Киберопасность в морской отрасли
« НазадВ настоящее время общемировой тенденцией является прогрессирующая цифровизация экономики, которая в полной мере касается морского транспорта. На морском транспорте активно развивается электронная навигация. Суда увеличиваются в размере, а команды уменьшаются в количестве в связи с все большей автоматизацией процессов эксплуатации судна. Бортовые системы получают обновления во время плавания, у команд есть выход в интернет.
Международная морская организация к уязвимым судовым системам относит:
• системы ходового мостика;
• системы обработки и управления грузом;
• системы управления двигателями, машинами и энергопитанием;
• системы контроля доступа;
• системы обслуживания и управления пассажирами;
• публичные интернет-сети судна, предназначенные для использования пассажирами;
• административные системы и сети;
• системы связи.
Исходя из этого, можно сделать вывод, что судно крайне уязвимо перед спланированной кибератакой.
Комитет по безопасности на море ИМО в июне 2017 года принял Резолюцию MSC.428(98) – управление морскими киберрисками в системах управления безопасностью. Резолюция призывает администрации обеспечить, чтобы киберриски надлежащим образом учитывались в существующих системах управления безопасностью не позднее первой ежегодной проверки документа компании о соответствии после 1 января 2021 года.
Международной морской организацией (ИМО) подготовлена уже 3-я версия «Руководства по управлению морскими киберрисками», рекомендованы «Руководство по кибербезопасности на судах», разработанное ведущими морскими транспортными ассоциациями. Международная палата судоходства совестно с BIMCO в 2019 году подготовили «Cyber Security Workbook for On Board Ship Use»
Международной организацией по стандартизации и Международной электротехнической комиссией разработан и опубликован стандарт 27001 по информационным технологиям.
В Соединенных штатах Америки принята «Рамочная программа Национального института стандартов и технологий США по совершенствованию критической инфраструктуры кибербезопасности».
1 января 2018 г. вступил в силу ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (ФЗ-187). ФЗ-187 к объектам критической информационной инфраструктуры относит информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Содержащиеся в ФЗ-187 определения позволяют сделать предварительный вывод о том, что к критической информационной инфраструктуре водного транспорта может быть отнесен достаточно широкий круг объектов, включая судовые, береговые и портовые системы.
С 1 января 2021 г. морские администрации ряда стран начнут проверки заходящих в их порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности. Как было отмечено в начале статьи, резолюция ИМО MSC.428(98) призывает администрации обеспечить учет киберрисков в системах управления безопасностью судов. Во исполнение резолюции российская сторона не пустила этот вопрос на самотек. Регистру поручено с 01 января 2021 года при продлении или получении нового Свидетельства о соответствии компании по СУБ осуществлять наблюдение за выполнением указанной резолюции в компаниях. Однако пока далеко не все судовладельцы и операторы судов знают, что делать и, самое главное, не понимают как.
Отсюда можно сделать логический вывод о том, что у некоторых судов под государственным флагом Российской Федерации в иностранных портах, начиная с 1 января 2021 г., могут возникнуть риски санкций за невыполнение рекомендаций ИМО по кибербезопасности. Невыполнение рекомендаций по кибербезопасности может послужить причиной отказа российскому судну в коммерческом контракте со стороны фрахтователя. Тарифные ставки страхования морских грузов, вероятно, будут отличаться для судов, выполняющих и не выполняющих рекомендации по кибербезопасности, что может снизить конкурентную способность у таких судовладельцев.
С 2021 г. киберинциденты на интерфейсе судно/порт будут рассматриваться через призму рекомендаций по кибербезопасности. В результате наши порты могут признаваться небезопасными с точки зрения кибербезопасности (аналогия с перечнем небезопасных с точки зрения охраны портов) и судам, заходящим в такие порты России или побывавшим в них, будут рекомендоваться повышенные меры кибербезопасности. Соответственно, это повлияет на экономическую привлекательность портов и стоимость перевозок из и в них. Кроме того, невыполнение РФ международных норм может служить поводом для санкций как в отношении РФ — члена ИМО, так и портов РФ.
Стали доступны первые подтверждения прогноза о возможных санкциях в отношении судов под российским флагом в иностранных портах. Так 27 октября 2020 года Береговая охрана США опубликовала Рабочую инструкцию CVC-WI-027 “Управление киберрисками судов”, которое содержит руководство для инспекторов и должностных лиц по оценке кибергигиены на борту как судов под флагом США, так и иностранных по отношению к США судов, а также варианты соблюдения требований при обнаружении недостатков. На странице 5 определены действия инспекторов в случае выявления недостатков. В частности, для иностранных по отношению к США судов в случае выявления любого из 2-х недостатков (общее количество 3 недостатка) предусмотрено задержание судна. Документ Береговой охраны можно скачать через ссылку в этой статье: https://safety4sea.com/uscg...
Обращаем Ваше внимание на то, что наша компания разрабатывает документацию для судоходных компаний по выполнению требований Резолюции MSC.428(98) с учетом рекомендаций РМРС.