Merenkulun kyberturvallisuus -julkaisun tummassa kansikuvassa on tietokoneiden näyttöjä, joista heijastuu ”mustahattuhakkerin”, eli pahansuopaisen verkkorikollisen kuva. Maritime cybersecurity. Before the risks turn into attacs -julkaisun kansikuva. Kuva: Vesa Tuomala.

Merenkulun kyberturvallisuuden riskit ja niihin varautuminen

05.10.2021

Kyberhyökkäykset ovat Interpolin mukaan lisääntyneet koronapandemian aikana.

Kuvassa Tutkitun tiedon teemavuoden 2021 logo (keltainen ympyrä, jossa mustalla teksti: Tutkitun tiedon teemavuosi, valkoisella vuosiluku 2021.Kesällä valmistunut Maritime cybersecurity – Before the risks turn into attacks -tutkimus tarjoaa parhaita käytäntöjä kyberturvallisuuden ymmärtämiseksi ja ohjeiksi merenkulkusektorilla. Parhaita käytäntöjä ovat yleinen tietoisuus tietoturvahyökkäyksistä, roolien ja vastuiden määrittelemisen tärkeys sekä alusten miehistöjen ja varustamon toimistoissa työskentelevien henkilöiden valmistautumisharjoitukset yllättäviin tapahtumiin.

Tein julkaisun laajana kirjallisuuskatsauksena kyberturvallisuusasiantuntijoiden kirjoittamista tutkimuksista ja artikkeleista, joissa käsiteltiin uusinta ja olennaisinta tietoja tämän hetken kyberriskeistä merenkulkualalla. Julkaisussa keskitytään kansainväliseen säätelyyn, joka vaikuttaa kaikkiin suomalaisiin varustamoihin, ja se sisältää koosteen alalle tapahtuneista kyberhyökkäyksistä vuonna 2020.

Tutkimuksesta löytyy myös operatiivisen tekniikan osalta kyberturvallisuuteen vaikuttavia asioita alusten tieto-, käyttö- ja ohjausjärjestelmistä. Tietoturvahyökkäysten ehkäisemiseen ja niiden hillitsemiseen löytyy parhaiden käytäntöjen työkaluja.

Kyberhyökkäysten uhat on tunnistettava ja mahdolliset riskit minimoitava

Kyberturvallisuus tarkoittaa tehtäviä, jotka suojelevat henkilöitä, organisaatioita, yhteiskuntaa ja näiden tietotekniikkaa rikollisuudelta sekä verkon kautta tapahtuvilta hyökkäyksiltä. Kyberturvallisuus suojaa laitteita, verkkoja ja tietoja luvattomalta käytöltä.

Kuvituskuva: kirjan kansikuva.
Tutustu julkaisuun tästä linkistä.

Riskienhallinta on prosessi, jolla tunnistetaan, valvotaan ja eliminoidaan toimintoihin ja resursseihin kohdistuvia epäilyttäviä tapahtumia ja tietoturvahyökkäyksiä sekä suojellaan yrityksen imagoa, mainetta ja työntekijöitä. Riskienhallinnan olennaisia osia ovat riskien arviointi, kustannus- ja hyötyanalyysit, järjestelmien valvonta sekä kohdistuviin uhkiin ja mahdollisuuksiin liittyvä turvallisuuden testaaminen ja ylläpitäminen. Riskienhallinnan tulee olla päivittäistä työtä, järjestelmällistä organisaation kehittämistä ja johtamista samalla arvioiden organisaation asettamia strategisia tavoitteita.

Uhka on haitallista yrityksen toiminnalle ja tarkoittaa käytännössä tunkeutujan luvatonta pääsyä tietoverkkoihin. Organisaation järjestelmissä saatetaan hyökkääjien toimesta tuhota, paljastaa tai muuttaa tietoa sekä estää palvelun käyttäminen. Hyökkäyksessä häiritään, poistetaan järjestelmiä käytöstä, tuhotaan ja hallitaan organisaation järjestelmiä tietoverkkojen kautta.

Mitä tehdä, ennen kuin riskit muuttuvat hyökkäyksiksi?

Kansainvälisen merenkulun järjestö IMO:n päätös kyberturvallisuuden ohjeistuksesta astui voimaan tämän vuoden alussa maailmanlaajuisesti. Asiakirja korostaa automaation, digitalisaation ja teknologian merkitystä merenkulkualalla.

Nykyaikaiset alukset sisältävät lukemattomia rajapintoja erilaisten järjestelmien ja toimitusketjujen kautta varustamojen asiakkaiden omiin tietojärjestelmiin. Vanhemmilla aluksilla on enemmän kyberturvallisuushaavoittuvuuksia operatiivisissa ohjausjärjestelmissä ja automaattisissa navigointijärjestelmissä sekä asiakirja-, kirjanpito- että varastonhallintajärjestelmissä.

Kyberturvallisuuden tehtävä on varmistaa aluksen, miehistön, matkustajien ja rahdin turvallisuus myös uusia teknologisia innovaatiota käyttöönottaessa. Luvaton pääsy tulee estää sekä tietotekniikan (IT), että operatiivisen tekniikan (OT) järjestelmiin.

Aluksen tietoverkko koostuu informaatioteknologiasta (IT) ja operatiivisesta tekniikasta (OT). Kuvaan on piirretty aluksen hallinnollinen tietotekniikka, palomuurit, kytkimet, komentosillan eri järjestelmät, aluksen matkustajille tarkoitettu wifi-verkko, osa aluksen ohjausjärjestelmästä (OT) ja propulsiojärjestelmästä, joka liikuttaa laivaa eteen- ja taaksepäin vedessä.
Yksinkertaistettu kuva aluksen tietoverkkotopologiasta.

Tietoverkkohyökkäykset teollisiin ohjausjärjestelmien (ICS) ympäristöihin ja niiden automaatiojärjestelmiin eivät ole enää fiktiota vaan todellisuutta. Kriittiset ohjelmisto- ja laiteohjelmistopäivitykset minimoivat kyberturvallisuuden riskejä. Järjestelmien varmuuskopiointi on välttämätöntä palautumisajan lyhentämiseksi.

Alusten miehistöjen ja konttorihenkilökunnan tulee sitoutua turvallisuuskäytäntöihin, jotka minimoivat verkkohyökkäysten uhkia. Henkilöstön koulutusohjelmiin tulee sisällyttää kyberturvallisuuden perusteet ja toiminta ennen tietoverkkohyökkäyksiä sekä hyökkäyksien jälkeen tapahtuvat toiminnot.

IT-tietojärjestelmien ja turvallisuuskriittisten OT-järjestelmien riskinhallintaa varten tulee ylläpidossa tunnistaa uhkat, haavoittuvuudet ja heikkoudet, mahdollisten vaaratilanteiden arviointi sekä tehokas suojaus. Sisäisten ja ulkoisten verkkojen eriyttäminen palomuuriratkaisuilla ja haittaohjelmien tunnistamisohjelmilla sekä reaaliaikainen verkkoliikenteen valvonta auttaa vähentämään tunkeutumisriskejä.

Merenkulkijoiden tulee ymmärtää kyberturvallisuuden merkitys ja varustamojen omien järjestelmien haavoittuvuudet, riskit ja verkkojen valvonta. Riskejä ei voi kokonaan poistaa, joten seurauksiin on varauduttava ja niitä on lievennettävä etukäteen. Kyberhyökkäykset voivat vaarantaa aluksien turvallisuuden.

Suosittelen tutustumaan myös aiemmin keväällä tekemäämme julkaisuun Kriisiviestintä kyberkriisissä. Kyberkriiseihin valmistautuminen ja kriisiviestinnän harjoittelu pk-yrityksissä, joka sisältää varustamoille hyviä työkaluja ja parhaita käytäntöjä arkielämään.

Artikkelia kirjoitettaessa maailmalla liikkuu vahva huhu, että varustamojätti CMA-CGM:n järjestelmiin olisi tunkeuduttu toistamiseen vuoden kuluessa. Hakkerit ovat varastaneet puolen miljoonan asiakkaan tiedot sekä tämän vakavan tietovuodon koskettavan luottamuksellisia tietoja. CMA-CGM vastaa tietovuodon koskevan ainoastaan henkilötietoja sisältäen työnantajan tiedot, henkilön aseman, yrityksen sähköpostin ja puhelinnumeron. Hakkerit lupasivat paljastaa tietonsa viikon kuluttua hyökkäyksestä syyskuun lopulla.

Kuten vanha sanonta kuuluu, ”lukot ovat vain rehellisiä ihmisiä varten”. Vanha lukko on kuitenkin helpompi murtaa kuin uusi.

Tutkimus kuuluu osana GET READY -hankkeen selvityksiä digitalisaation hyödyistä ja uhkista merenkulku- ja logistiikka -alalla. GET READY -hanke on rajat ylittävä yhteistyö venäläisten ja suomalaisten akateemisten, tieteellisten sekä yrityksien välillä ja se saa rahoitusta Kaakkois-Suomi – Venäjä CBC -ohjelmasta.

Hankkeessa etsitään parhaita käytäntöjä alusten, varustamoiden, satamaomistajien ja -operaattoreiden sekä liikenteenharjoittajien digitalisaation kehittämiseksi ja turvallisuustekijöiden lisäämiseksi alan sidosryhmille. Tavoitteena on luoda innovaatioita kestävän kehityksen satamille, suojella ympäristöä ja hillitä ilmastonmuutosta. Hankkeessa kehitetään ammatillista osaamista ja koulutussisältöjä älykkäiden satamien digitalisointiin, sekä ympäristöasioiden hallintaan. Lisätietoja hankkeen verkkosivuilta.

Kirjoittanut Vesa Tuomala

Kirjoittaja työskentelee GET READY -hankkeen projektipäällikkönä Kaakkois-Suomen ammattikorkeakoulussa ja opiskelee päivätyön ohella valkohattuhakkeriksi.