Schifffahrt | Shipping CSO Alliance wins cross-sectional support One year ago, HANSA showed the strategy and background of the CSO Alliance, a project for gathering information in order to get prepared for cyber attacks. Since then, it has made a lot of progress. Michael Meyer takes another look brief look back: the CSO Alliance relies on tried and tested forces from A the fight against piracy in a new guise. It aims at a worldwide network of information and informants. It mainly consists of Chief Security Officers (CSO) of companies and organizations, but it should not stay that way from the start. Marc Sutcliffe, Managing Director of the UK-based CSO Alliance, strikes a positive first balance although simultaneously he knows that there is still a lot to do. »We are steadily growing and evolving the business,« he tells HANSA. As one step in this process, instead of selling information directly to ship owners, the alliance now has licensing agreements, for example with Norwegian War Risk. CSO Alliance members can make best use of the infrastructure in the alliance’s »private group«. Key supporters like DNV GL, North P&I and the Marshall Island flag registry are still on board. New partners might be added, Sutcliffe reveals, »as we roll out the licensing model.« Another very important step was the launch of the partnership with aviation giant Airbus which is supposed to enter a second phase in 2018 still. Airbus supports the alliance with workshops and expertise. »They have over 700 people in the cyber division and as we shape up our reporting and structures, more resource can flow. They are looking at investing in some new online tools in both CSO Alliance and Cyber Alliance to help CSO & CISOs,« Sutcliff adds. Privacy and infrastructure are two of the most crucial points behind the whole idea and the work of the project. Especially with regard to the expected digitization wave in the industry, the awareness is steadily growing. According to Sutcliffe, the awareness is in fact improving, »but we do need a single source to collect and support and that is what the MCERT will do by adding industrial horsepower.« MCERTS is the UK Environment Agency’s »Monitoring Certification Scheme.« Certainly, the malware incident Maersk/ Petya last year seems to have focused a few maritime minds. The concept of the Alliance is as simple as effective: members report cyber-attacks that have been committed, prevented or that are potentially pending. The information is recorded, evaluated, if necessary analyzed and passed on. In this way, authors, criminal networks and procedures can be identified and responded to by appropriate countermeasures or protective measures. Observers of the maritime security sector are by no means unfamiliar with this approach: this remedy is also used to combat modern pirates. One example is the Southeast Asian cooperation agreement ReCAAP. Initially smiled at, it has now become a success story. Because individual national authorities are much more aware of pirate attacks, strategies, and operational areas, many abuses can be prevented in advance. A key argument for stronger cooperation is the sophisticated system the project is based on so that it does not fall victim to cyber criminals itself. So far, no attack on the network itself has been discovered. But the system has been fully penetration tested and corrective actions have been taken. At least as important is the feature of anonymous, encrypted reports. A portal is designed to provide information on attacks, recommendations for action and live statistics just hours after a report has been made. In a secure forum, a direct exchange is also possible. A driver of the alliance’s structure was and still is the 34 HANSA International Maritime Journal – 155. Jahrgang – 2018 – Nr. 7
Schifffahrt | Shipping Schifffahrt | Shipping Neue Cyber-Allianz mit bewährter Waffe In der maritimen Industrie stellt sich eine neue Allianz zur Bekämpfung von Cyber Crime auf. Dabei setzt man vor allem auf Island und (aus der Piraterie-Bekämpfung) bewährte Kräfte in neuem Gewand: Informationen. Von Michael Meyer D ie Schifffahrt ist wie andere Industrien durch Cyberrisiken bedroht. Gründe für Attacken können (Industrie-)Spionage, politisch-gesellschaftliche Protestaktionen oder der lukrative Weiterverkauf von sensiblen Daten sein. Bisher zielen die meisten Angreifer allerdings eher auf Daten und Systeme ab, als darauf, ein Schiff unter Kontrolle zu bringen, heißt es im jüngsten Sicherheitsbericht des Versicherungskonzerns Allianz. Darin wird die Branche aufgefordert, die IT-Sicherheit nicht zu vernachlässigen. »Weil die Schifffahrt bisher von großangelegten Attacken weitgehend verschont geblieben ist, wird die Gefahr noch unterschätzt«, so der Bericht. Gerade mit Blick auf die erwartete Digitalisierungswelle in der Schifffahrt gewinnt diese Ansicht immer mehr Anhänger. Viele Akteure wissen noch nicht so recht, wie sie der Gefahr begegnen sollen – andererseits formieren sich auch ambitionierte Projekte. Eines davon ist die sogenannte CSO Alliance. Sie hat sich große Ziele gesetzt: Ein weltumspannendes Netzwerk von Informationen und Informanten soll entstehen. Aktuell besteht es vor allem aus den namensgebenden Sicherheitsverantwortlichen (Chief Security Officers = CSO) von Unternehmen und Organisationen, doch dabei soll es nicht bleiben. Gründer Mark Sutcliffe hat bereits eine ganze Reihe von Experten um sich geschart, rund 400 CSOs aus 40 Ländern haben sich registriert, die Allianz bildet und finanziert sich (zu einem großen Teil) durch Mitgliedschaften. Sie alle haben in ihrer täglichen Arbeit mit Cyber Security und elektronischen Attacken zu tun oder sollen diese verhindern. Ursprung in der Piratenabwehr Das Konzept der Allianz ist – so hoffen zumindest die Entwickler – so einfach wie effektiv: Alle Mitglieder geben Berichte über erfolgte, verhinderte oder möglicherweise anstehende Cyber-Attacken an das Netzwerk ab. Die Informationen werden aufgenommen, bewertet, gegebenenfalls analysiert und an die übrigen Mitglieder weitergereicht. So sollen 36 HANSA International Maritime Journal – 154. Jahrgang – 2017 – Nr. 7 Urheber, kriminelle Netzwerke und Vorgehensweisen erkannt und mit entsprechenden Gegen- oder Schutzmaßnahmen reagiert werden können. Beobachtern der maritimen Sicherheitsbranche ist diese Vorgehensweise keinesfalls unbekannt: Auch bei der Bekämpfung moderner Piraten wird auf dieses Mittel zurückgegriffen. Ein Beispiel ist das südostasiatische Koope- rationsabkom- men ReCAAP. Weil sich die Regierungen aufgrund eines ausgeprägten gegenseitigen Misstrauens und der (Über-)Betonung nationaler Souveränitäten nicht auf eine tiefgehende, operative Zusammenarbeit mit gemeinsamen Patrouillen oder militärischen Kooperationen einigen konnten, setzte man vor Jahren ein Informationszentrum auf. Damit verfolgt man genau diesen Ansatz. Anfangs belächelt, hat es sich mittlerweile zu einer Erfolgsgeschichte entwickelt. Weil die einzelnen, nationalen Behörden viel mehr über Attacken, Strategien und Operationsgebiete der Piraten erfahren, können viele Übergriffe im Vorfeld verhindert werden. Vor Westafrika entsteht derzeit ein solches Projekt (siehe Seite 34/35) und auch vor Ostafrika verfolgt man eine ähnliche Strategie. Die dortige Zusammenarbeit ist einer der Ursprünge für die jetzige CSO phenomenon of under-reporting. Many sufferers still refrain from giving information or even reporting it. They fear loss of reputation among potential customers, rising insurance premiums or protracted investigations by the police and the judiciary. As HANSA learned, within the CSO community there is some 20% more crime reporting than at other international reporting centres. One reason might be that many of these reporting centres do not list incidents unless they are reported directly by a vessel’s master or CSO. In contrast, the alliance includes verified reports from other agencies and reporting bodies. »We believe that only by collating all incidents you can get a realistic picture of the problem,« Sutcliffe emphasizes. He is convinced that a major cyber attack can be prevented: »The virus takes around four days to travel around the world, so there is plenty of time to share. As we have both human and automatic reporting it gets easier to track and analyse.« Once an attack is analysed, the alliance may contact the authorities. As it is based in the UK, the leaders meet and talk with »Govt Cyber resource«. The new director Chris Gibson of the MCERT used to run the UK CERT. Sutcliffe sees more synergies to explore. »We’ve also spoken with the UK’s National Cyber Security Centre, who have been supportive,« he adds. With regard to the experience made so far, a focus of the project is on cyber attacks on ports. In recent years there have been attacks, among others, in Genoa, Rotterdam, Dubai, Antwerp and Vancouver. This is an explicit part of the concept, so port CSOs are also involved. Sutcliffe, however, still sees potential: »We are working on and talking with port contacts for five years about a PFSO Alliance so that we can create security process efficiencies between our CSOs and PFSOs (port and facility security officers).« Only a couple of days ago, he was speaking at a special »port event« at IMO. According to him, this was the first time all the ports met at the U.N. maritime body. Alliance, wie Sutcliffe im Gespräch mit der HANSA bestätigt: »Sie wurde gegründet, als die CSOs in der Hochzeit der somalischen Piraterie unter großem Druck standen und sich regelmäßig – informell und in Workshops – austauschten.« Es habe allerdings mehrere Einflüsse gegeben. Das ReCAAP-Projekt leiste ebenfalls gute Arbeit, steche jedoch nicht mehr heraus als andere Initiativen. Unterstützung erfährt die CSO Alliance nicht nur von ReCAAP, sondern unter anderem auch von der NATO, der US-geführten Allianz Combined Maritime Forces (CMF), der EU-Mission »Atalanta«, der NATO und dem Internationalen Schifffahrtsbüro IMB. Zudem stehe man mit mehreren Regierungsbehörden wie der US Coast Guard in regelmäßigem Austausch. »Die Bedrohung kann nicht länger von einzelnen Regierungen bearbeitet werden, Cyber-Kriminalität entwickelt sich extrem schnell und jede neue Schwachstelle wird ausgenutzt«, so Sutcliffe. Mit dem zunehmenden auch finanziellen Erfolg der Piraten hat sich gleichzeitig eine digitale Gefahr entwickelt. Diverse Kaperungen und Überfälle hatten Komponenten von Cyber Crime, etwa wenn sich die Hintermänner in die Kommunikation zwischen Schiffen und/oder Reedereien und Hafen- oder Polizeibehörden hackten, um Informationen über Routen, Ladungen oder Besatzungen zu bekommen. »Das gleiche gilt für Ladungen in Häfen«, ergänzt Sutcliffe, »Kriminelle verschaffen sich so Daten über den Standort bestimmter Container, sei es für Diebstahl oder Schmuggelzwecke.« Sichere Kanäle Der Bericht wäre hier an seinem Ende angekommen, wenn Sutcliffe und seine Mitstreiter sich auf diese Strategie beschränken und nicht die diversen Stolpersteine in ihre Überlegungen einbezogen hätten, die es unzweifelhaft gibt. Zum Einen trägt das Projekt dem Umstand Rechnung, dass sich viele Cyber-Attacken in Häfen ereignen. Wie die HANSA erfuhr, gab es in den vergangenen Jahren Cyber-Attacken unter anderem in Genua, Rotterdam, Dubai, Antwerpen und Vancouver. Das ist ein expliziter Teil des Konzepts, daher sind auch Hafen-CSOs involviert. Zum Anderen, und das ist womöglich für viele Unternehmen ein entscheidendes Argument, soll die Zusammenarbeit auf einem ausgeklügelten System basieren, damit es nicht selbst Cyber-Kriminellen zum Opfer fällt. Es soll die Informationen über Unfälle als auch betriebliche Interna vor externem Zugriff sichern. HANSA International Maritime Journal – 154. Jahrgang – 2017 – Nr. 7 37 Schifffahrt | Shipping Um den Sorgen zu begegnen, soll das Portal ein eigenes System zur Früherkennung von Schadsoftware bekommen. Noch wichtiger sei der Punkt, dass anonyme Berichte möglich sind, so die Entwickler. Als Standort für den großen Server und die entsprechende Infrastruktur haben sich die Macher der Allianz Island ausgesucht, dort sei es vergleichsweise sicher und sehr abgelegen. Die Berichte der Mitglieder werden umgehend verschlüsselt. Nach einer Entschlüsselung durch die Allianz-Analysten (im französischen Toulouse) und einer Verarbeitung und Weiterleitung folgt ein Schritt, der für zusätzliche Sicherheit sorgen soll. Die Originaldaten werden komplett zerstört, so dass sie auch von keinem Hacker gestohlen werden können. In welcher Form die eingehenden Daten analysiert und aufbereitet werden, steht laut Sutcliffe noch nicht fest. »Wir diskutieren noch darüber und wollen eine Pilotphase abwarten.« Abstract: New cyber alliance uses (anti-piracy) approved tool Doch wie soll das »Information Sharing« überhaupt ablaufen? Sutcliffe gibt ausgiebig Auskunft darüber: Mit Unterstützung des Technologiepartners Wididi wird ein Online-Portal aufgebaut, zu dem nur Mitglieder Zugang haben. Der Anbieter hat bereits entsprechende Erfahrungen gesammelt, als er ein ähnliches Tool für As »CSO Alliance« a new initiative to combat cyber crimes in the maritime industry has been started. The most important instrument is the sharing of information about incidents and their key parameters – similar to projects to combat piracy. Today, the alliance is a network of more than 400 Chief Security Officers (CSOs) from 40 countries already. Additionally, several industry players like DNV GL, North P&I, Bimco and the Marshall Islands Registry support the project. The founders bet on the power of information: if the industry learns more about strategies and key components of cyber attacks, it would be easier to build up defense strategies, they argue. To adress the problem of under-reporting, a system of anonymous and secure channels is being built. Further information: redaktion@hansa-online.de In 2017, HANSA presented the idea of the CSO Alliance Last but not least, the shipping industry gains an overview of what can happen and how to detect an attack through the portal. The gateway to internal networks can be traversed in various ways, such as USB sticks containing malicious software, when updating electronic nautical charts (see pp. 36-37) or through spam e-mails. Experts believe this happens in shipping every day, but there is a lack of concrete information and of the »criminal footprint« of cyber attackers. The crucial, admittedly hypothetical question is: can the industry afford not to share information? No, Sutcliffe and his colleagues say. n Source: HANSAHANSA International Maritime Journal – 155. Jahrgang – 2018 – Nr. 7 35
