Οι κυβερνοεπιθέσεις και οι κυβερνοαπειλές αποτελούν πλέον μέρος της καθημερινότητας και ας μην το γνωρίζουν πολλοί από εμάς.
Όπως λένε πολύ ειδικοί στην κυβερνοασφάλεια, το ερώτημα δεν είναι αν θα πέσουμε θύμα επίθεσης αλλά το πότε. Στην ευρύτερη εικόνα βρίσκεται και η ναυτιλιακή βιομηχανία η οποία μεταφέρει το 90% του παγκοσμίου εμπορίου.
Το τι συμβαίνει και πώς μπορεί και σε ποίο βαθμό να προστατευτεί μία εταιρεία ή ένα άτομο από τις επιθέσεις αυτές αναλύει στο Νewmoney.gr ο Χρόνης Καπαλίδης ευρύτερα γνωστός στην παγκόσμια ναυτιλιακή βιομηχανία για θέματα κυβερνοασφάλειας, πρώην αξιωματικός του Πολεμικού Ναυτικού και Senior Manager του Τομέα Εκπαίδευσης και Συμβουλευτικών Υπηρεσιών για την HudsonAnalytix.
– Κύριε Καπαλίδη, η ασφάλεια του διαδικτύου μπορεί να θεωρηθεί απειλή με μορφή πανδημίας εφόσον πάρει μεγαλύτερες διαστάσεις;
Μπορούμε να πούμε με σιγουριά ότι αυτό είναι κάτι το οποίο ήδη συμβαίνει σε όλα τα επίπεδα. Και συμβαίνει λόγω της αυξανόμενης εξάρτησης μας από το διαδίκτυο. Στην Ελλάδα της πανδημίας είδαμε ότι το μεγαλύτερο ποσοστό των εργαζομένων αναγκάστηκε να δουλέψει από το σπίτι, κάτι που για πολλούς ήταν πρωτόγνωρο. Σε παγκόσμιο επίπεδο, αξίζει να αναφέρω κάποια στατιστικά που θα βοηθήσουν όλους μας να καταλάβουμε το μέγεθος αυτής της εξάρτησης.
Με βάση τα στοιχεία από τον ιστότοπο statistica.com, μέχρι τον Οκτώβριο του 2020, το 59% του παγκόσμιου πληθυσμού – σχεδόν 4,66 δισεκατομμύρια άνθρωποι – χρησιμοποίησε το διαδίκτυο για πρόσβαση σε πληροφορίες ή επικοινωνία, πώληση ενεργών αγαθών και υπηρεσιών, ανταλλαγή όλων των μορφών δεδομένων και σύνδεση με φίλους, οικογένεια, επιχειρηματικές συνδέσεις και ξένους.
– Η Ναυτιλία;
Η Ναυτιλία, που έτσι κι αλλιώς είχε το βασικό της στοιχείο, το πλοίο, να βρίσκεται ήδη μακριά, προσαρμόστηκε σχετικά γρήγορα σε αυτό το μοντέλο, με τα αρμόδια τμήματα πληροφορικής να δίνουν τον καλύτερο τους εαυτό για να ανταπεξέλθουν.
– Πόσο κινδυνεύουμε σε προσωπικό επίπεδο αλλά και σε εταιρικό;
Δεν θέλω να είμαι καταστροφολόγος, αλλά θα πρέπει να θεωρούμε δεδομένο ότι είτε τα δεδομένα μας, σε προσωπικό ή επαγγελματικό επίπεδο, έχουν ήδη παραβιαστεί, είτε ότι θα παραβιαστούν σύντομα. Όπως λένε πολύ ειδικοί στην κυβερνοασφάλεια, “το ερώτημα δεν είναι αν θα πέσουμε θύμα επίθεσης αλλά πότε”. Η ευρεία εξάρτηση μας από τα κινητά τηλέφωνα, που αποθηκεύουν ευαίσθητα προσωπικά δεδομένα, μαζί με την πραγματοποίηση των περισσότερων επαγγελματικών μας δραστηριοτήτων μέσω υπολογιστών έχει διευρύνει το πεδίο στο οποίο μπορούν να στοχεύσουν οι κυβερνο-εγκληματιές (cyber criminals) για να εξαπολύσουν τις επιθέσεις τους”.
Και τι προτείνετε;
Αυτό το οποίο προτείνουμε, τόσο στην Hudson, αλλά και μέσα από τις άλλες δραστηριότητες μας είναι να αλλάξουμε τον τρόπο σκέψης μας. Λόγω όσων είπαμε, είναι αδύνατον να είμαστε 100% ασφαλείς απέναντι στις κυβερνοαπειλές. Έτσι θα πρέπει να συζητάμε για προσπάθειες μείωσης του κυβερνορίσκου (cyber risk). Πρέπει να λάβουμε μέτρα, τόσο σε προσωπικό όσο και σε επαγγελματικό επίπεδο ώστε να μειώσουμε τις πιθανότητες να παραβιαστούμε στο ψηφιακό περιβάλλον, ενώ ταυτόχρονα θα πρέπει να εφαρμόσουμε μέτρα, πολιτικές και σχέδια για άμεση αντιμετώπιση οποιουδήποτε περιστατικού παραβιάσης/ επίθεσης.
Τα ίδια ισχύουν και στον χώρο της ναυτιλίας όπου η ψηφιοποίηση πολλών υπηρεσιών και διαδικασιών, πέραν των τρομερών προοπτικών που προσφέρει, δημιουργεί και ένα νέο, διευρυμένο, ψηφιακό πεδίο απειλών.
– Η ναυτιλία στην τεχνολογία εισέρχεται συνήθως από τους τελευταίους. Πόσο θωρακισμένη είναι;
Η αλήθεια είναι πως πράγματι η ναυτιλία, διαχρονικά, αργεί, σχετικά, να υιοθετήσει νέες τεχνολογίες. Υπάρχουν πολλοί λόγοι για αυτό, όχι απαραιτήτως κακοί, αλλά δεν είναι της παρούσης να τους αναλύσουμε.
Σε αυτό το περιβάλλον, η ναυτιλία μπορούμε να πούμε ότι, δεν είναι θωρακισμένη. Και αυτό οφείλεται κυρίως στο γεγονός ότι οι τεχνολογίες που παρέχονται δεν έχουν την ασφάλεια ως βασικό τους μέλημα. Έτσι, είναι ευθύνη των τμημάτων πληροφορικής των ναυτιλιακών να εφαρμόσουν επιπλέον τεχνολογικές λύσεις για να θωρακίσουν το εργασιακό περιβάλλον, τόσο στα γραφεία, όσο και στα πλοία.
– Περιστατικά με κυβερνοεπιθέσεις σε πλοία υπάρχουν σε ανησυχητικό βαθμό ή μόνο στις εταιρείες;
Συνολικά, η παγκόσμια ναυτιλιακή κοινότητα επηρεάζεται και θα συνεχίσει να επηρεάζεται από επιθέσεις και παραβιάσεις στον κυβερνοχώρο που περιλαμβάνουν κακόβουλα προγράμματα και επιθέσεις που επηρεάζουν την ομαλή εργασιακή ροή, κακόβουλα ηλεκτρονικά μηνύματα και δραστηριότητες διείσδυσης ή διακοπής διαδικτυακών υπηρεσιών. Οι κακόβουλοι δρώντες (εγκληματίες, κράτη, χάκερς κτλ) δεν απαιτούν πλέον φυσική πρόσβαση σε μια ναυτιλιακή ή ένα πλοίο για να τη βλάψουν ή να συλλέξουν πληροφορίες για παράνομους σκοπούς.
Αυτό που έχουμε διαπιστώσει, μέσω των επαγγελματικών και ερευνητικών δραστηριοτήτων μας, είναι ότι παρόλο που στον σχετικό τύπο διαβάζουμε για κυβερνοεπιθέσεις ή παραβιάσεις εναντίον ναυτιλιακών σε επίπεδο γραφείων ή κέντρων διαχείρησης δεδομένων (data centres), υπάρχουν πολλές περιπτώσεις πλοίων στα οποία έχουν εντοπιστεί κακόβουλα λογισμικά, μετά από έρευνα για εντοπισμό των λόγων που οδήγησαν σε κάποια δυσλειτουργία. Έχουμε βρει κακόβουλα λογισμικά τόσο σε συστήματα Ναυτιλίας-Κατεύθυνσης, σε συστήματα ελέγχου πρόωσης και σε συστήματα επιτήρησης φορτίου όσο και σε συστήματα ψυχαγωγίας των πληρωμάτων.
Ποιοι είναι οι κίνδυνοι χακαρίσματος ενός πλοίου;
Πολύ απλά θα πω ότι όλα τα συστήματα που έχουν κάποιο ψηφιακό στοιχείο, που ελέγχονται ή τρέχουν δηλαδή κάποιο είδος λογισμικού, είναι ευάλωτα. Άλλα περισσότερο και άλλα λιγότερο, φυσικά, αλλά θέλω να τονίσω ότι όλα έχουν τρωτά σημεία. Υπάρχει η εσφαλμένη αντίληψη ότι μόνο τα συστήματα του πλοίου που είναι συνδεδεμένα στο διαδίκτυο κινδυνεύουν. Μπορώ να σας πω ότι έχουμε βρει, σε σύστημα ελέγχου πρόωσης, το κακόβουλο λογισμικό Stuxnet, που είχε δημιουργηθεί πριν 10 χρόνια για να καταστρέψει το πυρηνικό πρόγραμμα του Ιράν! Πώς έφτασε εκεί; Μέσω ενός USB stick, το φλασάκι που λέμε, που το είχε συνδέσει ένας τεχνικός για να εγκαταστήσει μια αναβάθμιση λογισμικού.
– Υπάρχουν ενδείξεις ότι χάκερ σε κρατικό επίπεδο έχουν στοχοποιήσει τη ναυτιλία και περιμένουν πότε θα ενεργοποιηθούν;
Αυτό είναι ένα ευαίσθητο θέμα και θα μου επιτρέψεις να απαντήσω χωρίς πολλές λεπτομέρειες. Αυτό που μπορώ να πω με σιγουριά είναι ότι μεγάλο κράτος της Δύσης επεξεργάζεται σενάρια όπου αντίπαλα κράτη έχουν εντοπίσει τις κρίσιμες θαλάσσιες εφοδιαστικές γραμμές, έχουν εντοπίσει κοινώς τα πλοία που εφοδιάζουν το κράτος αυτό με κρίσιμα υλικά, τα έχουν χακάρει και περιμένουν να εξαπολύσουν κυβερνοεπίθεση αν και όποτε χρειαστεί, ώστε να διακόψουν την κρίσιμη εφοδιαστική αλυσίδα του κράτους αυτού. Και θα σταματήσω εδώ….
– Πριν λίγες μέρες τέθηκε σε ισχύ ο κανονισμός του ΙΜΟ που επιβάλει στις ναυτιλιακές να αντιμετωπίσουν το κυβερνορίσκο στα συστήματα διαχείρισης ασφάλειας (Safety Management Systems) τους. Είναι αυτός ο κανονισμός αρκετός για να λύσει το πρόβλημα των κυβερνοαπειλών στη ναυτιλία;
Ο κανονισμός αυτός, κατά τη γνώμη μου, αποτελεί ένα καλό μπούσουλα για τις ναυτιλιακές, για να ξεκινήσουν να ασχολούνται με την κυβερνοασφάλεια, αν δεν το έχουν κάνει ήδη. Το θέμα είναι ότι ο κανονισμός είναι αρκετά γενικός, και άρα ανοικτός σε ερμηνεία. Έτσι, έχει δημιουργηθεί μια τάση όπου διάφορες εταιρείες προσφέρουν εγχειρίδια για την κυβερνοασφάλεια, τα οποία, μπορεί, πιθανώς, να πετυχαίνουν συμμόρφωση με τα απαιτούμενα του κανονισμού, αλλά σε καμία περίπτωση δεν προστατεύουν την εταιρεία και τα πλοία της από τις κυβερνοαπειλές.
O Χρόνης Καπαλίδης είναι Senior Manager του Τομέα Εκπαίδευσης και Συμβουλευτικών Υπηρεσιών για την HudsonAnalytix, προωθώντας της δραστηριότητες της εταιρίας σε ζητήματα φυσικής ασφάλειας και κυβερνοασφάλειας. Επιπλέον, είναι Ερευνητικός Συνεργάτης του τμήματος Διεθνούς Ασφάλειας στο Chatham House και καθηγητής στην Lloyd’s Maritime Academy, στο Λονδίνο. Πριν να ενταχθεί στην HudsonAnalytix, ήταν Αξιωματικός του Πολεμικού Ναυτικού της Ελλάδας για 15 χρόνια, με εξειδίκευση στην Ασφάλεια και Διαμόρφωση Δικτύων, Συλλογή και Ανάλυση Πληροφοριών και Θαλάσσιες Επιχειρήσεις.
Είναι μέλος αρκετών ακαδημαϊκών και επιστημονικών ομάδων, και από το 2019 είναι επίκουρος λέκτορας και υποψήφιος διδάκτωρ στο Πανεπιστήμιο του Warwick, στο Ηνωμένο Βασίλειο όπου και διδάσκει κυβερνοασφάλεια. https://www.linkedin.com/in/chronis-kapalidis-610a955b/
Η HudsonAnalytix είναι μια διεθνής εταιρεία λύσεων διαχείρισης επιχειρηματικού ρίσκου που παρέχει προϊόντα, τεχνογνωσία και υποστήριξη στη ναυτιλιακή κοινότητα, σε λιμενικούς και τερματικούς σταθμούς, σε πετρελαϊκές εταιρείες και εταιρίες φυσικού αερίου, στον ασφαλιστικό χώρο, στον οικονομικό τομέα και σε κυβερνητικούς τομείς. Οι ολοκληρωμένες υπηρεσίες της, η παγκόσμια γνώση και το βάθος εμπειρογνωμοσύνης επιτρέπουν στους πελάτες της να ανταποκρίνονται στις κανονιστικές, εμπορικές και επιχειρησιακές ανάγκες τους αποτελεσματικά και κερδοφόρα. https://hudsonanalytix.com/
– Ποια μέτρα μπορούν και πρέπει να λάβουν οι ναυτιλιακές εταιρείες για να προστατευθούν; Υπάρχει προστασία 100%;
Όπως είπαμε, δεν υπάρχει προστασία 100%. Άρα, η σημασία της διαχείρισης κινδύνων στον κυβερνοχώρο εξελίσσεται σε μια πρωτοβουλία σε ολόκληρο τον οργανισμό που τα στελέχη πρέπει να κατανοήσουν, να κατέχουν και να υπερασπίζονται από κοινού, αντί να την αναθέτουν στο τμήμα πληροφορικής.
Οι ναυτιλιακές πρέπει να επενδύσουν, και όχι απαραίτητα μόνο χρήματα, αλλά ανθρώπινο δυναμικό και χρόνο, σε τρεις τομείς. Στο ανθρώπινο δυναμικό, με στοχευμένη εκπαίδευση, στην τεχνολογία, με κατάλληλη επιλογή τεχνολογικών λύσεων, και στις διαδικασίες, που θα εξασφαλίσουν την ασφαλή και αποτελεσματική χρήση των τεχνολογιών που ανέφερα από το ανθρώπινο δυναμικό.
Ακούγεται πολύπλοκο και χρονοβόρο αλλά μπορώ να σου πω ότι δεν είναι…
Διαβάστε ακόμη:
Το παρασκήνιο για την ΕΛΛΑΚΤΩΡ, η Volton και το δάνειο της Πειραιώς
Πόσο τζίρο έχασε η Jumbo – Τι εκτιμούν Optima Bank και Eurobank Equities