Кибербезопасность суперяхт сегодня: мнения экспертов

Электроника и софт
Следующая статья

Подлинная аристократия

Предыдущая статья

Игорь Мельцер — о рыбной кухне в России

Тема кибербезопасности в морской индустрии — новая и весьма популярная. Несколько лет назад никто и не думал, что наряду с декарбонизацией судоходства она выйдет на первый план, однако постепенно пришло осознание: игнорировать защиту судов и объектов морской инфраструктуры от киберпреступников больше нельзя.

Мы живем во времена, когда целые экономики становятся все более зависимыми от массивов данных, и морской сектор в полной мере ощущает на себе эту трансформацию. Судостроение стремительно прогрессирует, и, хотя цикл проектирования здесь нередко занимает годы, современное прогулочное или коммерческое судно без цифровых технологий немыслимо. Причин для глубокой цифровизации флота множество. Среди них — возможность точно знать обстановку на отдельном судне в любой момент и координировать флот; доступность телеметрии и анализа ее данных для оптимизации конструкции, удаленной диагностики и превентивного сервиса; улучшение связи между судами и наземными службами, а также удаленное управление беспилотными судами. Все это позволяет детально видеть общую картину, повышать безопасность экипажей и пассажиров, обеспечивать сохранность грузов и уменьшать негативное влияние судоходства на окружающую среду.

Но на каждый плюс найдется свой минус, и опасностям, связанным с уязвимостью цифровых технологий в море, постепенно начинают уделять внимание надзорные органы. В январе этого года вступили в силу новые требования IMO, и теперь владельцы яхт водоизмещением 500 рег. т и более уже не смогут относиться к обеспечению их кибербезопасности (КБ) спустя рукава. Нельзя сказать, что эта новость упала как снег на голову: «шевеление» началось пять лет назад, когда вышла первая рекомендательная директива IMO по управлению киберрисками в море. Впрочем, капитаны отмахивались от нее со словами: «Не дергайте меня по этим пустякам, которыми должен заниматься IT-инженер! Мой корабль — это автономный остров в океане, и ему не страшны кибератаки!»

Однако теперь, когда цифровая связь в океане давно превратилась из роскоши в жизненную необходимость, а кибербезопасность официально стала одной из составляющих мореходности, игнорировать ее больше не получится. Процесс запущен, и вот что думают по этому поводу эксперты из разных сфер.

Кевин Джонс, профессор, руководитель междисциплинарной исследовательской группы Maritime Cyber Threats в университете Плимута (Великобритания), ведущий научный сотрудник проекта Cyber-SHIP Lab

Кто-то спросит: разве проблема кибербезопасности судов еще не решена? Ведь на суше этими вопросами занимаются уже давно. Нет, не решена и требует особого внимания. Вопросы кибербезопасности в IT (всего, что касается компьютеров, сетей, систем хранения данных и т. д.) действительно хорошо изучены: эта область быстро развивается и постоянно обновляется, чтобы соответствовать новым требованиям. Поэтому если речь идет о защите цифровой инфраструктуры, скажем, сидящих на берегу управляющих компаний, вполне допускается использовать принятый в IT подход.
Однако в морском секторе есть и другая область — Oрeration Technology (OT), которая охватывает киберфизические системы, где компьютеры управляют механизмами, например «умными» кранами. Считается, что объекты OT более уязвимы, чем IT, но беззащитными их тоже назвать нельзя. Проблемы безопасности в ОТ понятны и во многом решаются сходными способами, например через контроль доступа к объектам с помощью межсетевых экранов (файрволов). Но вот последствия атаки на ОТ могут оказаться гораздо серьезнее. Одно дело, если взломали компьютер бухгалтера и вывели из строя систему начисления зарплаты, но совершенно другое, когда преступники направили беспилотный автомобиль в толпу людей.

Суда отличаются долгим сроком службы, поэтому их время от времени переоборудуют, заменяя морально устаревшие технологии новыми. А значит, проектировщики не могут закладывать кибербезопасность в дизайн систем, вынужденно довольствуясь компромиссами. Во-вторых, суда невероятно разнообразны: от маленьких рыбацких лодок, где владельцам приходится «втыкать» электронику только из-за того, что этого требует закон, до суперсовременных пассажирских лайнеров и суперяхт, вычислительная мощность на борту которых может превышать таковую у небольших городов. Наконец, фундаментальное отличие корабля как цели для кибератаки состоит в его мобильности.
В мире нет фабрик или офисных зданий, которые утром начали бы работать на побережье Англии, а через три недели чудесным образом оказались, к примеру, в Шанхае, где совершенно иное окружение с другим профилем киберрисков. А ведь по пути еще были остановки, менялись экипаж, пассажиры, груз… Именно это уникальное свойство не позволяет использовать в морском секторе те же подходы обеспечения КБ, что и на суше. Таким образом, если вы считаете, что кибербезопасность — это целиком техническая проблема IT, то вы совершенно не понимаете ее суть.

Мне доводилось общаться с представителями судоходных компаний, которые платили шестизначные суммы за тестирование уязвимостей своих судов. Они очень удивлялись, когда я, не вставая со стула, перечислял им результаты всех этих тестов. Дело в том, что уязвимости судовых систем очевидны, и дорогие пентесты (penetration test) не добавят вам новых знаний. Здесь нужен другой подход, и в рамках проекта MaCRA (A Model-Based Framework for Maritime Cyber-Risk Assessment) мы оцениваем риски на базе математических моделей, где учтены присущие судам системы вроде AIS, ECDIS, IBS Internet, GNSS и GMDSS с их особенностями и уязвимостями. Выстраивая стратегию защиты, важно понимать, кто и зачем может атаковать ваше судно.

Правительственным APT-группировкам морской транспорт, скорее всего, не интересен, а у «школьников-любителей» вряд ли есть достаточная квалификация. Будут ли вас ломать ради получения денег или физического повреждения судна? А может, цель кибератаки будет в том, чтобы запутать и отвлечь экипаж от чего-то более важного? Все это учитывается в модели, которая позволяет получить профиль рисков для отдельного судна или флота при конкретных обстоятельствах.
В рамках проекта Cyber-SHIP, в котором участвуют производители оборудования, верфи, страховщики и классификационные общества, мы организовали лабораторию, где выявляем фактические уязвимости для существующих судов и изучаем новое оборудование, причем делаем это вместе с представителями индустрии и надзорных органов. Мы не занимаемся симуляцией уязвимостей, но ищем их в реальном корабельном «железе», используя специфическое оборудование и ПО.
К сожалению, развитие КБ в морском секторе связано еще и с тем, что нет ни общей базы, где были бы собраны и описаны киберинциденты, ни законов, заставляющих судовладельцев раскрывать эту информацию. А ведь происшествий много, и даже когда о них сообщают, то стараются выдать за неисправность оборудования или ошибку экипажа, но никак не за проблему с КБ.

Ник Помпонио, операционный директор CSS Platinum

Стопроцентную кибербезопасность обеспечить невозможно. Даже на самом высоком уровне, когда целью выступают правительственные организации, полностью предотвратить атаку не помогут ни огромные бюджеты, ни тысячи сотрудников со связями по всему миру. В среде крупных корпораций, которые отчисляют серьезные средства на организацию защиты и соблюдение процедур, ситуация не сильно выделяется. Взять хотя бы атаку на системы регистрации на рейсы British Airways: она парализовала работу компании, что эхом отозвалось на всей авиаиндустрии.

Судоходство стоит еще на уровень ниже. Бюджеты там меньше, хотя в управляющих компаниях и на борту судов есть ответственные за КБ сотрудники. Пример атаки на Maersk показывает, что даже крупный бизнес можно заставить почти на сутки остановить работу, нарушив тайминг логистических цепочек. Потери от подобных атак могут исчисляться миллиардами долларов. В случае суперяхт все еще хуже: бюджеты на КБ сравнительно небольшие, собственных квалифицированных специалистов почти нет, поэтому безопасность обеспечивают привлеченные компании. Последствия менее серьезны, но злоумышленники рассматривают крупные яхты как интересную цель, поскольку персональная или связанная с бизнесом владельца информация может оказаться ценным товаром.

Самый недооцененный риск в плане КБ связан с людьми. Мы все прекрасно знаем, что в экипажах существует текучка кадров, что члены команды приносят на борт личные смартфоны, планшеты, ноутбуки и подключаются к беспроводным сетям. Иногда подключаются туда, куда не должны, и делают онлайн что-то, что не должны бы делать. Человеческий фактор первичен, а потому на каждой яхте должны быть четкие правила, определяющие, что можно делать, а что нельзя.

Одно из самых распространенных заблуждений состоит в том, что кибербезопасностью на яхте должен заниматься IT-инженер. Люди не понимают, что это абсолютно разные функции, разная подготовка и знания! Другое заблуждение — психологического свойства, когда люди свято верят в то, что взломать могут кого угодно, но только не их. Тем, кто так считает, важно понять: киберпроисшествия случаются ежедневно, и однажды жертвой окажутся именно они. Каждый раз, когда вы видите в ящике фишинговое письмо, кто-то целится в том числе и в вас, надеясь заполучить деньги, информацию, ресурсы или что-то еще. Поэтому за собственной кибербезопасностью нужно следить так же, как вы следите за сохранностью денег на своих счетах.

Питер Саутгейт, региональный директор Регистра Каймановых островов

Сам по себе перехват чьих-то денег в результате успешной фишинговой атаки формально не считается проблемой, связанной с безопасностью судна, но такие случаи косвенно указывают на присутствие других уязвимостей. Ведь если злоумышленники смогли получить доступ к счетам, то, возможно, сумеют добраться до ECDIS или других критически важных бортовых систем.

Теперь, когда действуют новые требования IMO, в ходе аудита мы станем проверять документы по стратегии и процедурам КБ не только на уровне управляющей компании, но и на борту судна. Однако проблема в том, что рекомендации для них пока не разработаны, а значит, и проверять будет сложно. То же касается и обучения экипажа: единых рекомендаций касательно квалификации ответственных сотрудников у нас нет. Если у капитана должен быть диплом судоводителя, то что требовать от инженера по КБ?

К счастью, Международный кодекс по управлению безопасной эксплуатацией судов предоставляет естественную структуру для создания стратегий и процедур обеспечения кибербезопасности. В каждом его разделе есть инструмент, который можно применить в контексте КБ. Это и документация, и частота ее обновления, и ответственные сотрудники. Да, инспекторы регистров не являются специалистами по КБ, но, задавая правильные вопросы из разряда «А что, если?..», они могут дать качественную оценку положения дел и оценить риски. Я надеюсь, что уже за этот год мы многому научимся.

Надзорным органам, таким как регистры, прежде всего важна безопасность людей, а не -чьи-то потерянные деньги, поэтому на возможность случайного внедрения вредоносного ПО во время обновления ECDIS мы обращаем не меньше внимания, чем на активные атаки извне.

Марк Октон, директор по безопасности Infosec Partners Group

Мы работаем в разных индустриях, и на общем фоне средний уровень обеспечения кибербезопасности в морском секторе выглядит чрезвычайно низким в том числе потому, что до недавнего времени эта область никак не регулировалась. У одних защита выстроена прекрасно, у других ее почти что нет, и зачастую даже на крупных и дорогих судах уровень КБ гораздо ниже ожидаемого.

В 2019 году мы участвовали в Monaco Yacht Show и провели там простейший пассивный аудит безопасности доступных Wi--Fi-сетей. За несколько минут мы просканировали более 600 сетей. Лишь 17 из них были надежно защищены, а к остальным мы могли бы легко получить доступ. Но больше всего нас шокировало то, что через них наружу «торчали» критические объекты бортовой IT- и OT-инфраструктуры вроде систем управления судном и двигателями! Казалось бы, очевидно, что злоумышленники захотят воспользоваться выставочной суетой и доступностью яхт, дабы попытаться обнаружить и атаковать уязвимые объекты. Однако об этом никто даже не задумывается.

Еще одно популярное на яхтах решение сводится к тому, чтобы создать изолированную Wi--Fi-сеть, назвать ее, скажем, M/Y Honor Owner, дать ей «жирный» канал и сказать владельцу, что к этой сети никто, кроме него, не может подключиться. Казалось бы, отличная идея?! Но любой хакер или аналитик легко идентифицирует устройства владельца в любой момент времени!

Такие вещи в индустрии суперяхт встречаются повсеместно. Авиация, банковская сфера и многие другие отрасли давно и очень строго регулируют аспекты КБ, но не морской сектор. Пока прогрессивные компании стремятся к цифровой трансформации и хотят выйти из старого мира с его лишенными стратегического зрения айтишниками в новый, с надежной проактивной защитой, в яхтенной сфере доминирует подход «лучше не связываться с этим, чтобы все не поломать». И со временем риски лишь накапливаются…

Общаясь с управляющими компаниями и экипажами на тему КБ, мы почти никогда не слышим от них слово «мотив». А ведь, не зная, что и от чего защищать, очень сложно выстроить адекватную стратегию. Люди предпочитают обсуждать вирусы, шифровальщики и прочие понятные инструменты, потенциальный вред от которых можно хоть как-то оценить. Но существуют более серьезные опасности, когда злоумышленники ищут способ увести деньги, вывести из строя бортовые системы, получить доступ к личным данным владельца и гостей, включая историю местоположений. Причем последнее даже не подразумевает взлом: это можно сделать вполне легально. А если это чартерная яхта и кто-то арендовал ее накануне, чтобы запустить в сеть «вредоноса», зная, что следующий чартер будет ваш? Или -кто-то взял эту яхту после вас, чтобы узнать, чем вы занимались и какие ресурсы посещали?

При этом на предложение усилить защитную инфраструктуру нам часто отвечают, что до сих пор атак на яхту не было и всех все устраивает. Но откуда вы знаете, что в бортовые сети никто не проникал? Мы ежедневно наблюдаем многовекторные атаки на электронном, информационном и физическом уровнях. Они организованы для того, чтобы отвлечь и запутать сотрудников, а потом под шумок инициировать кибератаку. И если персонал (как правило, это разные люди, отвечающие за разные аспекты безопасности объекта) не способен распознать комплексную атаку и обеспечить комплексный ответ, то о надежной защите говорить не приходится.

Даже если вероятность атаки на вашу яхту мала, ее не стоит списывать со счетов, как не стоит думать, что выстраивание адекватной защиты — невероятно сложный процесс. На самом деле все не так сложно, если разработан четкий план и есть люди, которые понимают характер опасностей и знают, как на них реагировать. Когда принимают новые требования в любой индустрии, люди начинают нервничать. Сейчас даже у IMO нет четкого понимания, как принуждать к исполнению директивы. Это нормально, и пока эта неопределенность остается, я советую обеспечить планирование мероприятий по КБ хотя бы на базовом уровне, ведь позже, когда надзорные механизмы наладят, начинать с нуля будет куда сложнее. Это стандартный процесс, через который нужно пройти, и в морском секторе он не отличается от других.

Алекс Мартин, руководитель технической команды Infosec Partners UK

Как скомпрометировать суперяхту? Очень просто! Покупаем для этого устройство, которое позволяет просканировать локальные беспроводные сети; находим сеть, предположим, с названием M/Y Honor Owner, а затем нажатием кнопки создаем ее клон, после чего генерируем помехи на исходной частоте. Теперь все пользователи, которые были подключены к оригинальной сети, автоматически переподключатся на ее клон, и мы можем перехватить весь их трафик. Останется лишь его проанализировать, посмотреть сайты, которые посещали пользователи, и узнать, что владелец, например, сидел в Tinder и просматривал определенные профили.

Параллельно, вычислив членов экипажа в Linkedin, мы можем узнать адреса их электронной почты и запустить фишинговую кампанию, рассылая зараженный документ MS Word, который после открытия на локальном компьютере создает DNS-туннель, позволяющий нам обойти файрвол и получить интересующие нас файлы, например зарплатную ведомость экипажа и другие финансовые документы. После того как мы выгрузим с зараженного компьютера все, что нужно, запустим в бортовую сеть шифровальщика. Напомню, что при этом штатный файрвол (и персонал!) уверен в том, будто ничего не происходит, и по 53‑му порту идет безобидный трафик протокола разрешения доменных имен.

Чтобы избежать этих проблем, достаточно использовать специализированные решения, например файрволы, умеющие инспектировать трафик, не допуская его маскировки. Существует целый ряд комплексных решений вроде Fortinet Fabric, позволяющих отследить подозрительную активность, быстро установить, каких пользователей и устройств она касается, и принять предупреждающие меры.

Кори Ранзлем, генеральный директор International Maritime Security Associates

Самый популярный вектор атак в случае суперяхт и вообще морского сектора — это Man in the Middle, когда злоумышленник перехватывает почтовые сообщения, подменяет одного из собеседников и перемещает денежные средства, например оплату за чартер или другие услуги, на офшорные счета. Но целью могут стать люди, осуществляющие менеджмент критически важного оборудования. Однажды мы были на яхте, где нам долго рассказывали, что их ECDIS в ходовой рубке не подключен к общей сети и что все обновления ПО и карт происходят в режиме офлайн. Мы сидим, слушаем и вдруг видим, как кто-то пытается подключиться к управляющему ECDIS компьютеру через TeamViewer… Это прекрасная иллюстрация того, что люди зачастую совершенно не понимают, как устроены и взаимодействуют сети и что к чему подключено. У вас могут быть лучшие файрволы, но если сотрудники не знают векторы возможных атак и переходят по ссылкам в фишинговых письмах, собственноручно открывая преступникам дверь, никакое оборудование не поможет.

Пит Мерфи, генеральный директор Priavo

Угрозы изнутри не менее опасны, чем атаки извне, поэтому владельцы яхт должны хорошо понимать, что за люди работают у них в экипаже, и проверять их биографию. В яхтенной индустрии пока с этим большая проблема. Кроме того, нужно разграничить доступ членов команды к определенным зонам, особенно в кабинет и спальню владельца.

Как-то мы проводили аудит безопасности на крупной чартерной суперяхте и обнаружили три скрытые камеры. Кто их туда поставил? Как долго они проработали, что сфотографировали и куда отправили? Чью репутацию они могли безвозвратно подорвать? Новый владелец этого судна оказался достаточно прозорливым и заказал проверку, но сколько людей даже не задумываются об этом? Конечно, на 100% защититься от кибератак нереально, но можно следовать определенным принципам безопасности и тренироваться распознавать угрозы, значительно снижая шансы преступников на успех.

Клайв Харрисон, директор компании Riela Yachts

Новые требования IMO по КБ и способы их исполнения — это пока вопрос курицы и яйца: что должно быть раньше? Мы знаем направление, в котором нужно двигаться, а дальше все зависит от менеджеров, которые будут составлять план по реализации этой директивы для одной яхты или целого флота. В яхтенном сообществе к этому вопросу подходят не так, как в коммерческом судоходстве, где управляющая компания составляет перечень стратегий и процедур, которые выполняются до последней буквы на всех судах ее флота без исключения. В яхтинге такой подход работает далеко не всегда. Здесь приходится сочинять план мероприятий по КБ на все случаи жизни, но это не совсем то, что нужно. Ведь, с одной стороны, мы должны учесть требования надзорных органов, а с другой — удовлетворить капитанов и владельцев яхт, у которых могут быть иные взгляды на КБ.

Другой аспект — проблема доверия и проверки привлеченных подрядчиков, которые будут предоставлять услуги по аудиту и обеспечению КБ одиночным яхтам и управляющим компаниям. Когда в начале 2000‑х годов вводили Международный кодекс по управлению безопасной эксплуатацией судов, моментально возникло множество компаний, обещавших заказчикам индивидуальный подход. Однако достаточного опыта и ресурсов для этого у них не было, и теперь ситуация может повториться. Поэтому нам надо хорошо понимать, какую аккредитацию должны иметь компании, предлагающие подобные услуги.

Сергей Семенов, начальник ФБУ «Служба морской безопасности»

Аналитики компании Cyber Keel, специализирующейся на безопасности морской индустрии, отмечают, что многие занятые в морской сфере привыкли быть частью «практически невидимой» отрасли, незаметной простому обывателю. Еще в ноябре 2014 года Агентство кибербезопасности Европейского союза (ENISA) констатировало: «Озадаченность вопросами кибербезопасности в морском секторе находится на низком уровне либо вообще отсутствует». Мониторинг публикаций в сфере морской кибербезопасности позволяет сделать вывод, что за прошедшие годы морская отрасль начала разворачиваться лицом к вопросам обеспечения кибербезопасности, однако тектонических изменений в отношении к данной проблеме не произошло.

С одной стороны, это связано с тем, что далеко не вся информация об успешно проведенных атаках получает широкую огласку: часто владельцы бизнеса могут замалчивать ее, опасаясь таких последствий, как потеря имиджа, претензии со стороны клиентов и страховых компаний, расследования, проводимые сторонними организациями и государственными органами. В течение 2020 года порты и судоходные компании признавали факт успешной кибератаки только в том случае, если не могли оперативно ее локализовать и предотвратить возможность нарушить текущие бизнес-процессы.

Сведения об успешных кибератаках на суда практически отсутствуют. Но это не означает, что их нет. Такая латентность связана с рядом причин. Во-первых, профессиональная подготовка экипажа судна зачастую просто не позволяет идентифицировать киберинцидент как кибератаку. Во-вторых, если даже какое-либо судно в результате киберинцидента выбьется из графика, компания-судовладелец всегда может объяснить ситуацию другими причинами. И, в-третьих, в сравнении с портами и судоходными компаниями суда пока не являются интересными целями для киберпреступников.

Проведенные исследования позволяют говорить о высокой уязвимости киберсистем судов. Еще в 2013 году студенты из Техасского университета в Остине с помощью имитатора GPS-сигналов смогли отклонить от курса яхту стоимостью 80 млн долларов.

Большое исследование, посвященное безопасности AIS и проведенное сотрудниками компании Trend Micro в 2014 году, показало возможность следующих сценариев:

— изменение данных о судне, включая его местоположение, курс, информацию о грузе, скорость и имя;

— создание «кораблей-призраков», опознаваемых другими судами как настоящее судно, в любой локации мира;

— отправка ложной погодной информации конкретным судам с целью заставить их изменить курс;

— активация ложных предупреждений о столкновении (также может стать причиной автоматической корректировки курса судна);

— возможность сделать существующее судно «невидимым»;

— создание несуществующих поисково-спасательных вертолетов;

— фальсификация сигналов EPIRB, активирующих тревогу на находящихся поблизости судах;

— возможность проведения DoS-атаки на всю систему путем инициирования увеличения частоты передачи AIS-сообщений.

Согласно отчету фирмы IOActive, спутниковые системы связи (SATCOM), в том числе соединяющие через Интернет суда друг с другом и с Большой землей, также содержат изрядное количество уязвимостей.

Израильская компания Naval Dome, специализирующаяся на морской кибербезопасности, провела серию успешных демонстрационных кибератак на морские суда, в результате которых «хакерами» были изменены сведения о местоположении судна, введен в заблуждение дисплей РЛС, включалось и выключалось судовое оборудование, были взяты под контроль системы управления топливом, рулевое управление и балластная система.

Эксперты считают, что в распоряжении отрасли всего несколько лет, чтобы подготовиться к риску утраты судов в результате кибератак. Я думаю, современные яхты могут быть одними из первых объектов целевых кибератак на суда.

IMO в резолюции MSC.428(98) обращается к администрациям, классификационным обществам, собственникам и операторам судов, судовым агентам, изготовителям оборудования, поставщикам услуг, портам и портовым средствам. В Российской Федерации в настоящее время только Российский морской регистр судоходства в рамках своей компетенции выпустил Руководство по обеспечению кибербезопасности, основанное на Рекомендации по киберустойчивости (№ 166) Международной ассоциации классификационных обществ (IACS).

К специальному законодательству по противодействию киберугрозам, принятому Российской Федерацией, можно отнести институт права, сформированный Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ от 26.07.2017). Закон нацелен на защиту значимых объектов критической информационной инфраструктуры (КИИ), к которым отнесены информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Формально современное судно может иметь на борту как минимум один из перечисленных объектов. Федеральная служба по техническому и экспортному контролю России (ФСТЭК), компетентная в области КИИ, пока не уделяет внимания судовым системам, так как законодательство Российской Федерации в области КИИ сегодня находится еще в стадии становления, при этом в приоритете многие другие объекты, которые расположены в более уязвимых сферах экономики. Также необходимо учитывать, что международное и российское регулирование в области морской кибербезопасности между собой практически не согласуется, что в будущем может вызвать проблемы в правоприменении.

В отличие от нас западные страны активно занимаются нормативно-правовым регулированием вопросов морской кибербезопасности как на национальном, так и на международном уровне. Например, одним из последних своих указов Дональд Трамп утвердил «Национальный план США по обеспечению кибербезопасности на море». Когда-то страны Запада инициировали принятие Международной морской организацией Международного кодекса по охране судов и портовых средств, фактически взяв за основу национальное законодательство. В случае с морской кибербезопасностью, скорее всего, произойдет то же самое.

Всеволод Гаврилов, генеральный директор «Volvo Penta Россия»

Сейчас мы наблюдаем некое противоречие. С одной стороны, технологии должны уходить в облака и становиться более открытыми, чтобы обеспечивать лучший уровень обслуживания, например: обновление навигационных карт в реальном времени, бронирование мест в марине, автоматический заказ пополнения снабжения и шипчандлерских услуг с помощью интернета вещей и т. п. Но в то же время технологии должны становиться и более закрытыми для защиты конфиденциальной информации, утечки которой могут нанести серьезный урон. Таким образом, приходится выбирать между утопией и паранойей, вернее, искать истину, которая, как водится, лежит где-то посередине.

Для разных задач (рисков) должны быть стандарты безопасности разного уровня и разные по стоимости решения. Как и в других областях, мы, скорее всего, столкнемся с разграничением, когда появятся условно открытые сети с минимальной верификацией при доступе (например, спутниковый интернет от Илона Маска) и хорошо защищенные инфраструктурные сети с жестким контролем доступа и более высоким уровнем безопасности. За использование вторых, разумеется, придется платить больше, но выбора особо нет, поэтому судоходным компаниям и объектам портовой инфраструктуры придется раскошелиться. Однако прежде стоит договориться о стандартах передачи данных, которые будут совместимы со старыми протоколами. Ведь судно — это не мобильный телефон, и так просто его не обновишь. В любом случае изменения уже начались, и их не остановить.

Что дальше?

Очевидно, что не только яхтенная, но и вся судоходная индустрия находится сейчас в некой поворотной точке, где в условиях информационной недостаточности приходится принимать серьезные решения. Наверняка кого-то волнует вопрос, почему граница требований IMO по КБ проходит по рубежу 500 рег. т, ведь в случае с яхтами киберпреступники выбирают цели далеко не по их вместимости. Очевидно, что нужно было где-то провести черту, и ее провели там, где удобно: на границе между судами ISM и Mini ISM. Предполагается, что рано или поздно «маломерки», озабоченные вопросами КБ, начнут брать пример с «большого» флота и, допустим, соблюдать обновленный стандарт IEC 61 162−460 по сетевому взаимодействию, который, в числе прочего, запрещает реализовывать Wi-Fi в навигационных приборах, чем почти поголовно грешат производители картплоттеров для небольших прогулочных судов.

А может, разумнее просто вернуть судоходство в офлайн, чтобы избежать сложностей и расходов, связанных с КБ? Вряд ли это теперь возможно, так как степень проникновения цифровых технологий в морской сектор уже слишком высока, и они экономят огромные деньги. Плюсы в данном случае перевешивают минусы, поэтому судовладельцам логичнее потратить определенные средства, чтобы обеспечить адекватный уровень защиты, сделав кибератаки экономически невыгодными.

Страховые компании, от которых многие ждут готовых решений, пока еще учатся классифицировать и оценивать киберриски в морском секторе. Если они быстро справятся с этой нетривиальной задачей, то, возможно, именно страховая индустрия выступит «паровозом», и все будут ориентироваться именно на требования страховщиков, а не на IMO. Возможны и более экзотические варианты. Например, обязать верфи следить за кибербезопасностью судов на протяжении всего срока их службы, как это происходит с самолетами Boeing и Airbus…

Пока одни пытаются что-то делать, других интересует, каким будет реальное наказание за несоблюдение требований IMO. Как минимум стоит ожидать запрета на движение судна до устранения выявленных проблем. Наверняка будут и штрафы, но потеря конфиденциальных данных, значимость которых зачастую не измерить никакими деньгами, может оказаться хуже любого административного наказания.

Дата:

25.05.2021

Текст

Антон Черкасов-­Нисман

Фото

envato.com, Андрей Андреев

Следующая статья

Подлинная аристократия

Предыдущая статья

Игорь Мельцер — о рыбной кухне в России

Новые материалы
Похожие статьи