Міжнародна організація Maritime Cyber Security (IMCSO), незалежна організація морських стандартів, оприлюднила в понеділок свою нову методологію оцінки кібербезпеки. Розроблені для морських суден, які прагнуть оцінити свій кібер -ризик та приєднатися до реєстру кібер -ризиків IMCSO, бази даних реєстру ризиків, що підтримується IMCSO. Методологія має на меті забезпечити кібер -консультанти, акредитованих IMCSO, та старшого морського персоналу, який вони будуть оцінювати за допомогою стандартизованого тестування, окреслюючи область тесту та мову, яка буде використана для забезпечення планування, виконання та повідомлення про тести. Він також прагне визначити обсяг, мову та результати, необхідні для підготовки старшого персоналу з судноплавства та оцінки ОТ (операційна технологія), створюючи стандартизовані тести.
Ініціатива спрямована на підтримку кібер-консультантів, акредитованих IMCSO та старшого морського персоналу, з яким вони працюють, що дозволяє їм проводити ретельні та ефективні оцінки. Встановлюючи спільну мову та підхід, методологія підвищує надійність та порівнянність тестування кібербезпеки в морській галузі, допомагаючи судам краще зрозуміти та пом'якшити їх кібер -ризики.
IMCSO зазначив, що тестування оцінить безпеку в десяти категоріях під парасольковим терміном інфраструктури ОТ, тобто обладнання та програмне забезпечення, необхідне для моніторингу та управління фізичними процесами корабля. Сюди входять навігація, привід, електричні системи, комунікації, системи безпеки, обробка вантажів, системи навколишнього середовища та системи обслуговування, людські фактори та проблеми з регуляторами та дотриманням. Оцінка може проводитися в морі, на березі або комбінації двох.
В даний час єдиними стандартами OT, доступними для сектору, є ті, що пов'язані з виробничою промисловістю, і дуже мало безпосередньо оцінюють ОТ.
Методологія оцінки кібербезпеки передбачає умови, за яких будуть проведені оцінки кібербезпеки. Він виступає як юридичний та практичний посібник для практикуючих кібербезпеки, які повинні дотримуватися стандартів як умови їх включення до списку затверджених постачальників, інакше відомий як сертифікований реєстр постачальників, що проводиться IMCSO. Також капітан та екіпаж, що проходять оцінку, також буде потрібно дотримуватися методології та пройти навчання попереднього оцінювання, щоб стати готовими до кібер, щоб краще зрозуміти процес та його висновки.
Кемпбелл Мюррей, генеральний директор IMCSO, визначив, що в даний час у морському секторі немає стандартів для управління якістю оцінок кібер -ризику. «Ця методологія встановить прецедент, надаючи набір критеріїв, які оцінювачі повинні дотримуватися, коли при залученні та проти яких можна виміряти морську безпеку. Це дуже великий крок вперед у нормалізації як очікувань, так і вимог у морському просторі », – додав він.
Крім того, для судноплавних компаній часто може бути важко об'єктивно оцінити своїх постачальників ОТ, оскільки Мюррей пояснює: «Треті сторони та судноплавні компанії поділяють залежність із спільними цілями та інтегрованими операціями. Однак, з атаками ланцюгів поставок на зростання, вони представляють реальний ризик для операцій. Це може напружити відносини, але, застосовуючи систематичний підхід за допомогою стандартизованої оцінки ризику, компанія може покластися на процес, щоб перевірити поставу кібербезпеки своїх постачальників для них ».
Компоненти методології оцінки кібербезпеки IMCSO включають передумови, що висвітлюють правила взаємодії, дозволу, обсягу роботи, цілей, зони тестування; Обсяг роботи, яка окреслює деталі та цілі проекту, підписані обома сторонами; Правила залучення, що охоплюють керівні принципи для тестування, включаючи дозволені години та обмеження; та дозволу та юридичні міркування щодо дотримання законів та письмового затвердження зацікавлених сторін. Він також стосується методології тестування, що включає використовуваний підхід; результати, що складаються з очікуваних результатів, таких як звіти та рекомендації; та терміни, такі як дати початку та кінця, з ключовими етапами.
Методологія оцінки кібербезпеки також складається з плану комунікації, який включає точки контактних та звітних протоколів; Управління ризиками та планування на випадок надзвичайних ситуацій для зменшення потенційних ризиків, таких як простої або втрата даних; конфіденційність та обробка даних для захисту конфіденційних даних та результатів; Тестувальна діяльність, яка здійснює кваліфікований персонал, з оперативним повідомленням про критичні проблеми; гарантує, що результати безпеки представлені у структурованому та зрозумілому форматі; та звітувати про надійну та конфіденційну доставку остаточного звіту.
Звіти застосовуватимуть практичний підхід із чіткими рекомендаціями, зробленими у відповідь на будь -які проблеми безпеки чи вразливості. Виходи будуть стандартизовані за методологією, використовуючи якісні показники, і ця послідовність забезпечить порівнянні результати для кожного судна. Результати будуть використані для профілю кібер -ризику судна, статус якого буде записаний у реєстрі кібер -ризику.
Коривісці чутливі до обміну даними свого судна. Реєстр кібер -ризиків буде служити цінним ресурсом для зацікавлених сторін та відповідними сторонами, включаючи портове органи, страхові компанії та партнери асоціацій, надаючи уявлення про тенденції кібер -ризику в морському секторі. Крім того, він підтримуватиме широкій галузі, включаючи ІМО, суднобудівники, управлінські компанії та галузеві асоціації, пропонуючи надійний реєстр постачальників, кваліфікованих практиків та постачальників послуг, щоб допомогти судам ефективно зміцнити їх кібер -стійкість та пом'якшити ризики.
Минулого місяця Берегова охорона США заявила, що має намір опублікувати своє остаточне правило, що охоплює норми морської безпеки, встановлюючи мінімальні вимоги до кібербезпеки для суден, що переживають США, зовнішніх континентальних об'єктів та об'єктів, що підпадають під дію Закону про безпеку морського транспорту 2002 року . Заключне правило стосується поточних та нових загроз кібербезпеки в системі морського транспорту, додавши мінімальні вимоги до кібербезпеки, щоб допомогти виявити ризики та реагувати на та відновити інциденти з кібербезпеки.
