Αναδημοσίευση
από το www.newmoney.gr
Η κυβερνοαπειλή (cyber threat) αποτελεί τη σύγχρονη ηλεκτρονική μορφή της τρομοκρατίας, δείχνοντας συχνά πόσο ευάλωτα είναι κράτη, οικονομίες και κοινωνίες σε όλο τον πλανήτη.
Στο στόχαστρο έχει μπει πλέον και η ναυτιλιακή βιομηχανία - τόσο οι εταιρείες όσο και τα πλοία τους. Από τα πρώτα θύματα είναι ο δανέζικος ναυτιλιακός κολοσσός Maersk, ο οποίος υποφέρει από τις επιπτώσεις τέτοιων επιθέσεων τόσο σε οικονομικό επίπεδο όσο και σε επίπεδο φήμης από το περασμένο καλοκαίρι. Στις 27 Ιουνίου 2017 επλήγη από μια παγκόσμια κυβερνοεπίθεση με την ονομασία «Petya» και αναγκάστηκε να κλείσει τα συστήματα πληροφορικής.
Η Maersk έλαβε τότε προληπτικά μέτρα για το ενδεχόμενο συνέχισης των επιθέσεων, ενώ είχε σπεύσει να υπογραμμίσει ότι «τα πλοία μας είναι υπό έλεγχο, ικανά να επικοινωνούν, ενώ τα πληρώματα είναι ασφαλή». Τότε είχαν επηρεαστεί 17 τερματικά που έχει σε διάφορα λιμάνια, ανάμεσα στα οποία και εκείνο του Ρότερνταμ. Εκτός από τις εταιρείες, όμως, ευάλωτα είναι και τα πλοία, αφού τα συστήματα υψηλής τεχνολογίας και πληροφορικής με τα οποία είναι εξοπλισμένα μπορεί να πέσουν θύματα κυβερνοεπιθέσεων και να μείνουν «τυφλά» και απομονωμένα στη μέση του ωκεανού.
«Μετά το κύμα τρομοκρατικών επιθέσεων που σημειώνεται τον τελευταίο καιρό, ένας εκτεταμένος κυβερνοπόλεμος μπορεί να συμπαρασύρει τη ναυτιλία», επισημαίνουν στελέχη της παγκόσμιας ναυτιλιακής βιομηχανίας.
«Το ενδιαφέρον και η ανάγκη για ασφάλεια στον κυβερνοχώρο -cyber security- έχουν αυξηθεί εδώ και καιρό. Τα γεγονότα της τελευταίας χρονιάς απέδειξαν ότι ακόμη και συστήματα που θεωρούνταν ως τα πιο ανθεκτικά τελικά είναι ευάλωτα», επεσήμανε πρόσφατα σε διεθνές ναυτιλιακό συνέδριο ο κ. Σωκράτης Θεοδοσίου, Chief Excecutive Officer της εταιρείας παροχής ναυτιλιακών υπηρεσιών, μεταξύ των οποίων και επικοινωνίας, Tototheo Maritime Ltd. Ειδικότερα τόνισε:
«■ Μία κυβερνοεπίθεση μπορεί να οδηγήσει σε μπλοκάρισμα του συστήματος πλοήγησης ενός πλοίου ή στη χειραγώγησή του.
■ Οι υπολογιστές που χρησιμοποιούνται στο πλοίο για τη διαχείρισή του ή για προσωπικούς λόγους από το πλήρωμα είναι επίσης ευάλωτοι. Εάν έχουν πρόσβαση στο Internet και στα email, μπορεί να γίνουν θύματα “cyber attackers” οι οποίοι θα αποκτήσουν πρόσβαση στα συστήματα του πλοίου.
■Για τον λόγο αυτό οι συσκευές αυτές θα πρέπει να θεωρούνται «ανεξέλεγκτες» και να μη συνδέονται σε συστήματα ασφαλείας του πλοίου.
■ Ανεξαρτήτως του εάν ένα σύστημα βρίσκεται πάνω σε πλοίο ή στη στεριά, χρειάζεται την ίδια σημαντική προστασία.
■ Ο αποκλεισμός των συστημάτων πλοήγησης ενός πλοίου και των επικοινωνιών του από το υπόλοιπο δίκτυο δεν παρέχει έστω και την ελάχιστη ασφάλεια. Χρειάζεται μια σύνθετη λύση.
■ Η αυξημένη χρήση διαδικτυακών συστημάτων πλοήγησης στη γέφυρα του πλοίου τα οποία έχουν διεπαφές (interfaces) με τα δίκτυα της στεριάς κάνουν τα συστήματα ευάλωτα σε κυβερνοεπιθέσεις.
■ Ακόμη και όταν τα συστήματα της γέφυρας δεν είναι συνδεδεμένα με άλλα δίκτυα, μπορεί να είναι εξίσου ευάλωτα εφόσον χρησιμοποιούνται κινητές συσκευές για την αναβάθμισή τους.
■ Στην αύξηση του κινδύνου κυβερνοεπιθέσεων δύναται να συμβάλει και η πρόσβαση στη σύνδεση του Internet μέσω δορυφόρου ή και άλλων ασύρματων συσκευών επικοινωνίας».\
Η θωράκιση
Στο ερώτημα πόσα πρέπει να επενδύσει μια ναυτιλιακή εταιρεία για να θωρακιστεί από τις κυβερνοεπιθέσεις, οι ειδικοί υποστηρίζουν «δεν υπάρχει μία και μόνη απάντηση». Αυτό που είναι ξεκάθαρο είναι ότι το κόστος δεν είναι μία κι έξω, το λεγόμενο one-off cost.
«Οι κυβερνοεπιθέσεις θα πρέπει να αντιμετωπίζονται σαν να είναι ένας ζωντανός οργανισμός που μεγαλώνει. Οποια κι αν είναι η λύση που επιλέγει ο ενδιαφερόμενος, θα πρέπει να ασχοληθεί όχι μόνο με το τι πρέπει να κάνει σήμερα, αλλά και πώς θα συμβαδίσει με το αναπτυσσόμενο περιβάλλον γύρω του. Η ανάπτυξη της τεχνολογίας σημαίνει συνεχή αναβάθμιση των συστημάτων, άρα και της προστασίας τους. Επίσης, άλλη μία επένδυση που θα πρέπει να εξελίσσεται συνεχώς είναι η εκπαίδευση του προσωπικού - τόσο εκείνων που επανδρώνουν τα γραφεία της επιχείρησης όσο και των ναυτικών, αφού οι μεγαλύτεροι κίνδυνοι προέρχονται από τα τους χρήστες της τεχνολογίας που δεν ανησυχούν για το πώς θα προστατευτούν», τόνισε ο κ. Θεοδοσίου και πρόσθεσε: «Δυστυχώς η ασφάλεια ενάντια στις κυβερνοεπιθέσεις είναι ένα προϊόν στο οποίο επενδύεις χωρίς να έχεις ξεκάθαρη εικόνα για την αποτελεσματικότητά του. Επενδύεις για να προστατευτείς από κάτι το οποίο εύχεσαι να μη σου συμβεί. Και δεν είναι εύκολο να πείσεις κάποιον πλοιοκτήτη που προσπαθεί να ισορροπήσει οικονομικά να επενδύσει σε κάτι που αυξάνει το λειτουργικό κόστος της επιχείρησής του. Βέβαια το ερώτημα είναι ποιο θα είναι το κόστος αν χάσεις ένα πλοίο σου λόγω κυβερνοεπίθεσης για μία ημέρα ή για περισσότερες», τόνισε ό ίδιος, για να καταλήξει λέγοντας: «Το θέμα είναι ότι όσα χρήματα και να επενδύσεις, όποια λύση και να δώσεις, θα είσαι τόσο δυνατός όσο η πιο αδύναμη σύνδεσή σου στο Διαδίκτυο. Και ο αδύναμος κρίκος στην αλυσίδα αυτή είναι οι χρήστες. Το να εξασφαλίσεις ότι το πλήρωμα ενός πλοίου είναι σωστά εκπαιδευμένο και στο κατάλληλο επίπεδο επιφυλακής θα χρειαστεί χρόνο. Ειδικά όταν τα πληρώματα αλλάζουν συχνά κάθε λίγους μήνες. Θα χρειαστεί ο πλοιοκτήτης να έχει ένα συνεχές πρόγραμμα εκπαίδευσης».
Διαχείριση κίνδυνων στη ναυτιλία
ο κ. Γιώργος Ραουνάς, |
«Η Διαχείριση Κινδύνων δεν είναι κάτι καινούριο, ειδικά στη Ναυτιλία. Μέχρι πρότινος αφορούσε στους... κλασικούς ναυτιλιακούς κινδύνους, όπως αυτούς που οδήγησαν στο συμβάν με το “Αγία Ζώνη ΙΙ”. Υπάρχουν όμως πολλοί άλλοι κίνδυνοι που αφορούν τον ναυτιλιακό κλάδο, όπου επιπλέον της καταγραφής τους το σημαντικότερο είναι η οργανωμένη διαχείρισή τους», επισημαίνουν σε ανάλυσή τους ο κ. Γιώργος Ραουνάς, γενικός διευθυντής, και ο κ. Απόστολος Σίγουρας, Project Leader του Τμήματος Επιχειρηματικής Διακυβέρνησης της KPMG, και συνεχίζουν: «Οι νέες τεχνολογίες είναι λογικό να έχουν επηρεάσει τη ναυτιλία και τις δραστηριότητές της. Ο συνδυασμός χρήσης οικονομικότερων πληρωμάτων με την αύξηση της πολυπλοκότητας του εξοπλισμού και την έξαρση στη χρήση της εξ αποστάσεως αμφίδρομης ενημέρωσης και λειτουργίας μέσω αισθητήρων και ευφυών συστημάτων πληροφορικής, τα οποία όμως είναι ευάλωτα σε θέματα ηλεκτρονικής ασφάλειας στη ναυτιλία, οδηγούν σε αύξηση των κινδύνων κυβερνο-ασφάλειας (cyber security), για τους οποίους λίγα έχουν γίνει μέχρι σήμερα σε παγκόσμιο επίπεδο».
Ο κ. Απόστολος Σίγουρας |
Επιχειρησιακοί / οργανωτικοί κίνδυνοι
Στο νέο Σύστημα Ποιότητας ISO 9001:2015 η διαχείριση των κινδύνων έχει περίοπτη θέση. «Τα Συστήματα Ποιότητας αφορούν κυρίως στην οργάνωση της εταιρείας, ενώ παράλληλα τα εξειδικευμένα εξ αυτών -ISO 14001 για το περιβάλλον, OHSAS 18001 για την ασφάλεια και την υγιεινή, HACCP για τα τρόφιμα και τη διαχείρισή τους, ISO 27001 για την ασφάλεια πληροφοριών κ.ά.- κερδίζουν συνεχώς έδαφος καθώς γίνονται απαραίτητα για τη συμμετοχή σε διαγωνισμούς, όπου απαιτούνται πλέον όλο και περισσότερο. Η έλλειψη των συστημάτων ποιότητας, αλλά κυρίως η απουσία των λειτουργιών που αυτά συστηματοποιούν και οριοθετούν εγκυμονεί κινδύνους», σύμφωνα με την ανάλυση της KPMG. «Οι λοιποί κίνδυνοι στην προκειμένη περίπτωση έχουν ιδιαίτερη σημασία. Ανάλογα με την περίπτωση, τη ναυτιλιακή ή την παρα-ναυτιλιακή εταιρεία και τον χώρο δραστηριοποίησής της, είτε γεωγραφικά είτε από πλευράς φορτίου, οι επιπλέον κίνδυνοι μπορεί να είναι διαφορετικοί και άλλης βαρύτητας. Θα πρέπει πάντως να εντοπιστούν πριν προχωρήσουμε στο επόμενο στάδιο της αντιμετώπισης», τονίζουν οι κύριοι Ραουνάς και Σίγουρας.
Για την αντιμετώπιση των κινδύνων επισημαίνουν: «Μετά την κατάρρευση της Lehman Brothers η προληπτική προσέγγιση υπερτερεί της κατασταλτικής. Με άλλα λόγια, η λογική πλέον είναι ότι πρέπει να προλαμβάνουμε τους κινδύνους (proactive approach) και όχι να τους αντιμετωπίζουμε όταν αυτοί έρθουν στην επιφάνεια (reactive approach). Η προσέγγιση αυτή ξεκινά με τη δημιουργία της Δομής Κατάτμησης Κινδύνων (Risk Breakdown Structure). Στη δομή αυτή τα βασικά “κλαδιά” είναι οι κατηγορίες κινδύνων που αναφέραμε παραπάνω. Αφού εντοπίσουμε τους πιθανούς κινδύνους, που δεν είναι οι ίδιοι για όλες τις ναυτιλιακές και τις παρα-ναυτιλιακές, αφού εξαρτώνται από το αντικείμενό τους, τη γεωγραφική τους δραστηριοποίηση κ.τ.λ., ακολουθεί η Ανάλυση Επιπτώσεων (Impact Analysis). Συνεπώς, κάνουμε μια κατηγοριοποίηση των κινδύνων ανάλογα με την εκτιμώμενη επίπτωσή τους στη λειτουργία της εταιρείας, την πιθανότητα εμφάνισής τους κ.τ.λ. και εντοπίζουμε αυτούς για τους οποίους κρίνουμε ότι πρέπει να δημιουργήσουμε ένα πλάνο αντιμετώπισης προτού αυτοί εμφανιστούν, γνωστό ως Σχέδιο Εκτακτης Ανάγκης (Contingency Plan). Αυτό μπορεί να είναι από ένα απλός κατάλογος με τηλέφωνα ατόμων που θα κληθούν να αντιμετωπίσουν επείγοντα περιστατικά μέχρι το συνολικό σχέδιο μεταφοράς των εταιρικών λειτουργιών της εταιρείας». Και προσθέτουν: «Τη Δομή Κατάτμησης Κινδύνων μπορεί να την ξεκινήσει ο DPA & CSO Manager, όμως σε καμία περίπτωση δεν μπορεί να την ολοκληρώσει μόνος του. Για την ανάλυση κινδύνων πρέπει να εμπλακούν όλοι οι υπεύθυνοι - ιδιοκτήτες των λειτουργιών της εταιρείας, συνεισφέροντας την αντίληψή τους για τους κινδύνους που αντιμετωπίζουν και την επίπτωση σε περίπτωση επέλευσης του κάθε κινδύνου. Το Contingency Plan μπορεί να ανατεθεί σε κάποιον λειτουργό, αλλά απαιτείται η συμμετοχή εκπροσώπων από όλους του τομείς και, βέβαια, η διοίκηση θα πρέπει να έχει ενεργή συμμετοχή και να δίνει τις κατευθύνσεις».
Η διαχείριση κινδύνων δεν τελειώνει όμως με την ολοκλήρωση των παραπάνω βημάτων. «Θα λέγαμε ότι μάλλον ξεκινάει από εκεί», τονίζουν οι κύριοι Ραουνάς και Σίγουρας: «Σε τακτά χρονικά διαστήματα η εταιρεία πρέπει να επανελέγχει την πληρότητα του Μητρώου Κινδύνων (Risk Registry) και να επανεκτιμά τις επιπτώσεις, επιλέγοντας τις κατάλληλες δράσεις για τον περιορισμό τους. Δεν υπάρχει συγκεκριμένη νόρμα, αλλά μια καλή πρακτική είναι να γίνεται ανασκόπηση σε ετήσια βάση. Η βασική πρόταση και συμβουλή είναι ο μη εφησυχασμός, υπό την έννοια ότι στο συνεχώς μεταβαλλόμενο περιβάλλον πρέπει να είμαστε πάντοτε έτοιμοι να αναγνωρίσουμε και να διαχειριστούμε νέους ή μεταλλασσόμενους κινδύνους».
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.