Λαμβάνοντας υπόψη την αυξανόμενη σημασία που αποκτά το cyber security για το ναυτιλιακό κλάδο, το NetFAX είχε την ευκαιρία να κάνει μια ενδιαφέρουσα συζήτηση με το Δρ. Ματθαίο Μαχαίρα, εστιάζοντας στη σχέση του cyber security με το Operational Technology, ένα ζήτημα που θα απασχολεί τον κλάδο όλο και περισσότερο στο μέλλον.

Tα καράβια στην εποχή μας είναι πλωτά «εργοστάσια», με πολλούς αυτοματισμούς και συστήματα: bridge control system, fleet management system, navigation system, engine control, loading system, engine control & performance monitoring, όλα αυτά διανθισμένα με πληθώρα αισθητήρων που συλλέγουν δεδομένα. Πλέον, σε αντίθεση με παλιά, όλα τα παραπάνω συστήματα ζητούν συνδεσιμότητα με το Internet, επεξεργάζονται δεδομένα και λαμβάνουν αποφάσεις. Ένα θέμα που δημιουργεί πρόσθετες πηγές ρίσκου.

Αν και αυτά που πρέπει να ελεγχθούν είναι πολλά, «ο μεγαλύτερος κίνδυνος στην ασφάλεια δεδομένων (cyber security), είναι ο κίνδυνος να μην κάνουμε τίποτα» επισημαίνει ο Δρ. Ματθαίος Μαχαίρας, CIO της Metrostar. «Γιατί το θέμα δεν είναι αν θα γίνει επίθεση – επιθέσεις θα συνεχίσουν να γίνονται ή στη στεριά ή στη θάλασσα – το θέμα είναι πότε θα συμβεί αυτό και πόσο είμαστε προετοιμασμένοι να την αντιμετωπίσουμε και να τη διαχειριστούμε. Είτε αυτόματα με την τεχνολογία είτε με διαδικασίες δικές μας» συμπληρώνει.

Ο δεκάλογoς του IOTSA
«Παλιότερα, εξετάζονταν μόνο η IT πτυχή του cyber security. Πλέον, έχει αρχίσει και γίνεται κατανοητό στο ναυτιλιακό χώρο, ότι το cyber security αφορά και το Operational Technology και αυτό έχει περιληφθεί και στις σχετικές οδηγίες οργανισμών όπως η BIMCO. Γι’ αυτό το σκοπό ο ΙΟTSA (International Operational Technology Security Association) έχει ξεκινήσει μια προσπάθεια εγρήγορσης του κλάδου, στο πλαίσιο της οποίας έχει καταγράψει τα δέκα πιο συνήθη ΟΤ κενά ασφαλείας, που περιλαμβάνουν τόσο τη στεριά όσο και τη θάλασσα» επισημαίνει ο Δρ. Μ. Μαχαίρας.

Tα πέντε πρώτα είναι γνωστά σε όλους τους επαγγελματίες της Πληροφορικής:
1. “Publicly Accessible OT Systems”:
Operational Systems τα οποία είναι ανοικτά δημόσια και προσβάσιμα από παντού.
2. “Insecure remote connectivity to OT networks”: H δυνατότητα να μπορεί κανείς, για παράδειγμα, να «δει» ένα σύστημα του πλοίου μέσω μιας ανοικτής, ή ακόμα και προστατευμένης, θύρας (port).
3. “Missing security updates”: Σύνηθες κενό ασφαλείας που δημιουργείται από την αμέλεια εγκατάστασης των τελευταίων security updates.
4. “Poor password practices”: H επιλογή ενός εύκολα προβλέψιμου κωδικού προστασίας, όπως είναι, για παράδειγμα, το default password του κατασκευαστή ενός συστήματος (το οποίο ένας hacker θα μπορούσε να βρει στο manual, μετά από μια αναζήτηση στο Internet).
5. “Insecure firewall configuration and management”: Kακή ρύθμιση και διαχείριση του firewall, η οποία μπορεί να ανοίξει κερκόπορτες σε ένα σύστημα.

«Όλα τα παραπάνω είναι στάνταρ για το ΙΤ, ωστόσο, ο ΙΟTSA έχει προσθέσει μια νέα κατηγορία κριτηρίων (specific vulnerabilities not previously considered), τα οποία είναι καινούργια για τον χώρο» συμπληρώνει ο Δρ. Μ. Μαχαίρας.
Αυτά συνοψίζονται στα εξής:

6. «OT systems located within corporate IT networks»: Ένα ακόμα σύνηθες πρόβλημα που παρατηρείται σε αρκετές ναυτιλιακές, όπου παραδοσιακά δεν γίνεται διαχωρισμός των OT και ΙΤ δικτύων. Αυτό σημαίνει ότι το σύστημα παρακολούθησης της μηχανής μπορεί, για παράδειγμα, να συνδέεται στο εταιρικό, γενικής χρήσης δίκτυο (για email, web surfing κ.λπ.). Κάτι τέτοιο αυξάνει το attack surface, όπερ σημαίνει ότι μια επίθεση που γίνεται σε ένα email, μπορεί να ανοίξει την πρόσβαση στα ευαίσθητα λειτουργικά συστήματα του πλοίου, προκαλώντας τη δυσλειτουργία του. Η αστοχία, για παράδειγμα, του σύστήματος φόρτωσης/εκφόρτωσης ενός τάνκερ έστω και για μερικές ώρες, ενδέχεται να μεταφράζεται σε τεράστιο οικονομικό κόστος, ενώ αν γίνει hacking στο σύστημα e-navigation θα μπορούσε το πλοίο να κατευθυνθεί σκοπίμως σε περιοχές ευάλωτες στην πειρατεία.
Οι υπόλοιπες τέσσερις νέες πηγές ρίσκου συνοψίζονται ως εξής:
7. «Weak protection of the corporate IT network from OT Systems»,
8. «Lack of segmentation within OT networks»,
9. «Unrestricted outbound Internet access from OT networks» και
10. «Insecure encryption and authentication for wireless OT networks».

Διαχωρισμός δικτύων και αυστηρές διαδικασίες
«Αυτό που κάνουμε εμείς στο πλαίσιο αυτό είναι, καταρχάς, να επεκτείνουμε την πολιτική cyber security που έχουμε στο κανονικό ΙΤ δίκτυο σε οτιδήποτε μπαίνει στην πρίζα και έχει data» αναφέρει ο Δρ. Μ. Μαχαίρας. Και συμπληρώνει: «To πιο σημαντικό, ωστόσο, είναι ο διαχωρισμός των IT και OT δικτύων. Ήτοι άλλο VLAN για το ΟΤ, διαφορετικό switch σε φυσικό επίπεδο για το ΟΤ (ώστε να μην συνδέονται μεταξύ τους τα δύο δίκτυα) και συγκεκριμένα ports στο core switch του ΟΤ. Ακολουθούμε, επίσης, πολύ αυστηρές πολιτικές firewall, χωρίς ελεύθερο Internet, με συγκεκριμένα services, ports και IPs. Και, φυσικά, διαχειριζόμαστε με πολύ προσοχή και με πολύ αυστηρές διαδικασίες τις αλλαγές που πρέπει να γίνουν στο firmware και το software του ΟΤ εξοπλισμού».

Η Metrostar ακολουθεί γι’ αυτό το σκοπό τη λογική segmentation των δικτύων, προσθέτοντας ένα νέο και ανεξάρτητο ΟΤ δίκτυο. Με σημάνσεις για τα ξεχωριστά δίκτυα, προστατεύοντας αποτελεσματικά τα σημεία του ΟΤ δικτύου τα οποία, σύμφωνα με τις έρευνες, δέχονται πιο συχνά επιθέσεις: Hλεκτρονικοί χάρτες (σύστημα ECDΙS), σύστημα φόρτωσης/εκφόρτωσης (Cargo Control System) και σύστημα διαχείρισης και παρακολούθησης της απόδοσης της μηχανής (Engine Control & Performance Monitoring System). «Αυτό το υλοποιήσαμε στα δύο νεότευκτα καράβια που παραλάβαμε τον Ιούλιο του 2018, ενώ την ίδια στρατηγική θα ακολουθήσουμε και στις επόμενες παραλαβές τον Ιανουάριο του 2019 σε όλα τα μελλοντικά πλοία του στόλου μας» καταλήγει ο Δρ. Μ. Μαχαίρας.