Merenkulun kyberturvallisuus huomioitava aluksissa ja varustamoissa

Organisaation kykyä ottaa riskejä strategisten tavoitteiden saavuttamiseksi tarkastellaan riskienarvioinnilla, jota tehdään päivittäisessä työssä ja merkittävissä muutoksissa. Riskejä ei voida kokonaan poistaa, joten seurauksiin on varauduttava ennalta.

Riskienhallinta sisältää riskianalyysin ja toimenpiteet suunnitelman toteuttamista varten sekä tilanteiden seuraamisen ja korjaamisen. Riskejä voidaan välttää, siirtää, vähentää tai estää vahingot. Riskienhallinnan avulla määritellään riittävät resurssit toimenpiteille.

Organisaatioon kohdistuva uhka tai kyberhyökkäys vaikuttaa haitallisesti sen resursseihin, tehtäviin, imagoon ja maineeseen sekä yksilön toimintaan. Kyberuhkauksia tapahtuu järjestelmiin tunkeutumisilla, tuhoamisella, tietojen paljastamisella ja niiden muuttamisella tai epäämällä pääsy organisaation tietojärjestelmiin. Hyökkäyksien tarkoitus on häiritä, poistaa käytöstä, tuhota tai hallita organisaation infrastruktuuria tai tietojärjestelmiä kyberavaruudessa. Hyökkäykset voivat tuhota tietojen eheyden tai varastaa hallittua tietoa.

Kyberhälytys vuonna 2017!

Merenkulkualan varsinainen silmienavaaja oli 27. kesäkuuta 2017 tanskalaisen varustamojätin A.P.Møller-Maerskin halvaannuttanut aggressiivinen ja vahingollinen notPetya-lunnasohjelma. NotPetya levisi kaikkiin Maerskin kannettaviin, työpöytäkoneisiin, virtuaalikoneisiin ja fyysisiin palvelimiin ympäri maailmaa ukrainalaisen tytäryhtiön kirjanpito-ohjelman päivityspaketista. Suomen tällä hetkellä tunnetuin kyberhyökkäys lienee psykoterapiakeskus Vastaamoon tapahtuneet vakavat tietoturvaloukkaukset vuosina 2018 ja 2019.

Kyberturvallisuushyökkäykset merenkulun organisaatioihin vuonna 2020

Verkkohyökkäyksiä kohdistettiin viime vuonna useisiin teollisuudenaloihin kuten julkishallintoon, puolustus-, sosiaaliturva-, terveys-, koulutus-, rahoitus- ja vakuutussektoriin sekä myös yksityishenkilöitä kohtaan. Tilastojen mukaan merenkulkualaa tehtiin useita merkittäviä tapauksia.

Maaliskuussa tehtiin tietomurto Norwegian Cruise Linen matkatoimistokumppanin portaaliin, jonka tietokanta, yhteensä 29 969 tietuetta löydettiin anonyymistä verkosta (dark web). Maaliskuussa kahteen Carnival Cruise Line -risteilyalukseen lähetettiin sähköpostitse phishing-hyökkäykset, jotka kohdistuivat asiakas- ja työntekijätietoihin.

Maailman toiseksi suurin konttivarustamo, Mediterranean Shipping Co (MSC) kärsi haittaohjelmien kyberhyökkäyksestä huhtikuussa. Hyökkäys aiheutti palvelinkeskushäiriön asiakasverkkosivustojen ollessa suljettuina ja sulki Geneven pääkonttorin viideksi päiväksi.

Carnival Cruise Line, Holland America Line ja Seabourn Carnival Corporation -varustamoihin kohdistui ransomware-kyberhyökkäys, jolla saatiin asiakkaiden ja työntekijöiden henkilökohtaisia tietoja elokuun puolivälissä. Overseas Express Shipping Company -varustamoon tehtiin haittaohjelmahyökkäys syyskuun puolivälissä.

Ranskalaiseen CMA CGM Group -varustamoon ja logistiikkayritykseen osui ransomware-lunnasohjelmahyökkäys syyskuun lopussa. Kansainvälisen merenkulkujärjestön IMO:n palvelimiin tehtiin puolestaan tuntematon hyökkäys lokakuun alussa.

Norjalaiseen risteily-yritykseen Hurtigruteniin keskittyi joulukuussa suuri ransomware-lunnasohjelmahyökkäys. Vakava kyberhyökkäys sulki useita keskeisiä järjestelmiä ja palvelimia, jotka vaikuttivat Hurtigrutenin maailmanlaajuiseen IT-infrastruktuuriin.

Saksalaisella AIDA Cruises -varustamolla sekä sen aluksilla M/s AIDAmar ja AIDAperla oli vuoden lopussa mystinen IT-ongelma, jonka takia uudenvuodenaaton risteilyt peruutettiin. Toimintahäiriöt estivät myös AIDA:n risteilyliiketoiminnassa varustamon tietokone- ja internetyhteydet, eivätkä maapuolen lankapuhelimet tai laivoissa olevat puhelimet toimineet. Pääkonttorista ei ollut myöskään internetyhteyttä aluksiin.

Tilastojen valossa vaikuttaa tällä hetkellä siltä, että merenkulkuun liittyvät kyberhyökkäykset tulevat jatkossakin kasvamaan. Merenkulun sidosryhmille on tarpeen lisätä tietoa asiasta ja kouluttaa tietoisuutta hyökkäyksien ehkäisemisestä ja lieventämisestä.