Aktuell information
Automation och integrerade digitaliserade system öppnar upp möjligheter för dataintrång
Sjöfartssektorn använder sig allt mer av automation och integrerade digitaliserade system, vilket öppnar upp för möjligheten till dataintrång. Med teknikutvecklingen sammanflätas informationsteknologier (IT) med operationsteknologier (OT), ofta via internet, för att integrera hela rederiorganisationer. Utvecklingen är både nödvändig och välkommen. Samtidigt ökar riskerna med otillåten access till data, skadliga attacker på fartygs operativa system, rederiers affärssystem och nätverk. För att minimera risker med detta bör rederiorganisationers ledningar utveckla riskhantering som syftar till att även omfatta “cyber security”.
Cyber security diskuteras internationellt
Bland annat antog IMO redan 2017, resolution MSC.428(98) angående Maritime Cyber Risk Management in Safety Management System (SMS). Resolutionen hänvisar till ett godkänt säkerhetsorganisationssystem (SMS) som har förmåga att omhänderta riskhantering även för cyber security i enlighet med befintliga krav som existerar inom ISM koden. Arbetet med att integrera cyber security som en del av SMS ska senast vara genomfört vid den första årliga verifieringen av rederiets dokument om godkänd säkerhetsorganisation. Detta inträffar efter den 1 januari 2021.
Rekommendationer
Transportstyrelsen rekommenderar rederier att inom ramen för arbetet med riskhantering för cyber security också beakta digitala anslutningar till fartyg, från exempelvis systemleverantörer av framdrivningsmaskin och andra driftsystem som rederiet samarbetar med. Särskild fokus bör läggas på att säkerhetsorganisationssystemet omhändertar befälhavarens kännedom om på vilket sätt och när systemleverantörer påverkar vitala system ombord.
IMO har utarbetat riktlinjer
IMO har utarbetat riktlinjer som publicerats i cirkulär MSC-FAL.1/Circ.3. Cirkuläret innehåller riktlinjer för riskhantering av maritim cyberriskhantering. Syftet med dessa riktlinjer är att skapa en bättre förståelse samt därigenom ge ett bättre skydd mot cyberattacker. Riktlinjen bygger på en riskbaserad hantering av cyber security och pekar på att arbetet måste förankras hos organisationens högsta ledning för att få effekt och därigenom göra säkerhetsorganisationskulturen mer medveten om de risker som associeras med cyber security. Organisationen bör därmed få möjlighet att hantera cyberrisker kontinuerligt genom ständiga utvärderingar och informationsspridning. Detta leder också till att personalen blir vana och bekväma med hanteringen av cyber security. Lösningar och hantering av cyber security skräddarsys för enskilda rederiorganisationer men även enskilda fartyg behöver vanligen specifika lösningar. Vid arbete bör nationell och internationell reglering beaktas ex. GDPR.
Näringsorganisationer har också utarbetat en egen handledning “Guidelines on Cyber Security Onboard Ships” som bygger på IMO resolution MSC.428(98) och cirkulär MSC-FAL.1/Circ.3. Industrins handledning stödjer sig också på US National Institute of Standards and Technology (NIST) ramverk som ger vägledning för både interna och externa hot vid hanteringen av cyber security. Handledningen är inte tänkt att vara ett grunddokument för extern revision av rederiorganisationen förmåga att hantera cyberrisker. Det ska ses som ett vägledande dokument för hur organisationen själva ska arbeta med att stärka sin cyber security. Genom att använda handledningen och göra en genomgång av sin förmåga av att hantera cyber security växer en bild fram på organisationens ”mognad”. Resultatet kan sedan användas för att vidareutveckla organisationens strategiska arbete.
Även IACS (International Association of Classification Societies) har utvecklat rekommendationer genom IACS Rec No 166 (Network security of onboard computer based systems) som också kan användas som underlag vid arbetet med dessa frågor.