Dette er stegene du bør ta for å sikre deg mot cyberangrep i maritim sektor
10/02/23
– De fleste maritime virksomheter har allerede gode systemer og prosesser for å håndtere “safety-risks”. Det er ikke nødvendigvis en stor jobb å oppdatere disse til også å omfatte IT- og cyberrisiko, sier Morten Drægni, cyber-ekspert i PwC og tidligere CISO i Wilhelmsen.
– Det skal ikke mye til for å være bedre rustet mot cyberangrep, sier Morten Drægni som er Senior Manager i PwC og har ledet cybersikkerhet i Wilhelmsen. Her er hans sju tips.
Det er snart to år siden IMOs nye retningslinjer for å håndtere maritim cyberrisiko ble lansert. – Retningslinjene er generelle og ikke så enkle å sette ut i praksis, sier Drægni.
Keep it simple– oppdatér sikkerhetsrutinene du allerede har
Drægni anbefaler å integrere IMOs retningslinjer inn i det du har av eksisterende rammer og rutiner i arbeidet med risiko- og sikkerhetsstyring. For eksempel inn i systemet for sikkerhetsstyring og fartøyets sikkerhetsplan. En feil enkelte gjør er å ikke håndtere IT- og cyberrisiko som en integrert del av virksomhetens risikostyring. – De fleste maritime virksomheter har allerede gode systemer og prosesser for å håndtere “safety-risks”. Det er ikke nødvendigvis en stor jobb å oppdatere disse til også å omfatte IT- og cyberrisiko, sier Drægni.
Tips for å bli mer motstandsdyktig mot hacking
– Alle bør forberede seg på at noe vil skje. Men det betyr ikke at alle trenger å investere i det dyreste og det beste. Mange er overveldet over alt man burde ha gjort. Det er mye lettere å starte med de små stegene, sier Drægni. Her er hans tips:
1. Bruk riktig rammeverk
IMO-standarden legger ingen direkte føringer for akkurat hvilket rammeverk virksomheter bør bruke - men NIST og ISO nevnes. Dette er store og omfattende rammeverk som fort kan oppleves som uhåndterlige. Brukt riktig og tilpasset virksomheten kan imidlertid disse være et godt fundament for håndtering av IT- og cyberrisiko. Andre relevante rammeverk er BIMCO og IEC62443. Eventuelt kan man bruke en kombinasjon av disse for å hensynta både IT- og OT-dimensjonen.
2. Kjør en benchmark
Et godt sted å starte er å kjøre en benchmark av seg selv opp mot noen av de ovennevnte rammeverkene. En slik benchmark kan velge å fokusere på organisatoriske-, menneskelige- og/eller tekniske faktorer. En kombinasjon er ønskelig, men igjen kommer det an på virksomhetens størrelse, kontekst, ambisjoner og tilgjengelige ressurser. En benchmark er noe som kan og bør tilpasses, og som heller kan itereres på over tid for å sikre at man ikke gaper over for mye med en gang.
3. Lag en plan for tekniske tiltak
Et eksempel er sperring av USB-porter, bedre segmentering og oppdatering av programvare. Et forebyggende tiltak er å teste motstandsdyktigheten. Da er poenget å gjennomføre testene så realistiske som mulig.
4. Lær opp alle ansatte!
Opplæring og bevisstgjøring av ansatte og mannskaper. Planlegg, gjennomfør og evaluér ulike former for øvelser.
5. Lag en beredskapsplan– og øv på den!
Etablering av rammer, roller og ansvar. Hvem er ansvarlig for cybersikkerhet i din virksomhet og på dine skip? Dette er særlig viktig i å tenke på i de tilfellene hvor skip og mannskap ikke er fra samme selskap, eller andre tilfeller hvor man bruker underleverandører. Sørg for oppdaterte beredskapsplaner og rollekort. Gjennomfør øvelser. Er det mer enn et år siden sist er det på tide nå. Øv på de spesifikke scenarioene som du har kommet fram til i risikovurderingene. Mal for førstemøte er også nødvendig. Slik sikrer du god beredskap i din virksomhet.
6. Ha kontroll på underleverandører og digitale verdikjeder
Flere fartøy starter mer eller mindre å bli en flytende digital plattform med avhengigheter til leverandører av flere systemer. Hvor god kontroll har du på at disse har et nødvendig sikkerhetsnivå? Stadig flere sikkerhetshendelser oppstår ved at en leverandør blir kompromittert eller at tredjepartssystemer åpner opp for sårbarheter man ikke har kontroll på om man ikke har skikkelig leverandørstyring.
7. Gjør deg klar for tilsyn
Pass på at du kan dokumentere etterlevelse av de krav du setter, og at iverksatte tiltak er risikobaserte. Det kan være smart å på forhånd utarbeide et dokument som beskriver hva man gjør, hvorfor man gjør det og hvilke tiltak som er implementert. Dette kan også være lurt å ha liggende med tanke på salgsprosesser og kundedialog. Ha også en tydelig definert prosess for kontinuerlig forbedring og gjennomfør minimum årlig interne sjekker og revisjoner. Med gode etablerte prosesser blir det enklere å gjøre endringer og tilpasse seg nye kunde- og regulatoriske krav.
Hvordan kan vi i PwC bistå?
Hos oss får du ingen 300-siders manualer som skal implementeres og følges. Vi hjelper deg med å integrere god cyberrisikostyring inn i virksomhetens allerede etablerte prosesser. Der det er mangler poengterer vi det med konkrete steg for forbedring.