Sjöfartsindustrin har varit långsam med att förbereda adekvat cybersäkerhet. Kredit:Alexandersonscc/pixabay, CC BY-SA
De 50, 000 fartyg som seglar på havet samtidigt har anslutit sig till en ständigt växande lista över föremål som kan hackas. Cybersäkerhetsexperter visade nyligen hur lätt det var att bryta sig in i ett fartygs navigationsutrustning. Detta kommer bara några år efter att forskare visade att de kunde lura en superyachts GPS att ändra kurs. En gång i tiden föremål som bilar, brödrostar och bogserbåtar gjorde bara vad de ursprungligen var designade för att göra. Idag är problemet att de alla också pratar med internet.
Historien hittills
Berättelser om maritim cybersäkerhet kommer bara att spridas. Sjöfartsindustrin har varit långsam med att inse att fartyg, precis som allt annat, är nu en del av cyberrymden. Internationella sjöfartsorganisationen (IMO), FN-organet som har till uppgift att reglera det maritima rymden, har varit sen och något långsam med att överväga lämplig reglering när det gäller cybersäkerhet.
Under 2014, IMO rådfrågade deras medlemskap om hur riktlinjerna för maritim cybersäkerhet skulle se ut. Två år senare utfärdade de sina interimistiska riktlinjer för hantering av cybersäkerhetsrisk, som är breda och inte särskilt maritimt specifika. Och nu, inte överraskande, fartyg hackas.
Den maritima industrins komplexitet
Det finns flera kärnfrågor som gör cybersäkerhet för den maritima industrin särskilt utmanande att ta itu med.
Först, det finns många olika klasser av fartyg, som alla verkar i väldigt olika miljöer. Dessa fartyg tenderar att ha olika datorsystem inbyggda i dem. Betydligt nog, många av dessa system är byggda för att hålla över 30 år. Med andra ord, många fartyg kör föråldrade och ostödda operativsystem, som ofta är de som är mest utsatta för cyberattacker.
Andra, användarna av dessa maritima datorsystem är ständigt i förändring. Skeppsfartyg är mycket dynamiska, ändras ofta med kort varsel. Som ett resultat, besättningsmedlemmar använder ofta system som de inte är bekanta med, öka risken för cybersäkerhetsincidenter relaterade till mänskliga fel. Ytterligare, underhåll av system ombord, inklusive navigation, är ofta kontrakterade med en mängd olika tredje parter. Det är fullt möjligt att en fartygsbesättning har liten förståelse för hur system ombord interagerar med varandra.
A.P. Möller-Maersks hela flotta försenades på grund av en cyberattack 2017. Kredit:Wikimedia/Nils Jepsen, CC BY
En tredje komplexitet är kopplingen mellan ombord och markbundna system. Många maritima företag håller konstant kontakt med sina fartyg. Fartygets cybersäkerhet är också beroende, sedan, på cybersäkerheten i den landbaserade infrastrukturen som gör detta möjligt. Implikationerna av sådana beroenden blev tydliga 2017 när en cyberattack mot A.P. Möller-Maersks system resulterade i lastförseningar över hela deras flotta. Detta är särskilt utmanande för IMO som kan styra sådana som hamnregler, men har mycket liten kontroll över de bredare systemen och processerna för sjöfartsoperatörer.
Steg i rätt riktning
Under 2017, IMO ändrade två av sina allmänna säkerhetskoder för att uttryckligen inkludera cybersäkerhet. I International Ship and Port Facility Security Code (ISPS) och International Security Management Code (ISM) beskrivs hur hamn- och fartygsoperatörer ska genomföra riskhanteringsprocesser. Att göra cybersäkerhet till en integrerad del av dessa processer bör säkerställa att operatörerna åtminstone är medvetna om cyberrisker.
Förhoppningsvis, detta är början på ett mer holistiskt synsätt på reglering av maritim cybersäkerhet. Kunskapen från dessa nya cyberriskbedömningar kan göra det möjligt för IMO att utveckla en bredare uppsättning cybersäkerhetsregler. Det finns mycket lågt hängande frukt som ska plockas, till exempel genom att harmonisera vissa utrustningskrav med befintliga cybersäkerhetsstandarder som antagits av andra sektorer.
Vänd på skeppet
Den maritima industrin ligger utan tvekan efter andra transportsektorer, såsom flyg, i cybersäkerhetstermer. Det verkar också saknas brådska att få ordning på huset. Trots allt, de cyberspecifika ändringarna av ISM och ISPS träder inte i kraft förrän den 1 januari 2021, och de representerar bara början på en resa. Så den maritima industrin verkar särskilt dåligt rustad för att hantera framtida utmaningar, till exempel cybersäkerhet för helt autonoma fartyg.
På den positiva sidan, det långsamma och stadiga tillvägagångssättet för utveckling av cybersäkerhetsregler ger åtminstone möjlighet att lära av andra sektorer och till fullo förstå maritima cybersäkerhetsrisker, i stället för att ta förhastade dåligt beslut.
Utvecklingen av robusta maritima cybersäkerhetsbestämmelser kommer att gå mycket långsamt, och kanske smärtsamt, bearbeta. Men, fartyget har börjat svänga.
Denna artikel publicerades ursprungligen på The Conversation. Läs originalartikeln.