de 50, 000 schepen die tegelijkertijd over zee varen, hebben zich aangesloten bij een steeds groter wordende lijst van objecten die kunnen worden gehackt. Cybersecurity-experts hebben onlangs laten zien hoe gemakkelijk het is om in de navigatieapparatuur van een schip in te breken. Dit komt slechts een paar jaar nadat onderzoekers hadden aangetoond dat ze de GPS van een superjacht voor de gek konden houden om van koers te veranderen. Er waren eens objecten zoals auto's, broodroosters en sleepboten deden alleen waarvoor ze oorspronkelijk ontworpen waren. Het probleem is tegenwoordig dat ze allemaal ook met internet praten.

Het verhaal tot nu toe

Verhalen over maritieme cybersecurity zullen alleen maar toenemen. De maritieme industrie heeft traag ingezien dat schepen, net als al het andere, maken nu deel uit van cyberspace. De Internationale Maritieme Organisatie (IMO), het VN-orgaan dat belast is met het reguleren van de maritieme ruimte, laat en enigszins traag is geweest met het overwegen van passende regelgeving als het gaat om cyberbeveiliging.

In 2014, de IMO heeft hun leden geraadpleegd over hoe richtlijnen voor maritieme cyberbeveiliging eruit zouden moeten zien. Twee jaar later vaardigden ze hun tussentijdse richtlijnen voor cyberbeveiligingsrisicobeheer uit, die breed en niet bijzonder maritiem specifiek zijn. En nu, niet verrassend, schepen worden gehackt.

Complexiteit van de maritieme industrie

Er zijn verschillende kernproblemen die cyberbeveiliging voor de maritieme industrie bijzonder moeilijk maken om aan te pakken.

Eerst, er zijn veel verschillende klassen van schepen, die allemaal in zeer verschillende omgevingen opereren. In deze schepen zijn meestal verschillende computersystemen ingebouwd. aanzienlijk, veel van deze systemen zijn gebouwd om meer dan 30 jaar mee te gaan. Met andere woorden, veel schepen draaien op verouderde en niet-ondersteunde besturingssystemen, die vaak het meest vatbaar zijn voor cyberaanvallen.

Tweede, de gebruikers van deze maritieme computersystemen zijn voortdurend in beweging. Scheepsbemanningen zijn zeer dynamisch, vaak op korte termijn veranderen. Als resultaat, bemanningsleden gebruiken vaak systemen waarmee ze niet vertrouwd zijn, het vergroten van de kans op cyberbeveiligingsincidenten met betrekking tot menselijke fouten. Verder, het onderhoud van systemen aan boord, inclusief navigatie, wordt vaak uitbesteed aan verschillende derden. Het is heel goed mogelijk dat de bemanning van een schip weinig begrip heeft van hoe systemen aan boord met elkaar omgaan.

Een derde complexiteit is de koppeling tussen systemen aan boord en terrestrische systemen. Veel maritieme bedrijven communiceren voortdurend met hun schepen. De cyberbeveiliging van het schip is ook afhankelijk, dan, op de cybersecurity van de landgebonden infrastructuur die dit mogelijk maakt. De implicaties van dergelijke afhankelijkheden werden in 2017 duidelijk toen een cyberaanval op de systemen van A.P. Moller-Maersk leidde tot vertragingen in de lading van hun hele vloot. Dit is met name een uitdaging voor de IMO, die onder meer havenregelgeving kan regelen, maar hebben zeer weinig controle over de bredere systemen en processen van maritieme operators.

Stappen in de goede richting

in 2017, de IMO heeft twee van hun algemene beveiligingsbeheercodes gewijzigd om cyberbeveiliging expliciet op te nemen. De International Ship and Port Facility Security Code (ISPS) en International Security Management Code (ISM) beschrijven hoe haven- en scheepsexploitanten risicobeheerprocessen moeten uitvoeren. Door cybersecurity een integraal onderdeel van deze processen te maken, moet ervoor worden gezorgd dat operators zich in ieder geval bewust zijn van cyberrisico's.

Hopelijk, dit is het begin van een meer holistische benadering van regelgeving op het gebied van maritieme cyberbeveiliging. De kennis die is opgedaan met deze nieuwe cyberrisicobeoordelingen kan de IMO in staat stellen een bredere reeks cyberbeveiligingsvoorschriften te ontwikkelen. Er is veel laaghangend fruit te plukken, bijvoorbeeld door bepaalde apparatuurvereisten te harmoniseren met bestaande cyberbeveiligingsnormen die door andere sectoren zijn aangenomen.

Het schip omdraaien

De maritieme industrie loopt ongetwijfeld achter op andere transportsectoren, zoals ruimtevaart, op het gebied van cyberbeveiliging. Er lijkt ook een gebrek aan urgentie om het huis op orde te krijgen. Ten slotte, de cyberspecifieke wijzigingen aan de ISM en ISPS treden pas op 1 januari 2021 in werking, en ze vertegenwoordigen slechts het begin van een reis. De maritieme industrie lijkt dus bijzonder slecht toegerust om toekomstige uitdagingen het hoofd te bieden, zoals de cyberbeveiliging van volledig autonome schepen.

Aan de positieve kant, de langzame en gestage aanpak van de ontwikkeling van cyberbeveiligingsregelgeving biedt op zijn minst de mogelijkheid om van andere sectoren te leren en de maritieme cyberbeveiligingsrisico's volledig te begrijpen, in plaats van overhaaste, slecht geïnformeerde beslissingen te nemen.

De ontwikkeling van robuuste maritieme cyberbeveiligingsvoorschriften zal een zeer langzame, en mogelijk pijnlijk, Verwerken. Maar, het schip is gaan draaien.

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.