15.05.2024 - Российский морской регистр судоходства - В фокусе внимания – кибербезопасность

С развитием автономного судоходства вопрос обеспечения кибербезопасности становится еще более актуальным. С одной стороны, при внедрении технологий автономного судовождения можно предполагать снижение вероятности возникновения киберинциденов, связанных с человеческим фактором. С другой – в случае киберинцидентов возможно ожидать более серьезных последствий ввиду расширения функций, выполняемых системами обеспечения автономного судовождения.

Причинами возникновения киберинцидентов на объектах морского транспорта могут быть как внешние целенаправленные противоправные действия в отношении конкретного судна, так и непреднамеренные действия экипажа и персонала, обслуживающего компьютеризированные системы. Среди наиболее вероятных рисков нарушения киберустойчивости – заражение вредоносным программным обеспечением (ПО) компьютеризированных систем, объединенных в единую информационную среду. Источниками заражения могут стать электронная почта, переносные USB-накопители данных и мобильные устройства.

Существенно повысить безопасность эксплуатации судна может реализация риск-ориентированного подхода, который включает периодическую оценку существующих и потенциальных киберрисков, а также внедрение соответствующих защитных мер. Так, поддержать необходимую и достаточную киберустойчивость поможет своевременное обновление программного обеспечения, а снизить вероятность заражения компьютеризированных систем вредоносным ПО – соблюдение судовым экипажем и береговым персоналом компании кибергигиены.

Например, судоходная компания должна разработать процедуры обмена информацией между судном и береговыми службами, порядок эксплуатации и обслуживания информационных систем, правила поведения в случае возникновения киберинцидентов и т.д., которые необходимо включить в процедуру обеспечения кибербезопасности и киберустойчивости на судне. Для поддержания кибергигиены также необходимо организовать подготовку персонала и проводить периодическую проверку имеющихся знаний и навыков.

Одним из факторов, который может негативно сказываться на обеспечении киберустойчивости, является недостаток специалистов по кибербезопасности в судоходной отрасли. Вместе с тем разработка и принятие обязательных требований в отношении кибербезопасности и киберустойчивости судов повысит спрос на такой персонал со стороны компаний, судостроительных заводов и проектных организаций и, как следствие, послужит хорошим стимулом для более активной подготовки кадров в этой сфере.

Учитывая важность решения задач по снижению киберрисков, международные организации морской индустрии активно ведут нормотворческую работу в этой области. Так, в 2017 году Международная морская организация (ИМО) выпустила резолюцию MSC.428(98) Maritime cyber risk management in safety management systems и первую версию циркуляра MSC-FAL.1/Circ.3 Guidelines on maritime cyber risk Management, которые содержат рекомендации по разработке и внедрению организационных мер управления киберрисками.

В ноябре 2023 года состоялся организованный ИМО симпозиум Maritime cyber security and resilience, участники которого отметили, что разработку и внедрение мер защиты на судах сегодня существенно затрудняет отсутствие достаточной статистики возникновения киберинцидентов. Специалисты подчеркнули важность анализа такой статистики и признали ее сбор одной из первоочередных задач. В частности, было предложено разработать требования об обязательном информировании со стороны компаний о возникающих на судах киберинцидентах.

С учетом важности этой задачи Российский морской регистр судоходства активно содействует развитию и продвижению нормотворческих инициатив для снижения рисков возникновения киберинцидентов в морском судоходстве. В 2021 году РС разработал Руководство по обеспечению кибербезопасности, которое применяется на добровольной основе и нацелено на формирование единого подхода к реализации мер киберзащиты при проектировании, изготовлении и эксплуатации компьютеризированных систем для судов с классом РС.

Принимая во внимание стремительное развитие цифровых технологий и их все более активное применение на судах с классом РС, в настоящий момент Регистр ведет разработку Правил по обеспечению кибербезопасности и киберустойчивости судов, гармонизированных с требованиями международных стандартов по кибербезопасности и киберустойчивости. Требования правил будут применяться к судам, контракт на постройку которых будет заключен с 1 июля 2024 г. Разработка документа ведется в рамках специально созданной рабочей группы при активном взаимодействии специалистов РС с представителями ведущих российских компаний в области информационной безопасности.

С учетом постоянного развития киберрисков невозможно гарантировать стопроцентную защиту судна от киберугроз. Однако внедрение мер обеспечения кибербезопасности и киберустойчивости и дальнейшее развитие нормативно-технических требований в этой сфере позволит в значительной степени снизить вероятность возникновения и последствия киберинцидентов, что в конечном счете будет содействовать поддержанию необходимого уровня безопасности судоходства.

Дополнительная информация: