Морская кибербезопасность. Новое в 2021 году - Морские вести России

Морская кибербезопасность. Новое в 2021 году

27.10.2021

Транспортная политика

Морская кибербезопасность. Новое в 2021 году

На страницах газеты «Морские вести России» неоднократно затрагивал вопросы нормативно-правового регулирования морской кибербезопасности как в России, так и за рубежом. Только в 2020 году «Морские вести России» опубликовали три мои статьи на эту тему. Поэтому в данной публикации затрону только те изменения в ситуации с морской кибербезопасностью, которые произошли с сентября прошлого года и попали в мое поле зрения.

Сергей Семенов, начальник ФБУ «Служба морской безопасности»

Цели кибератак

В период с сентября 2020 года по настоящее время судоходные компании, организации и порты по-прежнему были целью кибератак. Так, в указанный период им подверглись Международная морская организация и Итальянское классификационное общество RINA; французская контейнерная судоходная компания CMA CGM, британская паромная компания Red Funnel, норвежская круизная компания Hurtigruten, оператор паромной переправы Steamship Authority в Массачусетсе, флагманский контейнерный перевозчик Южной Кореи НММ и японская судоходная компания Kawasaki Kisen Kaisha, известная как «K» Line; не названные иранский и индийский порты, а также речной порт Кенневик в штате Вашингтон, США.

Деятельность Международной морской организации. По итогам 103-й сессии, прошедшей с 5 по 14 мая, Комитет по безопасности на море Международной морской организации 14 июня 2021 года выпустил циркуляр MSC.1/Circ.1639. В документе государствам-членам предлагается принять во внимание рекомендации, содержащиеся в четвертой версии «Руководства по кибербезопасности на судах», подготовленной отраслевыми ассоциациями. Рекомендовать соответствующим заинтересованным сторонам, включая судовладельцев, операторов и менеджеров, учитывать при необходимости это Руководство при рассмотрении киберрисков на судах в соответствии с целями и функциональными требованиями Международного кодекса управления безопасностью, как это рекомендовано Резолюцией MSC.428(98).

Также 14 июня 2021 года комитетами по безопасности на море и упрощению формальностей была выпущена первая редакция циркуляра MSC-FAL.1/Circ.3/Rev.1 «Методические рекомендации по управлению киберрисками в морской сфере», которым было одобрено обновление дополнительных рекомендаций и стандартов, включенных в пункт 4.2 этих рекомендаций. Указанный пункт был дополнен новой редакцией «Руководства по кибербезопасности на судах», подготовленного отраслевыми организациями, и сводной Рекомендацией Международной ассоциации классификационных обществ (МАКО) по киберустойчивости (известной как Рекомендация № 166).

Четвертая версия «Руководства по кибербезопасности на судах» содержит общие обновления лучших практик в области управления киберрисками и в качестве ключевой функции включает раздел с улучшенным руководством по концепции риска и управления рисками. К наиболее значимым отличиям четвертой версии можно отнести включение разделов, посвященных участию высшего руководства в управлении киберрисками; распределению обязанностей и задач внутри компании; количественной оценке угрозы; выявлению уязвимостей, в том числе при посещении судов и удаленном доступе; оценке вероятности; оценке воздействия; взаимосвязи факторов, влияющих на риски; разработке мер обнаружения. Выделены четыре этапа реагирования на инциденты.

Новые киберстандарты

В США. Наиболее интересным зарубежным документом, принятым в течение прошедшего года, я бы назвал принятый 5 января 2021 года Советом национальной безопасности США Национальный план морской кибербезопасности США. Данный документ разрабатывается в рамках Национальной стратегии морской безопасности США.

Новый пятилетний план фокусируется на новых стандартах для владельцев портов, грузоотправителей и операторов, а также на предстоящих мандатах, позволяющих подрядчикам соответствовать киберстандартам.

Официальные лица США заявили, что Национальный план морской кибербезопасности выпускается в рамках признания того, что существуют пробелы в морской безопасности США. Главная проблема заключается в том, что сбои в работе портов и судоходстве могут вызвать шоковые волны в экономике США. Применительно к национальной безопасности чиновники говорят, что Совет национальной безопасности США хочет ограничить способность противников использовать уязвимости, чтобы препятствовать способности Министерства обороны США проецировать силу за рубежом.

Согласно плану, одним из приоритетов правительства США в продвижении вперед должна стать разработка структуры рисков для систем портовых операционных технологий (ОТ), чтобы страховщики, судовладельцы и грузоотправители имели общий язык рисков.

Поскольку в настоящее время более 20 федеральных правительственных организаций США играют определенную роль в обеспечении безопасности на море, в стратегии говорится, что одним из первых приоритетов будет выявление пробелов в правовых полномочиях и эффективности «для устранения конфликтных ролей и ответственности за стандарты кибербезопасности морской транспортной системы». В Национальном институте стандартов и технологий США (NIST) разработают «международно признанную, ориентированную на результат, информированную об угрозах структуру рисков для портовых систем операционных технологий».

США также разработают процедуры для выявления, приоритезации, смягчения и расследования рисков кибербезопасности в критических системах судов и портов. Министерства внутренней безопасности и обороны будут проводить оценку морской кибербезопасности портовых сооружений, судов и инфраструктуры и разработают основу для оценки портовой кибербезопасности. США создадут систему киберкриминалистики для морских расследований.

В плане подчеркивается необходимость обмена разведданными о кибербезопасности «с соответствующими неправительственными организациями» и говорится, что Министерство внутренней безопасности США «определит пути обмена информацией и разведданными о морской кибербезопасности, если это применимо, с международным сообществом».

Наконец, в плане подчеркивается, что надлежащая подготовка рабочей силы имеет важное значение и «разработка стандартов обучения кибербезопасности в морском секторе позволит ликвидировать пробелы во всех компонентах морской транспортной системы». Министерство внутренней безопасности США через Береговую охрану США «в координации с другими соответствующими департаментами и агентствами разработает карьерные пути в области кибербезопасности, стимулы, требования к непрерывному образованию и стимулы удержания персонала для создания компетентной морской кибернетической рабочей силы».

Кроме того, в 2020 году Управление Береговой охраны США по соблюдению требований к коммерческим судам выпустило рабочую инструкцию CVC-WI-027 «Управление киберрисками судов», которая содержит руководство для инспекторов и должностных лиц портового контроля по оценке кибергигиены на борту судов, а также варианты соблюдения требований при обнаружении недостатков.

Согласно инструкции, если управление киберрисками не было включено в систему управления безопасностью судна до первой ежегодной проверки документа компании о соответствии после 1 января 2021 года, то судно может быть задержано с требованием внешнего аудита в течение 3 месяцев.

Также когда объективные доказательства указывают на наличие серьезного сбоя в реализации системы управления безопасностью судна в отношении управления киберрисками, который непосредственно привел к инциденту кибербезопасности, влияющему на работу судна (например, снижению безопасности судна или повышению риска для окружающей среды), то судно также может быть задержано с требованием внешнего аудита в течение 3 месяцев.

В октябре 2020 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) и Сеть по борьбе с финансовыми преступлениями (FinCEN) выступили с предупреждением о высоком риске санкций за платежи хакерам-вымогателям.

Они прямо указали, что компании должны приложить все усилия для обнаружения злоумышленников, сообщить о них, а также оказать помощь в привлечении к ответственности за преступления. Если компании выполнят требования преступников, то тоже могут оказаться в беде.

Минфин США указывает, что: «…Компании, которые содействуют платежам киберпреступникам-вымогателям от имени жертв, включая финансовые учреждения, фирмы киберстрахования и компании, участвующие в цифровой криминалистике и реагировании на инциденты, не только поощряют будущие требования о выплатах программ-вымогателей, но также рискуют нарушить правила Управления по контролю за иностранными активами».

Управление киберррисками

В Европейском союзе. 17 декабря 2020 года Агентство Европейского союза по кибербезопасности (ENISA) выпустило Руководство для европейских портовых операторов по управлению киберрисками в условиях цифровой трансформации и ужесточения регулирования.

Руководство основано на докладе ENISA о кибербезопасности портов за 2019 год, предоставляет практические рекомендации, которые рассказывают о текущих угрозах кибербезопасности и меняющемся цифровом ландшафте, с которым сталкивается морской сектор Европы. В руководстве отмечается, что морской сектор ЕС имеет ферментированный подход к оценке киберугроз.

Руководство предлагает портовым операторам разработать набор передовых методов для обеспечения необходимого уровня кибербезопасности:

– систематическое выявление связанных с киберпространством активов и услуг;

– принятие комплексного подхода к выявлению и оценке киберрисков, который включает индикаторы рисков и анализ влияния на бизнес, вовлекает все соответствующие заинтересованные стороны и интегрируется на организационном уровне;

– приоритетность реализации мер безопасности определяется на основе риск-ориентированного подхода, учитывающего эффективность мер безопасности и их соответствие выявленным рискам, а также основанного на подходе «безопасность по проекту»;

– осуществление общеорганизационных программ повышения осведомленности и технической подготовки в области кибербезопасности;

– разработку комплексной программы кибербезопасности, предусматривающей обязанности высшего руководства;

– проведение самооценки зрелости кибербезопасности для определения приоритетов совершенствования, а также выделения бюджетных и ресурсных средств.

В Норвегии. 1 января 2021 года открыт Норвежский морской центр киберустойчивости (NORMA Cyber). За инициативой стоят Норвежская ассоциация взаимного страхования от военных рисков судовладельцев (DNK) и Норвежская ассоциация судовладельцев. NORMA Cyber предоставляет ряд услуг кибербезопасности членам Ассоциации взаимного страхования и Норвежской ассоциации судовладельцев, а также помогает другим заинтересованным сторонам в морской отрасли. NORMA Cyber предоставляет услуги разведки и обмена информацией, а также службу реагирования на инциденты и кризисную поддержку.

В США. Порт Лос-Анджелес и компания IBM подписали соглашение о развитии и эксплуатации портового Центра киберустойчивости. Он будет представлять собой разведывательный и оперативный центр морской безопасности, который защищает заинтересованные стороны от вредоносных киберинцидентов, влияющих на грузопоток.

Американская ассоциация портовых властей в последнем отчете серии «Состояние фрахта», озаглавленном «Обеспечение укрепления портов Америки и цепочек поставок», пишет о том, что 85% портов – членов ассоциации заявили, что ожидают роста прямых киберугроз в течение следующих 10 лет. Кибератака на Maersk в 2017 году показала, как инцидент может начаться за пределами США и оказать каскадное влияние на порты и терминалы по всему миру. 78% портов планируют использовать в будущем гранты для обеспечения безопасности портов на цели кибербезопасности. Ассоциация необходимый объем программы Федерального агентства по чрезвычайным ситуациям грантов на безопасность портов (включая кибербезопасность) в течение следующих 10 лет оценила в размере $4 млрд.

Кибербезопасность на борту

В ноябре 2020 года Международная палата судоходства в сотрудничестве с BIMCO и Witherbys выпустила второе издание «Рабочей тетради по кибербезопасности для использования на борту судна». Рабочая тетрадь предоставляет экипажам судов практические средства выявления киберугроз и защиты уязвимых бортовых систем. Международная палата судоходства в рабочей тетради считает, что на операционном уровне недостатком цифровой революции является растущая уязвимость оператора к кибератакам. Поскольку подключение к интернету на борту становится все более распространенным явлением, а судовые системы все более оцифровываются и интегрируются, и суда теперь являются мишенью для хакеров во всем мире, крайне важно, чтобы весь экипаж имел представление о том, как и когда могут произойти кибератаки.

Классификационное общество «Корейский регистр судоходства» 18 сентября 2020 года провело первое в мире присвоение класса кибербезопасности (CS Ready) крупному газовозу компании Hyundai Heavy Industries. Класс кибербезопасности был присвоен после завершения успешных документальных и полевых инспекций. Класс CS Ready присваивается вновь построенным судам и для его получения необходимо успешно пройти 49 пунктов инспекции в общей сложности по 12 категориям, включая управление рисками и активами, реагирование на киберинциденты и восстановление после них. Также Корейский регистр судоходства проводит сертификацию по морской кибербезопасности в отношении компании или судна с системой менеджмента кибербезопасности, по результатам которой выдается сертификат соответствия и освидетельствование оборудования на соответствие требованиям кибербезопасности.

Киберстрахование

Международный союз морского страхования (IUMI) 21 августа 2020 года опубликовал стратегическую программу, которая включает раздел 3. «Киберриски». В программе союз отмечает, что страхование рисков одиночных атак вымогателей теперь доступно как на морском, так и на не морском рынке страхования. Однако косвенный ущерб корпусу судна, грузу и обязательствам перед третьими лицами в результате кибератаки на борту судна или мобильной офшорной установки представляет собой иной и более дорогостоящий риск. Ограниченность данных о частоте, серьезности потерь или вероятности физического ущерба является проблемой для страховщиков. Данная стратегическая программа интересна тем, что содержит обширный перечень ссылок на документы и публикации на тему морской кибербезопасности. 25 мая 2021 года была опубликована скорректированная версия.

Киберстраховщик Astaara выпустил объяснения новых киберправил ИМО, в которых подробно объясняются новые процессы и обязательства.

Последствия несоблюдения правил, по мнению Astaara, потенциально огромны. Если владелец судна не может доказать, что он проявил надлежащую должную осмотрительность при управлении своими киберрисками в соответствии с новыми руководящими принципами, судно может быть признано непригодным для плавания. В этом случае возникает опасность исполнения договора перевозки и ставится под сомнение способность судовладельца полагаться на Гаагские или Гаагско-Висбийские правила, а также на их защиту и ограничения.

Многие финансовые соглашения требуют соблюдения всех элементов Международного кодекса управления безопасностью. Поэтому вполне возможно, что нарушение кодекса может привести к неисполнению заемщиком своих кредитных договоров.

В настоящее время не существует исключения киберпространства во взаимном покрытии P&I Club для традиционных P&I рисков. На практике это означает, что цифровой сбой или взлом, создающий P&I претензию, будет покрываться до тех пор, пока член организации благоразумно и старательно обеспечивает управление надлежащим образом киберрисками своих судов и их соответствие требованиям государства флага и класса.

Тем не менее останется множество незащищенных рисков. Атака национального государства или террориста будет представлять собой военный риск и, следовательно, не покрывается типичной P&I политикой, и владельцам придется искать прикрытие у андеррайтеров военного риска, многие из которых могут иметь киберисключения в своей политике. Кроме того, владельцы и фрахтователи с фиксированной премией вместо взаимного страхования обычно обнаруживают, что их полисы теперь содержат исключения киберрисков.

В настоящее время рынок киберстрахования морских рисков ограничен. Но в свете растущего числа кибератак и очень видимых последствий для некоторых из крупнейших судоходных компаний Astaara ожидает, что спрос на покрытие будет быстро расти, и вопрос только в том, есть ли у страхового рынка желание или способность реагировать.

По мнению Счетной палаты США, киберстраховщики и держатели полисов сталкиваются с проблемами на развивающемся рынке. По данным Счетной палаты США, доля клиентов, выбирающих киберстрахование, выросла с 26% в 2016 году до 47% в 2020 году.

Ключевыми тенденциями в киберстраховании являются снижение лимитов покрытия в секторах с высоким риском и рост премий.

Рост цен. Отраслевые источники сообщили, что рост цен совпал с повышением спроса и ростом расходов страховщиков от более частых и серьезных кибератак. В недавнем опросе страховых брокеров более половины опрошенных клиентов отметили, что в конце 2020 года цены вырастут на 10-30%.

Появление киберспецифической политики. Страховщики все чаще предлагают полисы, специфичные для киберриска, вместо того, чтобы включать этот риск в пакеты с другим покрытием. Этот сдвиг отражает стремление к большей ясности в отношении того, что покрывается, и к более высоким пределам охвата киберспецифики.

Индустрия киберстрахования сталкивается с многочисленными проблемами. Заинтересованные стороны отрасли предложили Счетной палате США варианты решения этих проблем.

Серьезной проблемой для киберстрахования являются ограниченные исторические данные о потерях. Без всеобъемлющих, высококачественных данных о киберпотерях может быть трудно оценить потенциальные потери от кибератак и, соответственно, ценовую политику. Некоторые участники отрасли заявили, что федеральные правительства, правительства штатов и промышленность могут сотрудничать в сборе и обмене данными об инцидентах для оценки рисков и разработки продуктов киберстрахования.

Страховщики говорят о том, что киберполитика не имеет общей терминологии. Заинтересованные стороны отрасли отметили, что различные определения политических терминов, таких как «кибертерроризм», могут привести к отсутствию ясности в отношении того, что охватывается. Они предложили, чтобы федеральные правительства и правительства штатов, а также страховая отрасль могли совместно работать над разработкой общих определений.

Ранее я также говорил о том, что для российского законодательства об информационной безопасности также серьезной проблемой является отсутствие и единого понятийного аппарата. Как видим, отсутствие единого понятийного аппарата американскими страховщиками расценивается как серьезная проблема развития рынка киберстрахования.

Четвертый приоритет

В России. Президентом РФ 2 июля 2021 года утверждена Стратегия национальной безопасности Российской Федерации, в которой четвертым по значимости стратегическим национальным приоритетом обозначена информационная безопасность. Хотя информационной безопасности транспортной отрасли, и в частности морской транспортной отрасли, стратегия отдельного внимания не уделяет, отдельные ее задачи актуальны и для морского транспорта:

– развитие системы прогнозирования, выявления и предупреждения угроз информационной безопасности страны, определения их источников, оперативной ликвидации последствий реализации таких угроз;

– предотвращение деструктивного информационно-технического воздействия на российские информационные ресурсы, включая объекты критической информационной инфраструктуры;

– создание условий для эффективного предупреждения, выявления и пресечения преступлений и иных правонарушений, совершаемых с использованием информационно-коммуникационных технологий;

– развитие взаимодействия органов публичной власти, институтов гражданского общества и организаций при осуществлении деятельности в области обеспечения информационной безопасности.

Чтобы оценить, как данная стратегия повлияет на деятельность морской отрасли, придется дождаться актов, которые будут приняты для решения задач стратегии. В конце 2020 года Российский морской регистр судоходства выпустил «Руководство по кибербезопасности», которое опубликовано на сайте учреждения.

Морская коллегия при Правительстве РФ тоже обратила внимание на вопрос информационной безопасности морской деятельности. 8 апреля 2021 года образована рабочая группа Научно-экспертного совета Морской коллегии по информационной безопасности.

Морские вести России №12 (2021)

ПАО СКФ
IV ежегодная конференция ежегодная конференция: «SMART PORT: ЭФФЕКТИВНОСТЬ, БЕЗОПАСНОСТЬ, ЭКОЛОГИЧНОСТЬ»
Восточный Порт 50 лет
НПО Аконит
Подписка 2024
Вакансии в издательстве
Журнал Транспортное дело России
Морвести в ТГ

12.03.2024

Транспортная политика

28.02.2024

Транспортная политика