Цифрова трансформація морського флоту переживає свою найшвидшу і найбурхливішу епоху. Така трансформація пропонує суттєві переваги та вигоди, але з відповідними ризиками в кіберпросторі.
16 червня 2017 року Міжнародна морська організація (ІМО) прийняла Резолюцію MSC.428(98), яка “закликає адміністрації забезпечити належне врахування кіберризиків в існуючих системах управління безпекою (як визначено в Кодексі ISM) не пізніше першої щорічної перевірки Документа про відповідність (DOC) компанії після 1 січня 2021 року”. Того ж року ІМО розробила відповідні рекомендації (MSC-FAL.1/Circ.3). Хоча резолюція є формальним визнанням важливості кібербезпеки з боку агентства ООН, в керівних принципах підкреслюється, що ефективне управління кіберризиками повинно починатися на рівні вищого керівництва.
Але навіть розумне і продумане управління ризиками не буде ефективним, якщо не буде належної обізнаності про кібербезпеку серед усіх, хто залучений у морському світі. Людський фактор є найбільш цінним, але і найбільш вразливим у сфері морської кібербезпеки. Хоча сучасні технології забезпечують певний захист від прямого злому, соціальна інженерія стала найбільш поширеним вектором кіберзлочинності.
Існує поширена думка, що пряма націленість на вищих керівників (відома як “китобійні атаки” або шахрайство з керівниками) є найбільш вірогідним сценарієм прибуткової кібератаки. У разі успіху зловмисники можуть отримати доступ до конфіденційних даних або навіть цілих мереж і вплинути на багато процесів у системі. У деяких випадках зловмисники можуть навіть отримати можливість керувати групами кораблів. З іншого боку, така “китобійна атака” є складним процесом зі спірними шансами на успіх. Зобов’язання вищого керівництва щодо управління кіберризиками швидко стає стандартним припущенням. Ці лідери стають все більш обізнаними про ці небезпеки та краще дотримуються обачної поведінки, щоб зменшити кіберризики для себе особисто. Набагато простішим є метод спроб соціального інжинірингу інших типів морських працівників, які, на перший погляд, здаються менш значущими, ніж керівники, але які також мають широкий доступ до морських систем і мереж.
Існує дві основні групи, які можна виокремити як бажані об’єкти впливу. До першої групи належать члени екіпажу комерційних суден і військових кораблів, особливо ті, хто має прямий доступ до суднових систем управління або важливих елементів суднових систем, таких як комунікації, двигуни, вантажно-розвантажувальне обладнання та складські приміщення. До другої групи належить береговий персонал, включаючи техніків і консультантів, сторонніх підрядників, особливо тих, хто має віддалений доступ до морських мереж і контактів.
Існує три критично важливі сфери, привабливі для зловмисників: навігаційні системи та датчики, обробка та зберігання вантажів, а також силові та енергетичні установки. У більшості випадків для ефективного впливу на останні два елементи потрібен прямий фізичний доступ до критично важливих систем. На відміну від них, навігаційні системи є, мабуть, одними з найсучасніших мережевих і цифрових систем на борту.
Якщо кіберзловмисники отримають доступ до ECDIS (електронна система відображення карт та інформації), вони зможуть спробувати такі дії, як глушіння або спотворення сигналів, отриманих від зовнішніх датчиків (GPS, AIS, Radar/ARPA, Navtex), збір критично важливої гідрографічної інформації, а також втручання безпосередньо в електронну навігаційну карту (ENC). Хоча офіційні електронні навігаційні карти часто містять високозахищені дані, несанкціонований доступ до опції ручної корекції ENC може мати руйнівні наслідки. Хакери також можуть піти простішим шляхом – відключити операційні системи робочих станцій ECDIS, де в більшості випадків встановлена звичайна операційна система Windows, причому не обов’язково останньої версії. Враховуючи високу інтегрованість навігаційних систем сучасних танкерів-хімовозів та пасажирських суден, зловмисники можуть впливати навіть на алгоритм автоматичного керування судном.
Несанкціонований доступ до такої важливої навігаційної системи можна отримати за допомогою шкідливого програмного забезпечення, яке оператори обладнання приймають через свої поштові клієнти та особисті профілі в соціальних мережах. Сьогодні, коли інтернет широко доступний на борту сучасних комерційних суден, судновий персонал може вільно використовувати свої особисті мобільні пристрої або ноутбуки для доступу в інтернет і приватного спілкування. При цьому часто нехтуючи кібергігієною і практиками безпеки в мережі, і ті ж самі персональні пристрої можуть використовуватися для оперативного зберігання і передачі даних, в тому числі для передачі даних на робочі станції ECDIS і з них.
Уявіть собі сценарій, коли хакерська група обрала танкер-хімовоз в якості мішені. Інформація про статичні та динамічні дані судна (курс/швидкість/положення), склад екіпажу, тип і кількість вантажу, пункт призначення, ім’я капітана та інші дані, що становлять інтерес, можуть бути зібрані з Інтернету. Зловмисники можуть шукати та використовувати соціальні мережі членів екіпажу, бажано членів команди містка обраного ціллю судна. Завдання полегшують соціальні мережі та вебсайти, орієнтовані на професійне спілкування та працевлаштування.
На другому етапі, етапі оцінки, обраний профіль ретельно вивчається зловмисниками на предмет наявності слабких місць. Сьогодні більшість користувачів соціальних мереж зареєстровані на кількох платформах, наприклад, орієнтованих на особисті та професійні зв’язки, а також розважальні вподобання. Тому зловмисники можуть отримати інформацію не лише про місце служби моряка, але й про його сім’ю, хобі, місця, які він відвідує, та іншу інформацію, яка може мати відношення до розробки соціальної атаки.
Метою зловмисників буде несанкціонований доступ до систем судна. Цільову особу можуть шантажувати або зв’язатися з нею через фальшивий профіль довіреної особи з метою розповсюдження шкідливого програмного забезпечення через доступ жертви. Непідготовлений і необізнаний офіцер-штурман може встановити шкідливе програмне забезпечення на навігаційний комп’ютер під виглядом “дружньої поради колеги”.
Соціально сконструйована атака може виглядати більш правдоподібною, якщо її об’єктом стає береговий персонал, наприклад, технічний персонал або співробітники служби підтримки. Застосовуючи майже ті ж самі заходи з пошуку, оцінки, вибору цілей і злому, зловмисники можуть проникнути та атакувати навіть більші групи суден, оскільки берегові фахівці часто мають доступ і юрисдикцію над багатьма суднами.
Більш мерзенні наміри можуть включати спричинення розливу хімічних речовин, виведення судна на курс зіткнення з військовим кораблем або пасажирським судном, або пошкодження критично важливої берегової інфраструктури. Що стосується цих сценаріїв, то морські кіберзагрози слід розглядати як питання Міжнародного кодексу з охорони суден і портових засобів (ISPS), а не лише Міжнародного кодексу з управління безпекою (ISM). Кодекс ISPS об’єднує різні конструктивні вимоги для досягнення певних цілей щодо забезпечення безпеки суден і портів.
Існує кілька важливих вимог, передбачених ISPS. Обмін інформацією з питань безпеки між відповідними державними та приватними установами містить збір та оцінку отриманої інформації, а також її подальше розповсюдження. Відповідно, для нескладного обміну інформацією включені визначення відповідних протоколів зв’язку для суден і портових засобів. Іншим важливим елементом є спроби запобігти будь-якому несанкціонованому доступу на судно, портовим засобам або до інших важливих зон з обмеженим доступом. Навіть якщо несанкціоноване проникнення не становить загрози, воно завжди розглядається як потенційна небезпека.
ISPS також регулює положення про різні варіанти підняття тривоги в разі виникнення інциденту, пов’язаного з охороною, або оцінки потенційної небезпеки. Видається досить логічним застосувати аналогічні вимоги до морської кібербезпеки. Є кілька основних завдань, які слід розглянути: збір, оцінка та обмін інформацією з кібербезпеки між зацікавленими сторонами; запобігання несанкціонованому доступу; встановлення або передача шкідливого і шпигунського програмного забезпечення; а також відповідна підготовка персоналу.
Зрештою, слід запровадити регулювання щодо людського фактора. Зокрема, слід запровадити тренінги та навчання для екіпажів суден і персоналу портових об’єктів, щоб забезпечити їхню обізнаність із планом безпеки та відсутність затримок у виконанні процедур у разі реальної загрози. Слід заохочувати підвищення кваліфікації та навчання з кібербезпеки, особливо для критично важливих працівників, таких як вахтові офіцери або інженери. Метою такої освіти є отримання знань та розвиток навичок у сфері кібербезпеки для того, щоб передбачати загрози на ранніх стадіях. Підготовлений персонал також повинен бути готовим запобігти несанкціонованому доступу до критично важливого обладнання та систем і бути пильним щодо певних несправностей, які можуть бути спричинені незаконним проникненням. У разі потенційного проникнення персонал повинен мати достатню кваліфікацію, щоб ізолювати уражені ділянки системи, не втрачаючи при цьому контроль над судном. Їхні навички повинні включати вміння керувати переходом на аварійне ручне управління і використовувати класичні методи в мореплавстві та зв’язку.
Забезпечення морської безпеки через кібербезпеку стане набагато складнішим завданням. Вона вимагатиме продуманого поєднання людського фактора, технічних інновацій, процедур управління, протоколів безпеки та класичних морських ноу-хау. Враховуючи недостатню кіберобізнаність деяких моряків, перенесення шкідливого програмного забезпечення з персонального пристрою на навігаційну систему судна є лише питанням часу. Міжнародне морська спільнота повинна прискорити та посилити зусилля з розробки адекватних заходів для протистояння майбутнім викликам у морській кіберсфері.
Леонід Ващенко
