Σταδιακά προσαρμόζετε η ελληνική ναυτιλία, στις ανάγκες που δημιουργεί η ταχεία ψηφιοποίηση του κλάδου, προκειμένου να καλυφθούν οι ανάγκες που δημιουργεί, κυρίως σε θέματα ασφάλειας (cyber security). Η Ένωση Διευθυντών Πληροφορικής Ναυτιλιακών Εταιρειών (AMMITEC) διεξήγαγε πρόσφατα μια έρευνα στα διευθυντικά στελέχη IT 40 ναυτιλιακών εταιρειών, προκειμένου να διερευνήσει την ωριμότητα τους όσον αφορά την ασφάλεια στον κυβερνοχώρο. Πιο συγκεκριμένα σκοπός της έρευνας αυτής ήταν να εντοπίσει τις κορυφαίες τάσεις και βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο, τους τομείς προς βελτίωση, καθώς και τις κύριες προκλήσεις που πρέπει να αντιμετωπιστούν από τους CIO, CTO, CISO, IT Directors και IT Managers στον τομέα της Ναυτιλίας.
Στο ερώτημα αν διαθέτουν ασφάλιση έναντι των πιθανών κυβερνοεπιθέσεων, το 27,5% είπε ότι έχει ασφαλιστική κάλυψη για κυβερνοεπιθέσεις τόσο για τα πλοία όσο και για τα γραφεία της εταιρείας. Το 40% βρίσκεται αυτή τη στιγμή στη διαδικασία διερεύνησης η διαπραγμάτευσης κάποιου πλάνου ασφάλισης για αυτούς τους κινδύνους, ενώ το 32% των ερωτηθέντων δεν διαθέτει σχετική ασφαλιστική κάλυψη.
“Η εκτίμησή μας είναι ότι αυτός ο αριθμός θα αυξηθεί γρήγορα”, αναφέρει στην ανάλυσή της, η AMMITEC. “Υπάρχει αυξανόμενη ζήτηση για προϊόντα και υπηρεσίες ναυτιλιακής ασφάλισης έναντι κινδύνων που σχετίζονται με τον κυβερνοχώρο. Οι ναυτιλιακές ασφαλιστικές εταιρείες προσφέρουν ένα ευρύ χαρτοφυλάκιο πολιτικών όπως το LMA5403 Marine Cyber Endorsement Buy-Back (πρώην CL380), το κάλυμμα Cyber H&M [κύτος και μηχανήματα]. Κάλυψη Cyber LoH [απώλεια πρόσληψης].
“Οι πολιτικές εκτίμησης κινδύνου και μετριασμού κινδύνου είναι προϋποθέσεις που επιβάλλονται από τους ασφαλιστές πριν προσφέρουν ασφαλιστική κάλυψη. Μέσω των ερωτηματολογίων εγγραφής τους, αναζητούν στοιχεία για εκτεταμένα τεχνικά και μη τεχνικά μέτρα που αποδεικνύουν την προσέγγιση της εταιρείας στη Διαχείριση Κινδύνου Κυβερνοχώρου”, σημείωσε η AMMITEC. «Η Ασφάλιση στον κυβερνοχώρο πρέπει να θεωρείται ως συμπληρωματικό μέτρο, επιπλέον της ήδη υπάρχουσας στρατηγικής κυβερνοασφάλειας του οργανισμού », επισημαινει χαρακτηριστικά.
Στην ερώτηση ποιοι τομείς της κυβερνοασφάλειας θα έχουν την υψηλότερη προτεραιότητα τα επόμενα χρόνια, το 65% απάντησε το Ransomware, το 40% είπε ΟΤ (Operational Technology) και Επιθέσεις Εφοδιαστικής Αλυσίδας (Supply Chain Attacks), ενώ ένα σοβαρό αναδυόμενο πρόβλημα που διακρίνουν οι ερωτηθέντες, με ποσοστό 30%, είναι η υπερφόρτωση των τμημάτων ΙΤ με αρμοδιότητες χωρίς την αντίστοιχη επαρκή στελέχωση και τον αντίστοιχο προϋπολογισμό.
Στην ερώτηση, “Ποια μέτρα ασφαλείας έχει εφαρμόσει η εταιρεία σας για να εξασφαλίσει την κατάλληλη προστασία από επιθέσεις στον κυβερνοχώρο;” τα στελέχη των ναυτιλιακών εταιρειών που είναι επιφορτισμένα και την ψηφιακή ασφάλεια των ναυτιλιακών εταιρειών απάντησαν, το 87% Firewalls και Προστασία Σταθμού Εργασίας (όπως antivirus), το 72% “ανίχνευση / πρόληψη εισβολής”, το 67% ελεγχόμενη χρήση USB stick, 70% έλεγχο ταυτότητας δύο παραγόντων, 72% λύσεις για anti-phishing, 50% sandboxing, 35% SOC 24/7 (κέντρο λειτουργιών ασφαλείας), 30% SIEM (σύστημα διαχείρισης συμβάντων), και 47% διαχείριση κινητών συσκευών.
Σϋμφωνα με την AMMITEC, μία από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι διαχειριστές πληροφορικής είναι η επιλογή του βέλτιστου μείγματος εργαλείων κυβερνοασφάλειας, η εύρεση των καλύτερων δυνατών λύσεων που ελαχιστοποιούν τον κίνδυνο στον κυβερνοχώρο, παραμένοντας παράλληλα εντός προϋπολογισμού»,. Οι ηγέτες της ναυτιλιακής πληροφορικής γνωρίζουν καλύτερα από αυτό. Γνωρίζουν ότι δεν υπάρχει ούτε μία θεραπεία για όλες τις ασθένειες, ούτε ένα μόνο μέγεθος που να ταιριάζει σε όλες. Η AMMITEC έχει μια πρωτοβουλία να δημιουργήσει ένα σύνολο «Κατευθυντήριων γραμμών» για την αξιολόγηση και την επιλογή εργαλείων για την ασφάλεια των Ναυτιλιακών εταιρειών στον κυβερνοχώρο.
Όσον αφορά την στελέχωση σύμφωνα με τα αποτελέσματα μόνο το 11% των εταιρειών είχε ένα άτομο υπεύθυνο αποκλειστικά για την Κυβερνοασφάλεια (CISO – επικεφαλής υπεύθυνος ασφάλειας πληροφοριών). Η AMMITEC σημειώνει ότι για τις μικρές και μεσαίες ναυτιλιακές εταιρείες, ο φόρτος εργασίας θα μπορούσε να διεκπεραιωθεί από άλλα μέλη του προσωπικού, όπως ICT, νομικά, HSQE, εμπορικά, εάν έχουν την κατάλληλη εκπαίδευση. Αλλά για τις μεγαλύτερες ναυτιλιακές εταιρείες, ένα αφοσιωμένο άτομο, ή ακόμα και τμήμα, θα πρέπει να απασχοληθεί για να αναλάβει αυτόν τον ρόλο. Τα άλλα τμήματα της εταιρείας δεν θα πρέπει όμως σε καμία περίπτωση να πιστεύουν ότι η κυβερνοασφάλεια δεν είναι πλέον ευθύνη τους! O CISO ή το τμήμα κυβερνοασφάλειας θα πρέπει να είναι το σημείο αναφοράς για την κυβερνοασφάλεια εντός της εταιρείας, και φυσικά η γραμμή αναφοράς του απευθείας στη διοίκηση ή/και ιδιοκτησία είναι υψίστης σημασίας σε αυτό το πλαίσιο. Ο CISO πρέπει να “λειτουργεί ανεξάρτητα , προκειμένου να παρέχει δίκαιες και αντικειμενικές εκτιμήσεις κινδύνου και καθοδήγηση. Εάν ένας CISO αναφέρεται στη διεύθυνση πληροφορικής, είναι πιθανό να ασκηθεί πίεση στο CISO για να ελαφρύνει την ασφάλεια, ώστε να διευκολυνθούν οι υπάρχουσες τεχνολογικές διαδικασίες ή λύσεις».
