Στα πλαίσια της διαχείρισης της ασφάλειας του θαλάσσιου περιβάλλοντος και της ναυτιλιακής ιδιοκτησίας ο ΙΜΟ έδωσε διορία στην αγορά της ναυτιλίας, να ενσωματώσει πρακτικές κυβερνοασφάλειας, εντός των συστημάτων ασφαλείας των πλοίων.

Εν συνεχεία η MSC (Επιτροπή Ναυτικής Ασφάλειας) πρακτικά ενέκρινε τις απαιτήσεις του Κώδικα ISM, μέσω του ψηφίσματος MSC.428 (98), καθιστώντας τον στόχο ακόμη πιο δομημένο. Στην πράξη πλοιοκτήτες και εφοπλιστές θα πρέπει να έχουν διασφαλίσει ότι μπορούν να διαχειριστούν το ρίσκο και την ασφάλεια των συστημάτων που διαλειτουργούν σε επίπεδο πληροφορίας, μέσω των συστημάτων ασφαλείας τους, το αργότερο έως την πρώτη ετήσια αναθεώρηση του Document of Compliance που ακολουθεί την 01/01/2021.

Την περίοδο που διανύουμε το Cyber Safety και το Risk Management αποτελούν ήδη μέρος ελέγχου από Oil Majors (TMSA v.3, Element 13) και σύντομα τέτοιες πρακτικές θα υιοθετηθούν ως υποχρεωτικές απαιτήσεις ελέγχου, καλύπτοντας τις ακόλουθες κατηγορίες πλοίων:

  • Επιβατηγά πλοία, συμπεριλαμβανομένων των επιβατικών μεταφορών υψηλής ταχύτητας.
  • Πετρελαιοφόρα, χημικά δεξαμενόπλοια, πλοία μεταφοράς αερίου, πλοία χύδην φορτίου και μεταφορικά μέσα 500 GRT και άνω.
  • Άλλα φορτηγά πλοία και κινητές μονάδες γεώτρησης ανοικτής θάλασσας 500 GRT και άνω.

Σε αυτό το σημείο θα πρέπει να γίνει μια ειδική αναφορά, καθώς ο Κώδικας ISM αναφέρεται σε Cyber Safety και Cyber Risk Management. Πάραυτα, η αγορά πληροφορικής δείχνει να έχει παρερμηνεύσει τις επιταγές του Κώδικα ISM, δίνοντας έμφαση στο Cyber Security .

Ξεκαθαρίζοντας λίγο περισσότερο τα πράγματα αναφέρεται πως το Cyber Safety αφορά στην ικανότητα ενός οργανισμού να ενεργεί με ασφάλεια και υπευθυνότητα σε επίπεδο διαλειτουργικότητας συστημάτων που διαχειρίζονται ψηφιακή πληροφορία. Επιπλέον το Cyber Risk Management αφορά στη διαχείριση του εντοπισμένου κινδύνου από την άποψη της πιθανότητας εμφάνισης του σε σχέση με μια αρχιτεκτονική, ενώ παράλληλα καταβάλει συντονισμένες προσπάθειες για την ελαχιστοποίηση, την παρακολούθηση και τον έλεγχο των επιπτώσεων. Τέλος ξεκαθαρίζεται οριστικά πως το Cyber Security είναι μέρος του Safety & Risk Management καθώς αφορά στις τεχνικές και τεχνολογίες προστασίας υπολογιστικών συστημάτων, δικτύων και δεδομένων από μη εξουσιοδοτημένη πρόσβαση ή επιθέσεις που αποσκοπούν στην εκμετάλλευσή τους. Πρέπει να γίνει αντιληπτό πως σε ένα πληροφοριακό οικοσύστημα το οποίο βρίσκεται στη θάλασσα, δεν αρκεί το CIA triad που συναντούμε σε shore-side επίπεδο. Οι υποδομές και διαδικασίες ελέγχου που πλέον απαιτούνται σε ένα πλοίο επεκτείνουν το triad σε Confidentiality, Integrity, Availability, Reliability, Auditability και Security, για τα συστήματα που διαλειτουργούν και τη πληροφορία που συναλλάσουν μέσω υποδομών IT. Από την άλλη πλευρά δε φαίνεται η διοίκηση της αγοράς της ναυτιλίας να έχει καταλάβει ουσιαστικά τι σημαίνει αυτό το ορόσημο. Για αρχή ο ρόλος του IT management αλλάζει οριστικά. Για τη Ναυτιλιακή βιομηχανία η έννοια ασφάλεια είναι ισοδύναμη της έννοιας ποιότητα.

Ως συνέπεια αυτού το IT αποκτά ουσιαστική θέση στην αλυσίδα αξίας των Ναυτιλιακών Επιχειρήσεων. Στην πράξη, από το 2021 και μετά, η μη συμμόρφωση θα επηρεάσει την ποιότητα των Ναυτιλιακών επιχειρήσεων, από το HSQE μέχρι το Operations, και σε βάθος χρόνου ακόμη και το Chartering. Εφόσον πρακτικά ο ρόλος του IT αλλάζει σε μια Ναυτιλιακή Επιχείρηση, είναι αναμενόμενο η ευθύνη περί συμμόρφωσης και μετασχηματισμού να ξεκινήσει από τα τμήματα IT. Ένας ΙΤ manager Ναυτιλιακής καλείται να επαναπροσδιορίσει τον ρόλο του και να συμπεριφερθεί όπως οι υπόλοιποι managers που συμμετέχουν ενεργά στην αλυσίδα αξίας. Ο IT manager πρέπει να καθορίσει τους στόχους του με ποσοτικό και ποιοτικό τρόπο, ορίζοντας KPIs που μπορούν να διατηρηθούν στο διηνεκές, συμβάλλοντας σε ένα υγιές SMS.

Μία τυπική λίστα σημείων ελέγχου αντικατοπτρίζοντας πλήρως τις επιταγές του ISM Κώδικα, έχει ήδη δώσει το IMCA. Συγκεκριμένα απαιτείται:

  • Inventory of Authorized and Unauthorized Devices Actively Managed.
  • Inventory of Authorized and Unauthorized Software Actively Managed.
  • Secure Configurations for HW and SW on Workstations and Servers.
  • Malware Defenses & Boundary Defenses.
  • Application Software Security.
  • Wireless Access Control.
  • Data Recovery Capability.
  • Secure Configurations for Network Devices.
  • Limitation and Control of Access to Network Ports.
  • Maintenance, Monitoring and Analysis of Audit Logs.
  • Control the Use of Administrative Privileges.
  • Control Access Based on Need to Know.
  • Account Monitoring and Control.
  • Data Protection.
  • Incident Response and Management.
  • Secure Network Engineering.
  • Security Skills Assessment & Training.
  • Continuous Vulnerability Assessment and Remediation.
  • Red Team Exercises.

Συνεπώς για να επιτύχει ένας IT Manager τα ανωτέρω διατηρώντας υψηλά επίπεδα Confidentiality, Integrity, Availability, Reliability, Auditability και Security θα χρειαστεί να επαναπροσδιορίσει τα ΙΤ περιβάλλοντα των πλοίων στις παρακάτω διαχειριστικές κατευθύνσεις.

  • Homogeneity in Architecture, Assets & Policies Management.
  • ICT Standardization and Governance.
  • ICT Hygiene vs Threat Vectors (Threat Intelligence).
  • Systems State & Security Continuous Monitoring.
  • Live Systems & Software Update/Configuration Management.
  • Systems, Applications and Software Test Environments Prior Deployment.
  • Change Controls and Methods for Systems and Software.
  • Live Data & ICT Protection.
  • Disaster Recovery in Place and Always Active.
  • Identity Governance and Management.
  • Risk & Vulnerability Assessment.
  • Live Camera Auditing for Incident Response.
  • Minimization of Service Attendances Needed.
  • 24/7 Systems Visibility and Proactive Response Practices.
  • Concurrent IT and Comms Management.
  • Processes on USB Logical and Physical Controls.
  • Seamless Ship-Shore Collaboration.

Βλέποντας πλέον τον όγκο των υπηρεσιών που απαιτούνται σε συνάρτηση με τις υποδομές, είναι λογικό να αντιληφθούμε ότι τυπικά, μια ναυτιλιακή εταιρεία χρειάζεται αρκετούς υπαλλήλους να απασχολούνται αποκλειστικά με την πληροφορική των πλοίων, κάτι το οποίο επιχειρησιακά είναι πολύ πιθανό να μην ασπαστεί η διοίκηση.

Ένας IT Manager θα πρέπει να μετρήσει τις δυνατότητές του και της ομάδας του, σχετικά με την διαχείριση των νέων απαιτήσεων, και ως εκ τούτου να παρουσιάζει επιχειρησιακή ευελιξία, παρέχοντας παράλληλα ένα βέλτιστο και ομοιογενές επιχειρησιακό αποτέλεσμα προς την εταιρεία.

Εφόσον έχει εντοπιστεί τι μπορεί και τι δε μπορεί να υποστηρίξει μια Ναυτιλιακή Επιχείρηση σε επίπεδο στόλου, θα πρέπει διαχειριστικά να καλύψει τις απαιτήσεις αναζητώντας υποστήριξη και συνεχή μεταφορά τεχνογνωσίας από την αγορά.

Μια ομάδα με τις παρακάτω αξίες, παρουσιάζοντας επιχειρησιακά Shared Resource & Selective Outsourcing μοντέλο παροχής υπηρεσιών, με εμπειρία σε εν πλω συστήματα, δύναται να ενισχύσει on demand τον ΙΤ Manager στα σημεία όπου παρουσιάζει αδυναμίες. Ενδεικτικά χαρακτηριστικά είναι τα κάτωθι:

  • Team Reputation & No Customer Dropouts.
  • Flexible and Real Financial Tools for Customers.
  • Tailored Contractual Responsibilities.
  • Tailored Customer Experience.
  • ITIL Oriented Support Center & Live 24/7 Reports.
  • Combined IT & SatComms Engineering Expertise.
  • Prince2 Framework on Projects Implementation.
  • Continuous Know-how Transfer.
  • Compliance Guidance & Reporting.
  • IT – HSQE Interfacing Guidance.
  • Direct Support to Vessel Team.
  • Training Support to Customer.

Έχοντας ερμηνεύσει ακριβώς το στόχο του Κώδικα ISM στην κατεύθυνση του Cyber Management και Risk Assessment, είναι πλέον ξεκάθαρο πως πρακτικά η συμμόρφωση αποτελεί μια προσεκτική απόφαση σε επίπεδο management, και αφορά στην προσεκτική επιλογή εξειδικευμένων συνεργατών, καθώς ελάχιστοι μπορούν να εγγυηθούν την απρόσκοπτη, αδιάλειπτη και μη διαβλητή λειτουργία ενός ολοκληρωμένου πληροφοριακού οικοσυστήματος το οποίο βρίσκεται ανοικτά της θάλασσας, χωρίς να υπάρχει φυσική δυνατότητα παρέμβασης.

    Tου Παναγιώτη Γαβαλά, Director of Operations της IQ Solutions S.A.