Merenkulun kyberturvallisuuden riskit ja niihin varautuminen

Kyberhyökkäykset ovat Interpolin mukaan lisääntyneet koronapandemian aikana.

Kesällä valmistunut Maritime cybersecurity – Before the risks turn into attacks -tutkimus tarjoaa parhaita käytäntöjä kyberturvallisuuden ymmärtämiseksi ja ohjeiksi merenkulkusektorilla. Parhaita käytäntöjä ovat yleinen tietoisuus tietoturvahyökkäyksistä, roolien ja vastuiden määrittelemisen tärkeys sekä alusten miehistöjen ja varustamon toimistoissa työskentelevien henkilöiden valmistautumisharjoitukset yllättäviin tapahtumiin.

Tein julkaisun laajana kirjallisuuskatsauksena kyberturvallisuusasiantuntijoiden kirjoittamista tutkimuksista ja artikkeleista, joissa käsiteltiin uusinta ja olennaisinta tietoja tämän hetken kyberriskeistä merenkulkualalla. Julkaisussa keskitytään kansainväliseen säätelyyn, joka vaikuttaa kaikkiin suomalaisiin varustamoihin, ja se sisältää koosteen alalle tapahtuneista kyberhyökkäyksistä vuonna 2020.

Tutkimuksesta löytyy myös operatiivisen tekniikan osalta kyberturvallisuuteen vaikuttavia asioita alusten tieto-, käyttö- ja ohjausjärjestelmistä. Tietoturvahyökkäysten ehkäisemiseen ja niiden hillitsemiseen löytyy parhaiden käytäntöjen työkaluja.

Kyberhyökkäysten uhat on tunnistettava ja mahdolliset riskit minimoitava

Kyberturvallisuus tarkoittaa tehtäviä, jotka suojelevat henkilöitä, organisaatioita, yhteiskuntaa ja näiden tietotekniikkaa rikollisuudelta sekä verkon kautta tapahtuvilta hyökkäyksiltä. Kyberturvallisuus suojaa laitteita, verkkoja ja tietoja luvattomalta käytöltä.

Riskienhallinta on prosessi, jolla tunnistetaan, valvotaan ja eliminoidaan toimintoihin ja resursseihin kohdistuvia epäilyttäviä tapahtumia ja tietoturvahyökkäyksiä sekä suojellaan yrityksen imagoa, mainetta ja työntekijöitä. Riskienhallinnan olennaisia osia ovat riskien arviointi, kustannus- ja hyötyanalyysit, järjestelmien valvonta sekä kohdistuviin uhkiin ja mahdollisuuksiin liittyvä turvallisuuden testaaminen ja ylläpitäminen. Riskienhallinnan tulee olla päivittäistä työtä, järjestelmällistä organisaation kehittämistä ja johtamista samalla arvioiden organisaation asettamia strategisia tavoitteita.

Uhka on haitallista yrityksen toiminnalle ja tarkoittaa käytännössä tunkeutujan luvatonta pääsyä tietoverkkoihin. Organisaation järjestelmissä saatetaan hyökkääjien toimesta tuhota, paljastaa tai muuttaa tietoa sekä estää palvelun käyttäminen. Hyökkäyksessä häiritään, poistetaan järjestelmiä käytöstä, tuhotaan ja hallitaan organisaation järjestelmiä tietoverkkojen kautta.

Mitä tehdä, ennen kuin riskit muuttuvat hyökkäyksiksi?

Kansainvälisen merenkulun järjestö IMO:n päätös kyberturvallisuuden ohjeistuksesta astui voimaan tämän vuoden alussa maailmanlaajuisesti. Asiakirja korostaa automaation, digitalisaation ja teknologian merkitystä merenkulkualalla.

Nykyaikaiset alukset sisältävät lukemattomia rajapintoja erilaisten järjestelmien ja toimitusketjujen kautta varustamojen asiakkaiden omiin tietojärjestelmiin. Vanhemmilla aluksilla on enemmän kyberturvallisuushaavoittuvuuksia operatiivisissa ohjausjärjestelmissä ja automaattisissa navigointijärjestelmissä sekä asiakirja-, kirjanpito- että varastonhallintajärjestelmissä.

Kyberturvallisuuden tehtävä on varmistaa aluksen, miehistön, matkustajien ja rahdin turvallisuus myös uusia teknologisia innovaatiota käyttöönottaessa. Luvaton pääsy tulee estää sekä tietotekniikan (IT), että operatiivisen tekniikan (OT) järjestelmiin.

Tietoverkkohyökkäykset teollisiin ohjausjärjestelmien (ICS) ympäristöihin ja niiden automaatiojärjestelmiin eivät ole enää fiktiota vaan todellisuutta. Kriittiset ohjelmisto- ja laiteohjelmistopäivitykset minimoivat kyberturvallisuuden riskejä. Järjestelmien varmuuskopiointi on välttämätöntä palautumisajan lyhentämiseksi.

Alusten miehistöjen ja konttorihenkilökunnan tulee sitoutua turvallisuuskäytäntöihin, jotka minimoivat verkkohyökkäysten uhkia. Henkilöstön koulutusohjelmiin tulee sisällyttää kyberturvallisuuden perusteet ja toiminta ennen tietoverkkohyökkäyksiä sekä hyökkäyksien jälkeen tapahtuvat toiminnot.

IT-tietojärjestelmien ja turvallisuuskriittisten OT-järjestelmien riskinhallintaa varten tulee ylläpidossa tunnistaa uhkat, haavoittuvuudet ja heikkoudet, mahdollisten vaaratilanteiden arviointi sekä tehokas suojaus. Sisäisten ja ulkoisten verkkojen eriyttäminen palomuuriratkaisuilla ja haittaohjelmien tunnistamisohjelmilla sekä reaaliaikainen verkkoliikenteen valvonta auttaa vähentämään tunkeutumisriskejä.

Merenkulkijoiden tulee ymmärtää kyberturvallisuuden merkitys ja varustamojen omien järjestelmien haavoittuvuudet, riskit ja verkkojen valvonta. Riskejä ei voi kokonaan poistaa, joten seurauksiin on varauduttava ja niitä on lievennettävä etukäteen. Kyberhyökkäykset voivat vaarantaa aluksien turvallisuuden.

Suosittelen tutustumaan myös aiemmin keväällä tekemäämme julkaisuun Kriisiviestintä kyberkriisissä. Kyberkriiseihin valmistautuminen ja kriisiviestinnän harjoittelu pk-yrityksissä, joka sisältää varustamoille hyviä työkaluja ja parhaita käytäntöjä arkielämään.

Artikkelia kirjoitettaessa maailmalla liikkuu vahva huhu, että varustamojätti CMA-CGM:n järjestelmiin olisi tunkeuduttu toistamiseen vuoden kuluessa. Hakkerit ovat varastaneet puolen miljoonan asiakkaan tiedot sekä tämän vakavan tietovuodon koskettavan luottamuksellisia tietoja. CMA-CGM vastaa tietovuodon koskevan ainoastaan henkilötietoja sisältäen työnantajan tiedot, henkilön aseman, yrityksen sähköpostin ja puhelinnumeron. Hakkerit lupasivat paljastaa tietonsa viikon kuluttua hyökkäyksestä syyskuun lopulla.

Kuten vanha sanonta kuuluu, ”lukot ovat vain rehellisiä ihmisiä varten”. Vanha lukko on kuitenkin helpompi murtaa kuin uusi.