, информационная безопасность. Также есть специфические компетенции в области технических средств и оборудования, эксплуатирующегося на морских судах (www.korabel.ru/news).
Пренебрежение требованиями по кибербезопасности, отсутствие информации в отчетах расценивается как грубое нарушение правил документации. Как результат, судовладельцы могут столкнуться с административными взысканиями вплоть до запрета на выход судна из порта.
|
вернуться назад
