Schiffstechnik | Ship Technology IT and OT as cyber security gateways A comprehensive group of maritime players has released new cyber risk management guidelines. A special focus lies on so-called »operational technology« As technology continues to develop, information technology (IT) and operational technology (OT) onboard ships are are getting interconnected – and increasingly often connected to the internet. This brings the greater risk of unauthorised access or malicious attacks to ships’ systems and networks. Risks may also occur from personnel accessing systems on board, for example by introducing malware via portable media. The third edition of the »Guidelines on Cyber Security Onboard Ships« addresses the requirement to incorporate cyber risks in the ship’s safety management system (SMS). It also reflects a deeper experience with risk assessments of operational technology – such as navigational systems and engine controls – and provides more guidance for dealing with the cyber risks arising from parties in the supply chain. OT systems control the physical world and IT systems manage data. OT is hardware and software that directly monitors/controls physical devices and processes. IT covers the spectrum of technologies for information processing, including software, hardware and communication technologies. Traditionally OT and IT have been separated, but with the internet, OT and IT are coming closer as historically stand-alone systems are becoming integrated. Disruption of the operation of OT systems may impose significant risk to the safety of onboard personnel, cargo, damage to the marine environment, and impede the ship’s operation, the partners think. Participants were BIMCO, InterManager, International Association of Dry Cargo Shipowners (INTERCARGO), International Association of Independent Tanker Owners (INTERTANKO), International Chamber of Shipping (ICS), International Union of Marine Insurance (IUMI), Oil Companies International Marine Forum (OCIMF) and World Shipping Council (WSC). The work was supported by Anglo Eastern, Columbia Ship Management, Maersk Line, Moran Shipping Agencies as well as the cyber security experts NCC, SOFTimpact, Templar Executives and Cyber Keel. »The industry will soon be under the obligation to incorporate measures to deal with cyber risks in the ship’s safety management system. This had not been tackled in the previous versions,« said Dirk Fry, chair of BIMCO’s cyber security working group and Director of Columbia Ship Management. »The third edition provides additional information which should help shipping companies carry out proper risk assessments and include measures in their safety management systems to protect ships from cyber-incidents. A new dedicated annex provides measures that all companies should consider implementing to address cyber risk management in an approved SMS,« he added. In his opinion, this is much easier said than done, noting that the criminals trying to exploit companies or breach their security are getting more inventive by the minute. A second key expansion in the guidelines is around operational technology. Ships have more and more operational technology which is integrated with information technology and which can be connected to the internet, but the risks associated with OT are different from IT systems. For example, malfunctioning IT may cause significant delay of a ship’s unloading or clearance, but with malfunctioning or inoperative OT there can be a real risk of harm to people, the ship or the marine environment. »On a ship, the job may be less focused on protecting data while protecting operational systems working in the real world has direct safety implications. If the ECDIS system or software controlling an engine are hit with malware, or if it breaks down due to lack of compatibility after an update of software, it can lead to dangerous situations,« Fry said. According to the Cyber Security Survey by BIMCO and ABS Advanced Solutions, the industry is more aware of the issue and has increased cyber risk management training, but there remains room for improvement. A third new focus area is the risk of malware infecting the ship’s systems via the many parties associated with the operation of a ship and its systems. »The ships are not just sitting there in the middle of the ocean. More and more ships are also closely connected to security systems in the companies’ offices and shippers’ offices and agents’ offices,« says Fry.MM 36 HANSA International Maritime Journal 04 | 2019
Schiffstechnik | Ship Technology Gastkommentar Warum physische IT-Sicherheit? Nils Fleischhauer Smart Light Solutions GmbH smartkeeper@smartlightsolutions.de Das Thema Sicherheit und Schutz sensibler Daten und deren Systeme und somit das Managen der IT-Sicherheit wird aufgrund der steigenden Komplexität sowie steigender Vorgaben der Behörden zunehmend wichtiger. Die Gefahren lauern nicht nur zu Lande, sondern auch zu Wasser, was zur Folge hat, dass auch die Schifffahrtsbranche davon betroffen ist. Mit der Veröffentlichung der siebten Ausgabe des SIRE Vessel Inspection Questionnaire (VIQ7) im Herbst 2018 wurde das Thema Cybersecurity, insbesondere für Öl-, Chemie- und Gastanker, auf die Agenda gebracht. Um das Risiko so gering wie möglich zu halten, sollte der Schutz kritischer IT-Schnittstellen in Betracht gezogen werden. Insbesondere, um mögliche Schadprogramme, die u.a. auf USB-Speichermedien mitgeführt und bewusst oder unbewusst in das Schiffsnetzwerk eingeführt werden können, zu verhindern. USB-Schnittstellen, aber auch alle anderen kritischen Ports, stellen grundsätzlich eine unmittelbare Gefahr dar und sollten geblockt werden. Schließlich lassen sich USB Ports flexibel nutzen, ein USB-Stick oder das Handy ist schnell eingesteckt, etwa zum unbefugten Kopieren oder dem unerwünschten Datenaustausch. Vermeintlich harmlose USB-Sticks, die an einem beliebigen Ort von einem Mitarbeiter entdeckt wurden, könnten von Dritten mutwillig dort platziert worden sein und stellen eine große Gefahr dar. Steckt der Mitarbeiter diesen gefundenen Stick an seinem Arbeitsplatz-System an, kann im Hintergrund eine Schadsoftware installiert werden – ohne dass die Mitarbeiter oder die Administratoren dies zunächst bemerken. Zum anderen ist es denkbar, dass manipulierte Geräte oder Keylogger eingesetzt werden, um Kollegen zu bespitzeln, oder an deren Passwörter zu gelangen. Dabei geht auch von unzufriedenen Mitarbeitern eine Gefahr aus, etwa könnten sich diese Personen vertraulichen Informationen beschaffen und auf einem USB-Speichermedium aus dem Unternehmen entwenden. Eine ähnliche Gefahr geht hier gleichermaßen von externen Personen aus. Sei es, wenn Mitarbeiter gezielt angesprochen oder Personen in Unternehmen eingeschleust werden, um an Daten heranzukommen. Nötig ist eine physische IT-Präventions-Sicherheitslösung, die kritische Eingangs- und Ausgangsports der IT- Hardware – wie USB-Ports, Netzwerkanschlüsse, Switches, Drucker oder Server – mechanisch verschließt. Auch das Sichern und Verwalten von IT-Schnittstellen auf Schiffen sollte gewährleistet werden, als physischer Komplementär zu softwarebasierten Sicherheitsmechanismen. HANSA International Maritime Journal 04 | 2019 37
