Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Nesnelerin İnterneti Güvenliği
Araç İçi Dijital Sistemlerin ve Ekipmanların Güvenliğini Sağlayacak Yeni IACS Kuralları 1 Temmuz'da Yürürlüğe Giriyor
Sandhya Michu, Prajeet Nair (@prajeetspeaks) •
4 Nisan 2024
Gemiler operasyonları için giderek daha fazla dijital teknolojiye bağımlı hale geldikçe, siber saldırılara karşı daha savunmasız hale geliyorlar. Singapur bayraklı kargo gemisi Dali'nin yakın zamanda Baltimore'daki Francis Scott Key Köprüsü'ne çarpması terörizmle bağlantılı olmasa da, ön araştırmalara göre bölgedeki hem nakliye hem de taşımacılıkta yaşanan ağır darbe, bir saldırının sonuçlarının ne kadar kötü olabileceğini gösteriyor. olmak.
Ayrıca bakınız: Talep Üzerine | Avustralya'nın İş Sürekliliğini Belirsiz Tehdit Ortamından Korumak
“Yakın zamanda gerçekleşen Francis Scott Key Bridge olayından başka bir yere bakmamıza gerek yok… gemide bir elektrik arızası, GPS'in bozulması, tahrik sisteminin arızası, yükleme ve stabilite sistemindeki bir tutarsızlık – bunların herhangi biri ve diğer birçok fiyasko Endüstriyel ve denizcilik güvenliğine odaklanan bir siber güvenlik firması olan Radiflow'un kurucusu ve CEO'su Ilan Barda, “Bu, bir siber olayın sonucu olarak meydana gelebilir, gemiyi hatalı bir rotaya sokabilir, insanları öldürebilir ve ciddi fiziksel hasara neden olabilir” dedi.
Barda ve diğer BT ve OT uzmanları, bu tehditlerin Uluslararası Klas Kuruluşları Birliği tarafından yolcu, kargo ve yüksek hızlı gemiler için daha sıkı siber güvenlik düzenlemelerine duyulan ihtiyacın altını çizdiğini söylüyor. Altı aylık bir gecikmenin ardından yeni IACS siber güvenlik ve dayanıklılık gereklilikleri 1 Temmuz'da yürürlüğe girecek.
Sektöre teknik destek, uyumluluk doğrulama ve Ar-Ge hizmetleri sağlayan IACS, sınıflandırma tasarımı, inşaat ve ömür boyu uyumluluk kuralları ve standartlarıyla dünya kargo taşıma tonajının %90'ından fazlasını etkilemektedir.
Uyumluluk için son tarih yaklaşırken, teknoloji tedarikçileri gemi yapımcılarına çeşitli OT güvenlik hizmetleri sunuyor. Gemi inşası ve offshore geliştirme hizmetleri sağlayıcısı Samsung Heavy Industries, denizcilik siber güvenliğine odaklanmak için yakın zamanda siber güvenlik sağlayıcısı Fortinet ile ortaklık kurdu.
Zorunlu gereklilikler
Otonom gemi araştırma merkezi müdürü Jongung Choi, “Deniz bağlantısı ve gemi teknolojisindeki hızlı ilerlemelerin gemi ağlarını saldırılara karşı giderek daha savunmasız bıraktığı bir zamanda, IACS'nin birleşik gereklilikleri denizdeki siber olayların sıklığını ve etkisini en aza indirmeyi amaçlıyor” dedi. Samsung Heavy Industries'te.
IACS, düzenlemelerin iki bölümünü revize etti: geminin operasyonel esnekliğiyle ilgili olan UR E26 ve üçüncü taraf ekipman tedarikçileri tarafından sağlanan sistem bütünlüğünün güvence altına alınmasına ve güçlendirilmesine odaklanan UR E27. Gereklilikler, 1 Temmuz 2024 ve sonrasında inşaat için sözleşme yapılan yeni gemiler için zorunludur.
UR26, hem BT hem de OT ekipmanının bir gemi ağına güvenli entegrasyonunu kapsayarak tasarımdan operasyonel hayata kadar güvenlik kontrollerini garanti eder. Tahrik, yönlendirme, demirleme ve bağlama, elektrik gücü, yangından korunma, sintine ve balast sistemleri, su geçirmezlik ve aydınlatma gibi kritik sistemleri kapsar.
UR E27, gemiler için sıkı siber güvenlik standartları belirler ve gemi ekipmanlarında en başından itibaren sağlam güvenlik özellikleri gerektirir.
Gözden geçirilen düzenlemeler uyarınca gemilerin, güvenliği ve operasyonel verimliliği tehlikeye atan potansiyel siber tehditleri azaltmak için özellikle bilgisayar tabanlı sistemler için belirli siber dayanıklılık kriterlerini karşılaması gerekiyor.
Varlık envanterleri ve test prosedürlerini de içeren kapsamlı dokümantasyon zorunludur ve tedarikçiler sıkı uyumluluk testlerinden sorumludur. Ayrıca özel anahtarları korumak ve güvenlik güncellemelerinin kullanılabilirliğini sağlamak için kontroller uygulamalıdırlar.
Sonuçta IACS, sınıflandırma kuruluşları tarafından denetlenen siber güvenlik standartlarına bağlılığı göstermek için anketler ve testler gerektirir.
Kritik Siber Zorluklar
Barda, Information Security Media Group'a, uyumluluk için son tarihin üreticiler için artan teknoloji, eğitim ve uyumluluk maliyetleri gibi zorluklar oluştursa da, faydaların yatırıma değer olduğunu söyledi.
Gemi sistemleri, manuel süreçlerin yerini güneş panelleri ve akıllı enerji optimizasyon sistemleri gibi ileri teknolojilerle değiştiren derin bir dijital evrim geçirdi. Modern gemiler ağırlıklı olarak uydulara bağlı dijital navigasyon sistemlerine bağımlıdır. Ancak siber güvenlik standartlarının dijital değişime ayak uyduramadığını söyledi.
Barda, “Bu sistemler bırakın yarını, bugünün siber zorluklarına bile hazır değil” dedi.
Yerleşik sistemler belirli bir düzeyde güvenlikle tasarlanmış olsa da saldırılara karşı hala savunmasızdırlar. Bilgisayar korsanlarının sürekli olarak taktiklerini geliştirdiklerini ve yerleşik dijital sistemlerin en yeni karmaşık saldırılara dayanacak dayanıklılığa sahip olmadığını söyledi.
Symbiosis Hukuk Fakültesi öğretim üyesi ve Kıyı ve Deniz Güvenliği Hukuku ve Yönetişim alanında LLM altın madalyası sahibi Gabriela Michael'a göre iletişim veya navigasyon sistemlerine sızmak kritik bir endişe alanıdır. Örneğin, iletişim sistemlerinin manipülasyonu veya bozulmasının, acil durumlarda tehlike sinyalleri alma veya diğer gemiler, liman yetkilileri veya acil durum müdahale ekipleriyle iletişim kurma yeteneğini engelleyebileceğini söyledi.
“Veri bütünlüğünün veya gizliliğinin tehlikeye atılması, seyir haritalarının, hava durumu tahminlerinin veya operasyonel bilgilerin güvenilirliğini zayıflatabilir, gemilerdeki karar alma sürecini ve durumsal farkındalığı etkileyebilir. Denizcilik sistemlerini ve ağlarını hedef alan siber saldırılar ayrıca çevresel hasar, ekonomik kayıplar ve itibar kaybı da dahil olmak üzere daha geniş sonuçlara yol açabilir. Nakliye şirketleri ve denizcilik paydaşları için hasar” dedi Michael.
Üçüncü Taraf Riskleri ve Güvenlik Açıkları
Barda, gemilerdeki birçok teknik faaliyetin, ağa bağlı cihaz ve sistemleri güncellemek veya değiştirmek için çağrılan üçüncü taraf teknisyenleri içerdiğini söyledi. “Bugün bile bu kişilerin ağ içinde yaptıklarına ilişkin ayrıntılı kayıtlar yetersiz” dedi.
Yerleşik ağlarda, OT güvenliğinde önemli bir unsur olan segmentasyon seviyesinin, beklenen korumayı sağlamak için yetersiz olduğu değerlendiriliyor. Barda, BT ekiplerinin sıklıkla, izinsiz girişleri önlemek veya tehditlerin yayılmasını sınırlamak için kritik veya tehlikeli sistemleri diğer ağ bölümlerinden yalıtmak gibi temel uygulamaları gözden kaçırdığını söyledi.
Güvenilir yama mekanizmaları ve sürekli anormallik tespiti gibi diğer siber güvenlik önlemlerine de ihtiyaç duyulduğunu söyledi.
Hükümet Düzenlemelerine Artan Odaklanma
Baltimore köprüsünün çökmesinden önce ABD hükümeti denizcilik sektöründe siber güvenliği artırmaya yönelik planlar yapmıştı. Şubat ayında Biden-Harris yönetimi, ülkenin liman ağlarının ve sistemlerinin güvenli olmasını sağlamak için siber güvenlik standartları da dahil olmak üzere denizdeki siber tehditleri ele almaya yönelik bir girişim duyurdu.
ABD Sahil Güvenlik, deniz bölgelerindeki siber tehditlerle mücadele etme yetkisini kazandı ve gemilere ve tesislere siber riskleri ele alma yetkisi verdi. Duyuruya göre, siber olayların zorunlu olarak rapor edilmesini getirdi ve gemi hareketlerini düzenleme ve siber güvenlik riski taşıyanları denetleme yetkisine sahip.