Renkleri yükseltmek: Denizcilik siber güvenliği konusunda işbirliği için sinyal vermek

üresel ekonomi için, deniz yolcularının güvenli bir şekilde taşınmasından ve kritik olarak uluslararası ticaretin büyük çoğunluğundan sorumlu olan deniz taşımacılığı sistemi (MTS) kadar kritik olan çok az sektör vardır. Bununla birlikte, endüstri siber tehditlere karşı giderek daha savunmasız hale geldiğinden, MTS’nin verimli çalışması risk altındadır. 2020’de MTS’yi hedef alan siber saldırılar birkaç ay içinde yüzde 400 arttı. 1 Belki de hiçbir olay, MTS’nin başlıca uluslararası yönetişim organı olan Uluslararası Denizcilik Örgütü’nün (IMO) 30 Eylül 2020’de web tabanlı hizmetlerini kapatan “sofistike bir siber saldırıya” maruz kalmasından daha iyi sektörün siber güvenlik açığını gösteremezdi. 2
ABD hükümeti, Aralık 2020’de Ulusal Denizcilik Siber Güvenlik Planını (NMCP) yayınlayarak sektörün siber güvenliğindeki eksiklikleri gidermeye başladı. Birçok ilk adım gibi, plan da bir uygulama planından çok bir yol haritası gibiydi, ancak birkaç faydalı hat başlatmasına rağmen. çaba göstermek. 3 Bu rapor, endüstri paydaşlarının yanı sıra Amerika Birleşik Devletleri ve müttefik devletlerdeki politika yapıcılara MTS içindeki toplu siber güvenlik duruşlarını iyileştirmeleri için üç kapsamlı tavsiye sunmak için karmaşık MTS genelinde bu çabaları geliştirmekte ve genişletmektedir.

Hiçbir küresel tedarik zinciri deniz taşımacılığı sektöründen bağımsız değildir ve aslında çoğu varoluşsal olarak bağımlıdır. MTS, ABD gayri safi yurtiçi hasılasının (GSYİH) dörtte birini besler. COVID-19 pandemisinden önce, ticari deniz taşımacılığı hacim olarak küresel ticaretin yüzde 80’ine ve 4 değer olarak küresel ticaretin yüzde 70’inden fazlasını taşıdı ve pandemi sonrası analizler, sektörün yüzde 4,1 oranında büyüse bile güçlü bir şekilde toparlanacağını gösteriyor. 5 Bu önemli ekonomik değerin ötesinde, limanlar ve denizcilik, ABD ve müttefik gücünü dünya çapında yansıtmada önemli bir rol oynamaktadır.

Konteynerler ve dökme yükten daha fazlası olan MTS, küresel enerji sistemlerinin güvenliğinin ayrılmaz bir parçası olan gemiler, açık deniz sahaları ve karadaki terminallerden sorumludur. 2016 yılında, dünyanın toplam petrol ve diğer sıvı enerji arzının yüzde 61’inden fazlası deniz bazlı ticaret yoluyla taşındı. 6 Başka hiçbir ulaşım şekli, MTS’de mevcut olan rekabetçi fiyat noktasında çok miktarda mal taşıyamaz. 7 Amerika Birleşik Devletleri gibi devletler tarafından belirlenen iddialı yenilenebilir enerji hedefleri ile 8 , MTS’deki aktörler yenilenebilir tesislerin korunmasında ve genişletilmesinde kilit bir rol oynayacaktır. MTS, kelimenin tam anlamıyla küresel ekonomiyi besler.

Yine de, denizcilik siber güvenlik riskleri yeterince değerlendirilmiyor. MTS’yi hedefleyen siber saldırılardaki artış, fidye yazılımı, kimlik avı ve veri siliciler gibi kötü amaçlı yazılımlar da dahil olmak üzere diğer sektörlere aşina olan saldırı çeşitlerini içerir. Geleneksel siber tehditler hedefleyen bilgi teknolojisi ile birlikte (BT) sistemleri, gemilerde ve limanlarda operasyonel teknoloji (OT) yapılan saldırılar, raporları, 2020 yılında biten üç yıllık dönemde bir kuyruklu 900 arttı 9

MTS siber güvenliğinin zorluklarından biri de sektörün karmaşık yapısıdır. Bir “sistemler sistemi” olan MTS, bireysel gemiler, limanlar ve terminaller, denizcilik hatları, gemi yapımcıları, intermodal taşımacılık operatörleri, kargo ve yolcu taşıyıcıları, gemi trafik kontrolü, denizcilik idarecileri ve daha fazlasından oluşur. Her sistemin kendi örgütsel özellikleri ve bağımlılıkları vardır. Ayrıca, MTS’nin düzenlenmesi, birçok farklı devlet ve birimin bir gemiye sahip olabileceği, kiralayabileceği, yelken açabileceği, tescil ettirebileceği ve mürettebat olabileceği gemi yönetiminin iç içe geçmiş doğası nedeniyle genellikle dolaylıdır.

Bu karmaşıklığı ele almak ve paydaşların MTS’yi etkileyen siber riskleri ele almasına yardımcı olmak için bu rapor, tehdit kalıplarını ortaya çıkarmak için üç temel yaşam döngüsünü (bir geminin, bir kargo parçasının ve bir limanın günlük operasyonlarının ömrü) inceler güvenlik açıkları. Bu yaşam döngüleri, dünya çapında bir karakter kadrosuna ışık tutmaya yardımcı olur. Her yaşam döngüsü, politika yapıcıların ve uygulayıcıların harekete geçmek için işbirliği yapabilecekleri yoğun risk alanlarını ve kaldıraç noktalarını vurgular.

Bu analize dayanarak, rapor teklifler oniki önerileri olarak sıralandı ilk , sonraki ve daha sonraki . ilkbir dizi öneri, MTS’yi güvence altına almak için derhal ele alınması gereken altı konuyu içermektedir. Bu öneriler, MTS’deki sistemik siber riskin ana etkenlerini ele almak için doğrudan önceden var olan olgun ilişkiler, ortaklıklar ve işlevler üzerine kurulduğundan, eylem için öncelik verilmesi gerekir. Siber güvenlik yönergeleri ve standartları bu kategoriye girer. Denizcilik alanındaki sıvılaştırılmış doğal gaz (LNG) operatörleri için bir çerçeve profili geliştirmek üzere Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yapılan çalışma, bu olgunluğu göstermekte ve MTS daha bütünsel. MTS genelinde mevcut siber güvenlik duruşlarını iyileştirme ihtiyacı ve istekliliği aşikardır,

sonrakitavsiye kategorisi, MTS’deki çeşitli yoğun risk alanlarını ele almayı amaçlamaktadır. Bununla birlikte, bu eylemler, değişen veya sabit olmayan olgunluk seviyelerindeki kaldıraç noktaları üzerine inşa edilmiştir. Bu bölümdeki önemli önerilerden biri, güvenli olmayan sistem tasarımı sorununu ele almayı amaçlamaktadır: Satıcılar, saldırılar karşısında daha sağlam ve daha zarif bir şekilde başarısız olacak şekilde sistemleri nasıl tasarlayabilir? Son yıllarda ve hatta daha çok Sunburst kampanyasından sonra, birçok sektörde güvenli tasarım politikalarını zorlayan girişimlerde belirgin bir artış oldu ve satın alma organları genellikle bu girişimlerin uygulanmasından sorumludur. Bununla birlikte, MTS’ye karşılaştırılabilir programlar uygulama olasılığı son derece zordur – ve nihai sonuç ekosistem için son derece faydalı olsa da, bazı tüyleri karıştırabilir. Birçok denizcilik tedarikçisi onlarca yıldır aynı tip sistemler üretiyor ve yeni, zorunlu güvenlik kontrollerine ve tasarım gereksinimlerine karşı çıkabilir. MTS’nin kendisi gibi ticari MTS satıcı topluluğu, doğası gereği uluslararasıdır ve agresif bir şekilde küreselleştirilmiş standartlar veya tasarım gereksinimleri gerektirir.

Son olarak, rapor daha sonra ikigüvenlik açığı açıklama programları ve siber sigorta ile ilgili öneriler. Her ikisi de, MTS’de daha iyi siber güvenliği etkilemeye yönelik farklı ancak eşit derecede sorunlu yollar sunar – özellikle yanlış hizalanmış teşvikler nedeniyle. Güvenlik açığı açıklama programları ve zorunlu açıklama pencereleri şu anda diğer sektörlerdeki ekosistemlerin ve belirli sistemlerin daha iyi korunmasına yardımcı olmak için kullanılmaktadır. Teknoloji alanında doksan günlük zorunlu bir bilgilendirme politikası yaygındır. Ancak, genellikle bu programlarla birlikte gelen hızlı zaman çizelgeleri, denizcilik aktörleri için zorlayıcı olabilir. Çoğu zaman, tek bir operatör dünya çapında yüzlerce gemiye sahip olabilir ve bunların bazılarının veya birçoğunun tanımlanmış bir güvenlik açığını ele alması gerekebilir: yine de operatörün hiçbir gemisi aynı sistemleri içeremez, ve yüksek hızlı İnternet bölgelerine sürekli erişim sağlamak zor olabilir. Sözde hızlı yama yaklaşımını zorlayabilecek diğer bazı kritik altyapı sektörleriyle karşılaştırıldığında, bu pencereler MTS’de gerçekçi olmayabilir. Sektör genelinde zorunlu bir bilgilendirme politikası uygulamak, soruna dikkat çekmenin bir yolu olabilir; ancak, bu politikanın gerçekçi olup olmadığı konusunda önemli geri dönüşler ve meşru sorular olacaktır.

Bu raporun öne sürdüğü on iki tavsiyenin tümü, MTS’nin genel siber güvenlik duruşunu iyileştirmek için önemli adımlardır. Bu rapor, daha olgun oyunculara, protokollere ve ilişkilere dayanan eylemlere öncelik vererek, zorlu ama daha az önemli olmayan sorunlara geçmeden önce düşük meyveli meyvelerin üstesinden gelmeyi amaçlıyor. Bu yol haritasını izleyerek MTS’nin siber güvenlik için temel çizgiyi yükseltmek ve aktörlerini sistemik siber tehditlerden daha iyi korumak için çalışabileceğini umuyoruz.

Metnin aslına ulaşmak için: