Με την πανδημία COVID-19 και τον παγκόσμιο ψηφιακό μετασχηματισμό να δοκιμάζουν τα όρια της παγκόσμιας εφοδιαστικής αλυσίδας, ο ρόλος της εμπορικής ναυτιλίας αναδείχθηκε ζωτικότερος από ποτέ, με τις πρακτικές κυβερνοασφάλειας πολύτιμες στην προστασία της παγκόσμιας ναυσιπλοΐας.

Με την πανδημία COVID-19 και τον παγκόσμιο ψηφιακό μετασχηματισμό να δοκιμάζουν τα όρια της παγκόσμιας εφοδιαστικής αλυσίδας, ο ρόλος της εμπορικής ναυτιλίας αναδείχθηκε ζωτικότερος από ποτέ, με τις πρακτικές κυβερνοασφάλειας πολύτιμες στην προστασία της παγκόσμιας ναυσιπλοΐας.
Του Βαγγέλη Βαγγελάτου

Στο πρώτο, πλήρως ψηφιακό, Maritime Cyber Security & Safety Conference που διοργανώθηκε από την Boussias, -υπό την αιγίδα της ΑMΜITEC και του μεταπτυχιακού προγράμματος Shipping Operation Management του Cyprus International Institute of Management και σε παραγωγή του Κωνσταντίνου Μάντζιου, επιστημονικού συνεργάτη της Boussias- παρουσιάστηκαν οι προκλήσεις και η δυναμική του τομέα της κυβερνοασφάλειας στον χώρο της ναυσιπλοΐας, ενώ αναλύθηκαν οι αποτελεσματικότερες και πιο σύγχρονες πρακτικές που απαντούν στις ανάγκες ασφαλείας της παγκόσμιας Maritime επιχειρηματικής κοινότητας.

Cyber Safety Awareness
O Chief Editor του netweek, Στάθης Ασπιώτης, ήταν moderator της πρώτης ενότητας του συνεδρίου. Εστίασε στο Cyber Safety Awareness και πώς θα πάμε ένα βήμα παραπέρα τις γνώσεις μας για την κυβερνοασφάλεια. H πρώτη ομιλήτρια, η Δρ. Γιάννα Δανίδου λέκτορας cyber security, συντονίστρια του ομώνυμου Master στο European University of Cyprus, και Head of Operations στο ίδρυμα Cyber Cerides (Center of Excellence at Risk and Decision Science) ανέλυσε τον ρόλο του ιδρύματος στην ασφάλεια της ναυτιλίας στην περιοχή της νοτιοανατολικής μεσογείου. Τόνισε ότι οι κυβερνοεπιθέσεις έχουν αυξηθεί κατά 900% διεθνώς, απειλώντας συστήματα διαχείρισης και δίκτυα ελέγχου και πληροφορίας σε πλοία, λιμάνια, αποθήκες, αλλά και εγκαταστάσεις και γραφεία ναυτιλιακών εταιρειών, φέρνοντας την κυβερνοασφάλεια στο top 5 των προκλήσεων που καλείται να απαντήσει η διεθνής ναυτιλία.

Συνεχίζοντας ο Δρ. Γιώργος Μπούστρας, καθηγητής Risk Assessment στο European University of Cyprus και πρόεδρος του Cyber Cerides, ανέλυσε τους πολλαπλούς ρόλους του ιδρύματος στην έρευνα, την συμβουλευτική, την εκπαίδευση και την υποστήριξη επιχειρήσεων. Αλλά και το ρόλο του σε συνεργασία με το Prevention at Sea στην εκτίμηση κινδύνου στο χώρο της ναυτιλίας και το project Helmet, ένα πλαίσιο εκτίμησης κινδύνου για τη ναυτιλία το οποίο και εν όψη πανδημίας κατέδειξε την ανάγκη να αποκεντρωθούν εργασίες και να περιοριστεί η ανθρώπινη επαφή.

Τη σκυτάλη πήρε ο Franco Cerutti, IT Security και Operation Director Carnival Maritime της Costa Group, παρουσιάζοντας το σχέδιο κυβερνοασφάλειας της εταιρείας, που ενσωματώνει τόσο online εκπαιδεύσεις για το προσωπικό των πλοίων όσο και τη χρήση removable media και usb scanners στα ζωτικότερα μέρη των σκαφών, που συνδυάζουν custom ψηφιακά εργαλεία και τεχνητή νοημοσύνη. Σε ερώτηση του Στάθη Ασπιώτη για τις πολιτικές επιθεώρησης privileged access management, εξήγησε τον κατά προτεραιότητα ελέγχο ασφαλείας στις διασυνδέσεις σε κάθε σύστημα των σκαφών και το ιδιαίτερο βάρος που δίνεται στον περιοδικό έλεγχο των ξεχωριστών account του προσωπικού που διαρκώς αλλάζει στα σκάφη.

Ακολούθησε η αρχιτεκτονική μηδενικής εμπιστοσύνης και η εποχή που σηματοδοτεί στην κυβερνοασφάλεια της ναυτιλίας, σαν θέμα της εισήγησης του Νικήτα Κλαδάκη, Information Security Director της Netbull. Σε αυτή, η εμπιστοσύνη θεωρείται ευπάθεια και η επαλήθευση γίνεται σε 5 βασικούς πυλώνες σε επίπεδο χρηστών, συστημάτων, cloud και πλοίων, με μηχανισμούς ανίχνευσης και ανάλυσης αυτοματισμού και ενορχήστρωσης διαδικασιών. Έτσι, λύσεις τεχνητής νοημοσύνης και machine learning επιστρατεύονται για να αναλύονται ταχύτατα εκατομμύρια περιστατικά σε μια ολιστική προσέγγιση σε πολλαπλά επίπεδα.

«Το ερώτημα που ξαναμπαίνει δεν είναι αν θα γίνει η επόμενη κυβερνοεπίθεση που θα στοχεύσει στον έλεγχο ενός πλοίου, αλλά πότε, και με ποιες επιπτώσεις» ξεκαθάρισε στη εισήγηση του για την ετοιμότητα σαν παράγοντας κυβερνοασφάλειας, ο Δρ. Μάνθος Μαχαίρας, IT Manager Metrostar Management Corp, General Secretary της AMMITEC. Εξηγώντας ότι η αυτή η «ετοιμότητα» μεταφράζεται σε συγκεκριμένες διαδικασίες, με τις οποίες ένας οργανισμός έχει δοκιμάσει, πιστοποιήσει και προστατέψει τα συστήματα του, προβλέποντας, μετριάζοντας και αξιολογώντας τις κυβερνοεπιθέσεις και την ανάκαμψη από αυτές με τις ανάλογες αντιδράσεις.

Το θέμα της κυβερνοασφάλειας μεταφέρθηκε στη συνέχεια στα ίδια τα σκάφη, καθώς ο Στράτος Μαργαρίτης, Solutions Architect της Navarino, μετέφερε το θέμα «εν πλω» και ανέλυσε την κυβερνοασφάλεια επάνω στα πλοία, όπου νέες εφαρμογές τεχνητής νοημοσύνης παίρνουν το τιμόνι, στρέφοντας το προς συστήματα Endpoint Security που ελέγχουν συνολικά το πλοίο. Εκεί όπου επιστρατεύονται «όπλα» νέας γενιάς, όπως next generation firewalls σε συνεργασία με συστήματα ασφαλείας στη στεριά -σχεδιασμένα ειδικά για ανάγκες shipping- και επιπλέον συστήματα mature security που διαχειρίζονται συνολικά την κατάσταση των σκαφών και τους δικτύου τους.

Ο Χρήστος Βιδάκης, Partner, Risk Advisory και Cyber Leader της Deloitte Greece ανέλυσε το τοπίο της κυβερνοασφάλειας στη ναυτιλία και τα μαθήματα που η «πρώτη γραμμή» διδάσκει σε όσους μάχονται σε αυτό. Mε τα cyber intelligence centers της εταιρίας να εντοπίζουν αύξηση περιστατικών ransomware, shipbroker fraud, εγκατάστασης μη αναγνωρισμένων προγραμμάτων και τυχαίους παράγοντες καταστροφικών συμβάντων, σε ένα μοτίβο που αναμένεται να κλιμακωθεί μαζί με την ψηφιοποίηση της ναυτιλίας. Γι’ αυτό και η λεπτομερής ανάλυση αντιμετώπισης μια συγκεκριμένης virtual απειλής από τον Χρήστο Βιδάκη παρουσίασε ιδιαίτερο ενδιαφέρον και απέδειξε την ολιστική προσέγγιση της εταιρείας.

Λύσεις και ζητήματα Κυβερνοασφάλειας
Στη δεύτερη ενότητα του συνεδρίου ο moderator Αναστάσιος Αραμπατζής, Cybersecurity, Information Security Content Writer έθεσε το θέμα των λύσεων και των ζητημάτων που προκύπτουν στην κυβερνοασφάλεια της ναυτιλίας.

Πάνω σε αυτό, ο Δημήτρης Ξέρνος, Technology Consulting Manager της Priority παρουσίασε τα θέματα ασφαλείας που προκύπτουν από τον ψηφιακό μετασχηματισμό της ναυτιλίας. Τα πλεονεκτήματα και τις προκλήσεις που παρουσιάζει η ανάπτυξη των «έξυπνων πλοίων» και των νέων δικτύων, αλλά και της «συμβίωσης» ΟΤ και ΙΤ συστημάτων και τα πρότυπα και πλαίσια λειτουργίας που απαιτούν για να λειτουργούν με ασφάλεια.

Στη συνέχεια ο Mark Milford Vice President Cyber Security Wartsila Corporation, ιδρυτικό μέλος του Operational Technology Cyber Security Alliance (OTCSA) επικεντρώθηκε στην διαδικασία της καθοδήγησης των χειριστών συστημάτων Operational Technology (ΟΤ) σε ασφαλέστερες πρακτικές. Ανέλυσε τον τρόπο που συγκεκριμένες απειλές χτυπούν εκεί που τα όρια IT και ΟΤ συγκλίνουν και πως κατασκευαστές OEM, third party service providers και φορείς σαν την OTCSA μπορούν να τις αντιμετωπίσουν, αφού πρώτα ευαισθητοποιήσουν το maritime οικοσύστημα για την σοβαρότητα των κυβερνοαπειλών ώστε να αναλάβουν δράση.

Η κυβερνοασφάλεια σαν μέρος του valuechain ήταν το επόμενο σημείο εστίασης καθώς ο Κωνσταντίνος Βουζοπλής, Security Lead της Accenture, ανέλυσε την αξία της σαν μέρος ενός ναυτιλιακού οργανισμού και σε όλα του τα επιμέρους κομμάτια, από την σχεδίαση και κατασκευή, μέχρι την διαχείριση και την συντήρηση του. Αλλά και πώς μια λεπτομερής «χαρτογράφηση» των απειλών σε όλη την valuechain επιτρέπει στους security engineers να τις προλάβουν, με ένα ολιστικό μοντέλο ασφαλούς λειτουργία,ς όπως αυτό της Accenture. Ειδικά όταν τα οικονομικά μεγέθη που διαχειρίζονται οι ναυτιλιακές εταιρίες τις κάνει «πολλά υποσχόμενους» στόχους.

Το πρόσφατο περιστατικό του Evergiven -που έφραξε το κανάλι του Σουέζ, μπλοκάροντας σοβαρό ποσοστό της παγκόσμιας ναυτιλίας και προκαλώντας προβλήματα στην παγκόσμια εφοδιαστική αλυσίδα- ήταν το θέμα της παρουσίασης του Κώστα Γρίβα, Information Security Officer της Angelicoussis Group. Το «μάθημα» του Evergiven παρουσιάστηκε από μια διαφορετική οπτική γωνία, η οποία -και όπως έχουν ήδη εντοπίσει ήδη διεθνείς οργανισμοί και εταιρείες- δημιουργεί πολύ έντονες ανησυχίες για το πως, στο άμεσο ίσως μέλλον, τρομοκράτες, εγκληματίες ή εμπόλεμα έθνη θα μπορούσαν να εκδηλώσουν κυβερνοεπιθέσεις σε πλοία που θα μπλόκαραν στενά περάσματα και ποτάμια -chockpoints- ανά τον πλανήτη, στραγγαλίζοντας θαλάσσιες συγκοινωνίες και μεταφορές και προκαλώντας οικονομικές, αλλά και ανθρωπιστικές κρίσεις. Ενδεχόμενα που καλούν σε αύξηση των επιπέδων κυβερνοασφάλειας σε παγκόσμια κλίμακα.

Στη συνέχεια, ο Francesco Coppola, Channel Systems Engineer της Palo Alto Networks μίλησε για το cyber onboarding παρουσιάζοντας συγκεκριμένο case και το πως το χειρίστηκαν σε συνεργασία με τον συνεργάτη τους στην Ελλάδα, Pylones, ώστε να διασφαλίσουν την ασφάλεια και λειτουργικότητα πλοίων και εταιρείας από κυβερνοαπειλές, βελτιστοποιώντας ταυτόχρονα την οικονομική αποδοτικότητα των συστημάτων, με μικρότερο workload για bandwidth και υποδομές.

Η προσέγγιση της κυβερνοασφάλειας του Χρόνη Καπαλίδη, λέκτορα και ερευνητή στο WMG, University of Warwick, ακολούθησε πιο διευρυμένη. Σε αυτή εξέτασε πολλαπλά πραγματικά συμβάντα απειλών κυβερνοασφάλειας, όπως αυτά των Maersk, Cosco, MSC, Barcelona, San Diego, Carnival, αλλά και έθεσε ερωτήματα όπως το ποιος θα μπορούσε να είναι ο επόμενος στόχος και πώς θα μπορούσαμε να επιτύχουμε μεγαλύτερη ανθεκτικότητα στις κυβερνοαπειλές το 2021. Παρουσιάζοντας την κατάσταση παγκόσμια, αλλά και πως τα αποτελέσματα της ακαδημαϊκής έρευνας βρίσκουν άμεση εφαρμογή στην ναυτιλία και την ασφάλεια της σε ένα γενικευμένο Cyber Program Management System.

Ο Anil Saini, Consultant, Maritime Security and Digital Transformation εστίασε στην διατήρηση της κυβερνοασφάλειας στη ναυτιλία. Εξήγησε τους παράγοντες που κάνουν ένα στρατηγικό σχέδιο κυβερνοασφάλειας μοναδικό για κάθε ξεχωριστή εταιρεία και ποια ιδιαίτερα χαρακτηριστικά το κάνουν βιώσιμο σε αυτή, ώστε όχι μόνο να υιοθετηθεί αρχικά αλλά και να διατηρηθεί σε πλήρη λειτουργία, θέτοντας την διάρκεια και τη συνέπεια σαν βασική συνιστώσα της κυβερνοασφάλειας.

«Αυτό που βλέπετε δεν είναι αυτό που βλέπουν οι hackers», ήταν ο πρωτότυπος τίτλος της τοποθέτησης του Nadji Raib, Regional Sales Director της Scorecard. Εντοπίζοντας τη αξία μια αποστασιοποιημένης και αντικειμενικής θεώρησης του προβλήματος της κυβερνοασφάλειας, μίλησε για την πολύτιμη οπτική της εταιρείας-στόχου, μέσα από τα μάτια του «επιτιθέμενου» και τα «τυφλά» στην άμυνα της σημεία που αποκαλύπτει μια τέτοια προσπάθεια. Αλλά και πώς από αυτή την οπτική γίνεται και ορατή η ανάγκη για αντικειμενική αξιολόγηση της κυβερνοασφάλειας των εταιρειών από third party auditors που -όπως προέβλεψε- σύντομα θα θεωρείται απαραίτητη όσο και το credit assessment μιας επιχείρησης.

«Μπορεί η πρόκληση της κυβερνοασφάλειας να γίνει από πρόβλημα, business enabler;» αναρωτήθηκε ο Παύλος Γεράρδος, IT Infrastructure Supervisor & Information Security Officer της Thenamaris Ship Management παρουσιάζοντας την προσέγγιση της εταιρείας στο ζήτημα της κυβερνοασφάλειας και τις προκλήσεις του ναυτιλιακού κυβερνοτοπίου. Αλλά και την θεώρηση της κυβερνοασφάλειας όχι σαν πρόβλημα, αλλά σαν ευκαιρία ανάπτυξης, αφού η ενημέρωση δίνει την δυνατότητα για προετοιμασία και αφήνει ελάχιστα στην τύχη, αναπτύσσοντας ευελιξία και εμπιστοσύνη στο χώρο που θα φέρει μια «ψηφιακή ωριμότητα». Σε μια αέναη διαδικασία ενημέρωσης εκπαίδευσης και συζήτησης με όλο το supply chain, την οποία ο ίδιος περιέγραψε ως «έναν ατελείωτο μαραθώνιο στον οποίο ξέρουμε ότι μερικές φορές θα χρειαστεί να σπριντάρουμε».

Cyber Security Onboard and Ashore
Το τρίτο και τελευταίο μέρος του συνεδρίου, που συντόνισε ο moderator Ισίδωρος Μονογιούδης Information Security Director της Digital Shadows και εισηγητής στο Hellenic American University σε θέματα κυβερνοασφάλειας, ήταν αφιερωμένο στο Cyber Security Onboard and Ashore.
«Control your ship before they do» ήταν η προτροπή και θέμα της εισήγησης του Γιάννη Κούκουρα Managing Director της εταιρίας TwelveSec, o οποίος παρουσίασε ένα ενδιαφέρον case study πάνω σε υπάρχοντα security assessments ενός περιστατικού πραγματικού πλοίου (με παραποιημένη ταυτότητα για ευνόητους λόγους), όπου ο ελεγκτής προσπαθεί δοκιμαστικά να πάρει τον έλεγχο του σκάφους εντοπίζοντας όλα τα entry points πριν από τους «επιτιθέμενους», τόσο εξ αποστάσεως όσο και με επίσκεψη του επάνω στο πλοίο. Και στη συνέχεια τα ιδιαίτερα ενδιαφέροντα αποτελέσματα και τις διαπιστώσεις αυτού του real life security stress test.

Στη συνέχεια η Χαρά Βασιλειάδου, Commercial Director της Census S.A. αναρωτήθηκε «Is it Drill you’re looking for?», παίζοντας με το γνωστό τραγούδι του Lionel Richie για να προκύψει ο τίτλος της εισήγησης της. Μέσω αυτού και με μια πετυχημένη αναλογία πάνω στους στίχους του «Hello» περιέγραψε -με ιδιαίτερα πρωτότυπο ομολογουμένως τρόπο- πως ως εταιρεία συνοδεύουν τους συνεργάτες τους στο ταξίδι προς τη cyber security maturity μέσα από ειδικά drills και με την εξειδίκευση τους στα vulnerability researches.

Στον αντίποδα -από πλευράς ατμόσφαιρας- ο Dr. Eyal Pinko, President of International Institute for Migration and Security, μίλησε για την κυβερνοασφάλεια σε έναν μεταβαλλόμενο κόσμο με σκοτεινότερους όρους cyber warfare. Έχοντας υπηρετήσει στο Ισραηλινό ναυτικό, υπηρεσίες ασφαλείας, αλλά και ως σύμβουλος στο Israel Cyber National Directorate, έδωσε την οπτική του επιτιθέμενου σε πλοία και εγκαταστάσεις. Εστιάζοντας και πέρα από την αυστηρά τεχνολογική διάσταση του θέματος και έξω από τα «νερά» της εμπορικής ναυτιλίας σε αυτή του γενικευμένου κυβερνοπολέμου των θαλασσών, όπου σημειώνεται διπλασιασμός των κυβερνοεπιθέσεων τα τελευταία χρόνια, και γίνονται στόχος ακόμη και πολεμικά πλοία μέσω δορυφόρων και καλώντας σε γενική επαγρύπνηση πέρα από την απλή εφαρμογή των κανονισμών ασφαλείας.

Ο Αναστάσιος Αραμπατζής Cybersecurity, Information Security Content Manager, στην τοποθέτηση του περιέγραψε το Maritime Cyber Resilience σαν στρατηγικό πλεονέκτημα. Όχι μόνο γιατί η «ανθεκτικότητα» απέναντι στις απειλές βρίσκεται ήδη στις οδηγίες του ΙΜΟ, αλλά γιατί, όπως είπε χαρακτηριστικά, «είτε μας αρέσει είτε όχι οι κυβερνοεπιθέσεις θα συμβαίνουν».
Οι τέσσερις μεγαλύτερες παγκοσμίως στο χώρο της ναυτιλίας έχουν ήδη πέσει θύματα επιθέσεων, μαζί με λιμάνια και εταιρείες κρουαζιέρας, με τις επιθέσεις να εντείνονται λόγω CΟVID-19 και να συνδυάζουν και ψηφιακή με τη φυσική μορφή. «Συνεπώς είναι σημαντικό να περάσουμε από την πεποίθηση ότι θα σταματήσουμε όλες τις κυβερνοεπιθέσεις να αναπτύξουμε μια νέα κυβερνοκουλτούρα, στην οποία θα μάθουμε να λειτουργούμε παρά αυτές». Η βασική ιδέα είναι να συνεχίσει η λειτουργία παρά την επίθεση, αφού η απόλυτη αποτροπή της επίθεσης είναι αδύνατη πια. Ιδιαίτερα ενδιαφέρον είναι ότι ακούστηκε ο όρος cyber fatigue, η «κυβερνοκούραση» που προκύπτει όταν μια επιχείριση «καίγεται» προσπαθώντας σε μια υπερπροσπάθεια επίτευξης της «παραδοσιακής» κυβερνοασφάλειας, να ετοιμαστεί όλες τις πιθανές απειλές, χωρίς να τις ιεραρχεί.

«Μεγάλα καράβια –μεγάλες φουρτούνες» είπε χαρακτηριστικά για το μέγεθος των ρίσκων που πρέπει να αντιμετωπίζει η ναυτιλία συνεχώς, ο Χρήστος Συγγελάκης, Chief Information Security Officer & Data Protection Officer της Motor Oil Hellas Group of Companies, προσπαθώντας σε μια ψύχραιμη προσέγγιση να παρουσιάσει το ζήτημα της κυβερνοασφάλειας από την «πλευρά του πελάτη». Στην εισήγηση με τίτλο Lessons Learned for Cyber Safety Prevention, αναρωτήθηκε για τη φύση του προβλήματος, αλλά και τις αλλαγές στον τρόπο που οι key players πρέπει να υιοθετήσουν στην προσέγγιση του, ώστε να του δώσουν την πραγματική του διάσταση. Στις πολύτιμες «συμβουλές προς τους ναυτιλλομένους και CEO» ξεχώρισαν ότι η επιστήμη της τεχνολογίας είναι πολυδιάστατη και με «ειδικότητες». «Εξ ου και δεν ζητάμε από τον υπεύθυνο ΙΤ να αντιμετωπίσει το Cyber Security, γιατί δεν είναι απλώς IT security. Είναι πρόβλημα εταιρικό, άρα απαιτεί στρατηγική, εφαρμόσιμη πολιτική, στόχο και σχέδιο ανάκαμψης. Υπεύθυνη για τα οποία είναι η ανώτατη διοίκηση. Η οποία πρέπει να προσφύγει σε ειδικούς επαγγελματίες στη κυβερνοασφάλεια, γιατί το Cybersecurity είναι μια μόνιμη μακροχρόνια και όχι πυροσβεστική ανάγκη».