В соответствии с положениями ИМО Резолюции MSC.428(98) от 16.06.2017г. "Управление киберрисками в морской отрасли в рамках систем управления безопасностью":
Комитет по безопасности на море (Maritime Safety Committee - MSC):
1. ПОДТВЕРЖДАЕТ, что в утвержденной системе управления безопасностью должно учитываться управление киберрисками в соответствии с целями и функциональными требованиями МКУБ;
2. ПРИЗЫВАЕТ Администрации обеспечить, чтобы киберриски были должным образом учтены в системах управления безопасностью
не позднее, чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года;
Признавая также, что Администрации, классификационные общества, собственники и операторы судов, судовые агенты, изготовители оборудования, поставщики услуг, порты и портовые средства, а также все остальные стороны морской отрасли должны активизировать работу по обеспечению защищенности судоходства от существующих и возникающих новых киберугроз и уязвимости, с учетом Циркуляра MSC-FAL.1/Circ.3.
7 июня 2022 г. опубликована новая редакция Циркуляра MSC-FAL.1/Circ.3 /Rev.2 "Руководство по управлению киберрисками в морской отрасли".
Данное Руководство содержит обобщенные рекомендации по управлению киберрисками в морской отрасли в целях защиты судоходства от имеющихся и возникающих киберугроз и уязвимостей. В Руководстве также представлены функциональные элементы, способствующие эффективному управлению киберрисками.
Для целей данного Руководства понятие киберриск в морской отрасли отражает то, в какой степени тот или иной технологический ресурс подвержен угрозе, создаваемой возможными обстоятельствами или событиями, которые могут приводить к сбоям, связанным с эксплуатацией, безопасностью или защищенностью судов, вследствие повреждения, утраты или компрометации информации или систем.
Управление рисками традиционно было нацелено на операции в физическом смысле, однако растущая зависимость от процессов цифровизации, интеграции, автоматизации и сетевой коммутации систем привела к увеличению потребности судоходной отрасли в управлении киберрисками.
Кибертехнологии стали неотъемлемым элементом эксплуатации и управления работой многочисленных систем, жизненно важных для обеспечения безопасности и защищенности судоходства, а также охраны морской среды.
В некоторых случаях эти системы должны соответствовать международным стандартам и требованиям администрации флага. Однако уязвимости, возникающие в связи с доступом к таким системам, их сопряжением или сетевой коммутацией, могут приводить к возникновению киберрисков, которые требуют внимания. К числу уязвимых (критических) систем среди прочих относятся:
.1 системы ходового мостика (Bridge systems);
.2 системы обработки грузов и управления ими (Cargo handling and management systems);
.3 системы управления двигательными установками, механизмами и энергетическими установками (Propulsion and machinery management and power control systems);
.4 системы контроля доступа (Access control systems);
.5 системы управления обслуживанием пассажиров (Passenger servicing and management systems);
.6 сети общего пользования для пассажиров (Passenger facing public networks);
.7 административные системы и системы бытового обслуживания экипажа (Administrative and crew welfare systems);
.8 системы связи (Communication systems).
Следует учитывать различие между технологическими системами информационного и эксплуатационного назначения, а также необходимость защиты информации и обмена данными внутри этих систем.
Информационные системы могут рассматриваться как системы, нацеленные на использование данных в качестве информации.
Эксплуатационнымиможно считать системы, которые главным образом используют данные для управления физическими процессами или их мониторинга.
Более наглядно эксплуатационные технологии и информационные технологии представлены ниже на рисунке:
Хотя эти технологии и системы в значительной степени способствуют повышению эффективности морской отрасли, они также создают риски для критически важных систем и процессов, связанных с работой систем, являющихся ключевыми для судоходства. Эти риски могут быть обусловлены уязвимостями, возникающими в результате ненадлежащего функционирования, интеграции, обслуживания и архитектуры киберсистем, а также преднамеренными и непреднамеренными киберугрозами.
В число угроз входят злонамеренные действия (например, взлом или внедрение вредоносного ПО) и непреднамеренные последствия добросовестных действий (например, обслуживание программного обеспечения или предоставление прав доступа пользователям). В целом, такие действия либо вскрывают уязвимые места (такие, как устаревшее программное обеспечение или неэффективные брандмауэры), либо связаны с преднамеренным использованием уязвимостей эксплуатационных или информационных технологий. Эффективное управление киберрисками должно учитывать оба этих вида угроз.
Уязвимости могут быть результатом недостатков проектирования, интеграции и/или обслуживания систем, а также нарушений кибердисциплины:
В целом, когда уязвимые места эксплуатационных и/или информационных систем вскрываются или преднамеренно используются либо напрямую (например, в случае несанкционированного доступа вследствие слабости паролей), либо косвенно (например, в случае недостаточной сегрегированности сети), могут возникать соответствующие последствия для обеспечения защищенности, а также для конфиденциальности (confidentiality), целостности (integrity) и доступности (availability)информации.
Кроме того, когда вскрываются или намеренно используются уязвимые места эксплуатационных и/или информационных систем, это может влиять на безопасность, особенно в тех случаях, когда под угрозой оказываются критически важные системы (например, системы управления навигационным оборудованием ходового мостика или главной двигательной установкой).
Эффективное управление киберрисками должно также учитывать последствия для обеспечения безопасности и охраны, связанные со вскрытием или преднамеренным использованием уязвимостей информационных технологических систем. Они могут быть результатом ненадлежащего подключения к эксплуатационным технологическим системам или нарушений установленных процедур эксплуатационным персоналом или третьими лицами, что может поставить эти системы под угрозу (например, при ненадлежащем использовании съемных носителей информации, таких как флеш-карты)... (продолжение следует...)
