GUIDELINES ON MARITIME CYBER RISK MANAGEMENT.
MSC-FAL.1/Circ.3 — кибербезопасность в море. Бумага есть. Управления нет.
На бумаге всё правильно. Но море не живёт на бумаге. И цифровая эксплуатация в море тем более не живёт на бумаге.
Она живёт в другой среде: в среде спешки, частичного понимания, шаманства, неполной диагностики, человеческой усталости, ложной уверенности и очень дорогой цены ошибки.
И вот здесь по циркуляру у меня три удара молотом Тора практики морской жизни.
Удар 1. Ритуальный контроль, а не понимание.
Документ строит рамку. Рамка нужна. Но рамка сама по себе ещё не создаёт управление. Очень легко получить красивую картину: назначены ответственные, описаны процессы, проведён training, есть awareness, есть risk assessment, есть minimum controls.
А на борту человек не понимает даже самых базовых вещей о природе цифровой системы.
История 1. Мышка как ускоритель процессов.
Однажды у меня был старпом-филиппинец. Смотрю — он всё время водит мышкой по экрану: то по горизонтали, то круги наворачивает. Я говорю:
— Зачем ты это делаешь?
Он отвечает совершенно серьёзно:
— Ну как же, это быстрее загрузит программу. Я, типа, вот так её взбадриваю.
И вот в этом, по-моему, вся новая цифровая реальность и сидит.
Эти люди, которые сейчас на борту, современные экипажи, имеют нулевое представление о внутреннем устройстве компьютера. Какой там процессор, память, какие мегабайты, гигабайты — что ты. Вот эта светлая штучка перед ним — это и есть компьютер. А мышкой туда-сюда покрутить — это, значит, улучшить его работу.
Как у Б. Ф. Скиннера в эксперименте с голубями. Вот они, электронные голуби-специалисты современного мира.
Формально цифровая система уже включена в контур управления, а реально оператор воспринимает её как магический объект. Не как архитектуру. Не как вычислительную систему. Не как связку процессора, памяти, интерфейса, сети, задержек и отказов. А как светящуюся штуку, которую можно “взбодрить” мышкой, как будто это капризный телевизор.
Красная линия:
человек здесь уже не оператор системы, а black-box operator.
Он не понимает машину. Он ритуально живёт вокруг неё.
И бумага очень легко принимает эту ритуальную активность за управление.
Вот отсюда и рождается первая большая ложь современного compliance:
бумага уже считает, что управление есть, а в реальности на мостике сидит человек, который взаимодействует с системой на уровне суеверия.
Поэтому первый удар простой:
формализация создаёт ощущение контроля быстрее, чем появляется реальный контроль.
Документ говорит про training, awareness и процедуры — и он прав.
Но high-level guidance почти неизбежно описывает человека более рациональным, чем тот часто бывает в реальной эксплуатации.
Удар 2. На бумаге одно, в жизни - другое.
Проблема приходит не в виде красивого cyber event. Она приходит как паника. Как внезапно умерший экран. Как звонок из IT. Как люди, которые начинают что-то “лечить”. Как шаманство вокруг системы, которая уже летит в стену.
История 2. Шаманы чёрного экрана
Однажды капитан вызывает меня на мостик. Брызгая слюной, тычет в экран ECDIS:
— Что случилось? Немедленно исправить!
А экраны уже ушли в небытие. Программа электронных карт глючит, сыплет ошибками вплоть до system shutdown. Перед этим из IT успели позвонить: “компьютеры сошли с ума, что-то шлют, качают, срочно фиксить”.
Я настрочил письмо в норвежский саппорт. Капитан тоскливо сказал своё “спасибо” и ушел горевать в каюту.
Но до ответа саппорта электришн уже объявил заражение и полез “лечить” систему с каким-то подозрительным диском. И напрасно. Они добили её окончательно. Windows перестала грузиться даже в безопасном режиме.
Теоретически всё было redundant: два компьютера, раздельное питание. На практике всё убилось одной вещью.
Одна и та же USB-флешка. Сначала в один компьютер. Потом — в другой. Причём использовали её вообще непонятно зачем — обновление можно было сделать онлайн. Это уже не атака. Это наша, штурманская, неграмотность.
И вся “двойная защита” умерла одним действием. Всё.
Производитель предложил “решение”: купить новый диск с лицензией за несколько тысяч евро. В открытом океане. Доставка голубями!?
В этот момент появляется "ангел" - Виталик (факт), спасибо тебе дорогой человечище!
Небритый, угрюмый, с матюками — но через пятнадцать минут поднимает ECDIS: аварийный режим, чистка, откат из резерва. И всё работает!
Не потому, что сработала система. А потому, что рядом оказался человек, который понимает, что делает.
Формальные элементы системы существовали, но в критический момент решающим фактором оказалась не они, а индивидуальная компетентность конкретного человека.
На схеме это выглядело как резервирование.
В реальности — две ветки с общей точкой компрометации.
Красная линия
это и есть false redundancy.
На бумаге — два независимых контура.
В жизни — одна общая уязвимость.
И ещё одна красная линия:
это human fallback.
Когда система не держит себя сама, её удерживает человек.
Не управление. Удача.
Документ описывает правильные элементы управления. Но эксплуатация живёт снизу вверх: через давление времени, через неполную картину, через нерв, через ограниченность людей, через реальные, а не учебные условия.
Бумага предполагает управляемую рациональность. Море работает в среде неполной информации, давления времени и ограниченной человеческой компетентности.
Поэтому второй удар не в том, что документ неправильный.
А в том, что бумажная модель слишком легко предполагает среду, которой в реальной эксплуатации часто просто нет.
Удар 3. Хрупкость морских систем.
Вот здесь уже начинается самое вкусное.
История 3 Отказ рулевого контура.
Однажды я подходил к огромному комплексу на нефтяном поле. Он выглядел как монструозная буква «Ш» — из металла, труб и надстроек. У boatlanding, под 90 градусов, вплотную стоял огромный Rig. И течение — около двух узлов — давило прямо в угол между ними.
Я шёл на катамаране. Лёгкий, мощный. Но течение его тащит очень хорошо. Скорость держал безопасную — это и спасло. На подходе внезапно замечаю - правый руль заклинило Hard a Starboard (право на борт). Правый руль не работает. Левый — работает. И меня тащит течением в угол на встречу с металлом. Ловушка! Море уже готовило мне место на своём донышке.
Я сразу сообразил: рули бросил — толку от них нет, только мешают. Подруль слабый — против такого течения не удержит. Дал сильный задний ход правой машиной. Начал вытаскивать корпус из угла - назад, с отворотом на обратный курс кормой. Поймал момент — добавил левую назад. Под углом градусов 45 выскочил. Фактически шел на курсе кормой 180 градусов из этого "угла смерти".
Выскочил метров за 500 м. Докладываю Контролю:
— У меня руль заклинило, я не управляем.
Контроль сразу:
— Буксир нужен!
— Нет. Я уже вышел. Дрейфую за 500м. Сейчас разберёмся.
Дед нырнул в машину, посмотрел:
— У меня всё в работе, ошибка на стороне электроники.
У меня на мостике всё в одном юните: рулевое управление и автопилот — одна электронная логика. Выключил его тумблером, путем смены режима с follow-up на non-follow-up. По сути — обошёл мозги и вышёл напрямую на соленоиды. Управление вернулось в "аварийном режиме" - руль прямо. Включил обратно follow-up - работает!
Сигнал сбросился — и всё встало на место. Электроника, ребята, это страшная вещь.
Потому что здесь уже заканчивается разговор о “просто IT”.
В обычной цифровой среде сбой часто остаётся сбоем: неудобство, простой, потеря данных, восстановление.
В море всё иначе.
Здесь между цифровой ошибкой и физическим последствием почти нет буфера.
Один зависший контур — и у тебя уже не экран, а течение, угол, металл, инерция и секунды на решение.
Именно поэтому морская цифровая среда не просто уязвима. Она хрупка особым образом: её отказ быстро перестаёт быть “компьютерной проблемой” и становится проблемой манёвра, корпуса, людей и среды вокруг.
Красная линия:
в море цифровой отказ не остаётся цифровым.
Он быстро выходит в металл, течение, инерцию и время.
Это уже не IT-инцидент, а operational/safety event.
На бумаге такие системы можно называть resilient, redundant, controlled.
В реальности между формальной резервностью и реальной устойчивостью лежит огромная разница.
Если цифровой контур управления объединён в один логический узел, если режимы деградации плохо понятны экипажу, если safe fallback держится на случайной догадке практика, то система не столько устойчива, сколько пока ещё не рухнула до следующего сбоя.
И вот здесь третий удар становится окончательным:
морские цифровые системы не просто уязвимы — они хрупки так, что их сбой очень быстро превращается в физику, манёвр, металл и секунды.
Вывод
Ладно, если по-честному, я тут, конечно, местами "набросал на вентилятор".
Циркуляр не плохой. И уж точно не бессмысленный. Для документа такого уровня он делает то, что и должен делать: признаёт проблему, задаёт рамку, вводит язык управления, связывает киберриск с морской безопасностью и вытаскивает тему из зоны молчания.
И, если быть совсем честным, в нём уже много чего есть. Есть и training, и drills, и feedback, и continuous process, и разговор о зависимостях, критических системах, человеческих ошибках и цифровой гигиене.
Так что моя претензия не к тому, что рамка пустая. Моя претензия к другому: к тому, как легко такую рамку принять за решение.
Потому что между наличием правильных слов в документе и реальной управляемостью системы лежит огромная дистанция. И эта дистанция не закрывается самим фактом, что пункт уже написан, процедура уже утверждена, а ответственный уже назначен.
Море не читает high-level guidance. Море проверяет систему иначе: через усталость, давление времени, неполное понимание, общие точки отказа, ложную резервность и очень короткое расстояние между цифровым сбоем и физическим последствием.
Поэтому проблема не в том, что бумага “неправильная”. Проблема в том, что бумага может быть правильной, а система — ещё неосмысленной.
И вот здесь начинается главное.
Без постоянного обучения, без живого осмысления, без честной обратной связи от практики даже хорошая рамка слишком легко превращается в ритуал соответствия. Она уже выглядит как управление, но ещё не стала способностью системы видеть реальность, учиться на ней и не врать себе насчёт собственной устойчивости.
Так что да, я чуть перегнул. Но не в главном.
Главное остаётся тем же: формальная управляемость очень легко появляется на бумаге раньше, чем реальная управляемость появляется в системе.
И, возможно, настоящий вопрос здесь уже не только к документу, а к тому, способна ли сама морская система — через людей, обучение, практику и культуру — действительно дорасти до тех слов, которые она уже про себя написала.