Alla bör inse riskerna med cyberhot – det är inget som kan delegeras till rederiets IT-avdelning
På fartygen finns oerhört många tekniska prylar som är allt mer uppkopplade och integrerade,, säger Kim Halavakoski och Johan Sjölund. Foto: Stefan Holmström
Behovet att skydda fartyg och fartygstrafik mot skadliga IT-angrepp blir allt viktigare, enligt Transport- och kommunikationsverket Traficom. Cyberhot kan handla om allt från att störa trafik och utpressa rederier till att ta kontroll över autonoma fartyg.
– Vad tror ni kan hända om en utomstående får tillgång till kritiska system på kommandobryggan. Vilka är riskerna?
Det frågade Kim Halavakoski då han föreläste på sjöfartens utbildningscentrum Aboa Mare i Åbo i måndags. Halavakoski och kollegan Johan Sjölund, från IT-säkerhetsföretaget Deductive Labs, ordnade i samarbete med Aboa Mare centrets första Maritime Cyber Security-kurs.
Cybersäkerhet är att skydda datorer, servrar och mobiler samt att fortbilda anställda om risker. De ska också lära sig agera då något går fel.
– På fartygen finns oerhört många tekniska prylar som är allt mer uppkopplade och integrerade, säger Sjölund.
Säkerhetsluckor finns i alla system och applikationer. Nya brister hittas kontinuerligt. Om de inte åtgärdas, utgör de en risk.
Simulerade cyberattacker, som på bilden, utgör bra fortbildning. Foto: Stefan Holmström
På fartyg hanteras i dag massor av värdefull data: konfidentiella affärshemligheter, kundkontakter och persondata. En hackare kan via ett fartygs system hitta en bakdörr till rederiets system och utnyttja det för exempelvis utpressning. Kunskap om värdefull last kan också locka skurkar. Eller så tar man via nätet kontroll över ett fartygs teknik.
I och med planerna på autonoma fartyg accentueras dessutom frågan.
Det är dessutom inte bara rederierna som har koll på sina fartyg på distans. Externa leverantörer kan vara uppkopplade till motorer eller annan teknik de har levererat, för att på så vis exempelvis planera in service.
– Alla som kommer ombord har lite olika program och praxis. Hur tryggt är det egentligen då en extern leverantör kopplar upp sig, frågar Sjölund.
Så har vi den mänskliga faktorn. USA:s inrikessäkerhetsdepartement lade ut dvd-skivor och usb-minnen på p-platser utanför myndighetsbyggnader. Många anställda plockade upp dem och hela 60 procent av dem kopplade dem till sin arbetsdator, nyfikna på innehållet. Datorer och nätverk skulle ha infekterats i en riktig attack.
Då radar och GPS krånglar kan det handla om skadlig programvara som funnit sin väg in i fartygets system. Foto: Stefan Holmström
Ett välkänt fall är då rederiet Maersk 2017 drabbades av sabotageprogrammet NotPetya. Maersk var inte ens målet för attacken, men drabbades svårt: 4 000 servrar och 45 000 arbetsstationer måste ominstalleras. Följderna för verksamheten och arbetet med att reparera skador kostade över 300 miljoner euro.
Maerk hade kunnat förhindra attacken. Uppdateringar mot den sårbarhet som sabotageprogrammet utnyttjade fanns tillgängliga redan över tre månader före attacken.
Maersk är ett extremfall, men riskerna gäller alla, säger Halavakoski.
Ett litet företag kan ha mindre IT-resurser och gamla datorer och därför vara sårbart.
– Man ska inte tro att man går säker om man är liten. Det handlar om riskkartläggning. Vad är sannolikheten för att just ditt företag eller din kund råkar ut från en attack?
Ett viktigt akut mål är att rederier kunde enas om vissa standardiserade sätt att hantera riskerna. Det som alla kan göra är identifiera risker, dokumentera rätt procedurer, samt planera hur man täpper till luckor, säger Sjölund.
Kursen är därför riktad inte bara till kaptener, maskinchefer, styrmän och annan fartygspersonal utan också till all övrig rederipersonal som direkt eller indirekt har att göra med cybersäkerhet.
– Det är viktigt att alla inser att det här inte förbises med konstaterandet ”det här är en fråga för IT-avdelningen”.
Cybersäkerhet
Transport- och kommunikationsverket Traficom publicerade nyligen en rapport som betonade hur cybersäkerhet bör vara en del av rederiernas ledningssystem samt betonas i fortbildning.
Internationella sjöfartsorganisationen IMO:s har sammanställt regler och anvisningar om skydd mot cyberangrepp.
IMO har också gett anvisningar för hur riskerna ska beaktas i befintliga säkerhetshanteringssystem senast den 1 januari 2021.
Kommentarer
Alla som kommenterar ÅU:s webbartiklar förväntas göra det sakligt och under sitt eget namn. Vi godkänner inga länkar till externa webbplatser i kommentarerna. Kommentarerna modereras. Fyll i både ditt för- och efternamn, tack.