شنبه ۴ تیر ۱۴۰۱
 

آخرین مطالب

مخاطرات سایبری در صنعت دریایی

امیرصبا فرهنگی | مهدی موسوی محولاتی |
مخاطرات سایبری در صنعت دریایی
اشاره منظور از مخاطرات سایبری، مجموعه‌‌ی اقداماتی است که سامانه‌های فناورانه را مورد تهدید قرار می‌دهد و می‌تواند عواقب ناگوار و خطرناکی بر روی امور مرتبط با ایمنی، امنیت دریانوردی و حمل‌ونقل دریایی داشته باشد و موجب آسیب به سامانه‌های کنترلی ـ عملیاتی و سامانه‌های فناوری اطلاعات شود. تهدیدات و حملات سایبری از طریق اقدامات خراب‌کارانه مانند هک‌کردن یا تولید و ارسال بدافزارها و نیز ممکن است از طریق اقدامات معمول مانند تعمیر و نگهداری نرم‌افزارها یا اجازه‌ی دسترسی به اینترنت یا سایت‌ها به‌وسیله‌ی کاربران انجام شود.
اهمیت امنیت سایبری
یکی از موضوعاتی که صنعت دریایی را تحت تاثیر منفی قرار می‌دهد، تهدیدات سایبری است. امروزه با دیجیتالی‌شدن بسیاری از دستگاه‌های مورد استفاده هم در بخش دریایی و هم در بخش‌های خشکی، زمینه برای آسیب‌پذیری از طریق حملات سایبری به‌ وجود آمده است. بنادر، کشتی‌ها و سکوهای حفاری به‌طور فزاینده‌ای به سامانه‌های الکترونیکی و نرم‌افزارهای گوناگون وابسته شده‌اند. این وابستگی محیط آسیب‌پذیری را برای حملات سایبری فراهم کرده است.
حملات سایبری را می‌توان به دو دسته تفکیک کرد:
1 ـ حملات سایبری به سامانه‌های فناوری اطلاعات؛
2 ـ حملات سایبری به سامانه‌های کنترلی و عملیاتی.
در مورد اول، نیاز به ایجاد امنیت سایبری در سامانه‌های مرتبط با فناوری اطلاعات از قبیل سامانه‌های مربوط به امور مالی، آموزشی، فنی ـ پشتیبانی، سامانه‌های مدیریتی و... است، چون این دسته از حملات سایبری بیشتر موجب آسیب به بخش‌های اداری، اتوماسیون و اعتبار یک سازمان یا یک شرکت می‌شوند، از دیگرسو، حملات سایبری به سامانه‌های کنترلی و عملیاتی یک سازمان یا سامانه‌ها و دستگاه‌های الکترونیکی مربوط به ناوبری و موتورخانه‌ی شناورها و تجهیزات عملیاتی و اقدامات اختصاصی سکوهای نفتی موجب به‌خطر‌افتادن ایمنی عملیات شناورها، محموله، سکوهای نفتی و کارکنان آن‌ها می‌شود. 
 
ضرورت امنیت سایبری
فناوری‌های نوین و استفاده‌ی بیشتر از دستگاه‌ها و سامانه‌های الکترونیکی اگرچه تسهیل امور و اثربخشی بیشتری را برای بهره‌برداران به ارمغان آورده، اما هم‌زمان ضرورت ایجاد امنیت سایبری برای موضوعات مرتبط با ایمنی عملیات و مخاطرات مختص خود را هم به همراه آورده‌اند. در نتیجه لازم است از ایمنی شناورها، کارکنان و مسافران شناورها در مقابل تهدیدات سایبری اطمینان حاصل شود.
افزایش حملات سایبری به‌شدت در حمل‌و‌نقل دریایی و عملیات فراساحلی اختلال به وجود آورده و تهدیدات از راه دور را متوجه سامانه‌های یکپارچه‌ی شناورها کرده حتی این تهدیدات سایبری توانایی دسترسی و اثرگذاری بر روی سامانه‌های کنترلی کشتی‌ها را به دست آورده‌اند. از طرف دیگر رقابت در بازارهای کشتیرانی موجب شده که رقبا برای کسب سفارش حمل و سود بیشتر دست به اقدامات و ترفندهای تخریبی نسبت به رقیب بزنند که در بدترین حالت به‌طور پنهانی حملات سایبری را انجام می‌دهند. به همین دلیل همکاری بین سازمان‌های بین‌المللی، شرکت‌های دریایی، مالکان کشتی‌ها و به‌طور کلی همه دست‌اندرکاران صنایع دریایی برای مقابله با حملات سایبری و لزوم ایجاد امنیت سایبری از اهمیت ویژه‌ای برخوردار است.
 
ارزیابی مخاطرات سایبری
به‌منظور از‌بین‌بردن یا کاهش اثر حملات سایبری، شناسایی و ارزیابی مخاطرات سایبری برای حفظ امنیت نقاط آسیب‌پذیر از اهمیت ویژه‌ای برخوردار است. به همین دلیل در روند ارزیابی نقاط آسیب‌پذیر، موارد زیر باید مورد توجه قرار گیرند:
ـ شناسایی عناصر آسیب‌پذیر؛
ـ شناسایی مخاطرات؛
ـ ارزیابی تهدیدات؛
ـ ارزیابی اثر تهدیدات؛
ـ ارزش‌گذاری تهدیدات؛
ـ آستانه‌ی تحمل در مقابل تهدیدات.
 
نقاط آسیب‌پذیر شناورها در برابر حملات سایبری
به‌طور کلی برای ایجاد امنیت سایبری شناورها باید به چهار محیط اصلی آسیب‌پذیر شناورها به قرار زیر توجه کرد:
1 ـ دستگاه‌های کنترل و هدایت خودکار(Automation) : این دستگاهها به‌طور فزاینده با نرم‌افزارها کنترل می‌شوند؛
2 ـ سامانه‌های یکپارچه (Integration): بسیاری از دستگاه‌ها به هم متصل شده‌اند؛
3 ـ پایش از راه دور (Remote Monitoring): ارتباط دائمی برای پایش، بین سامانه‌های کنترلی شرکت‌های کشتیرانی و دستگاه‌های روی شناور؛
4 ـ همه موارد فوق به اینترنت متصل می‌شوند.
این نقاط آسیب‌پذیر می‌توانند خطرات و خسارات قابل ملاحظه‌ای برای مالکان کشتی، کاربران بنادر و شرکت‌های بیمه در صورت عدم توجه دقیق به امنیت سایبری به همراه داشته باشند؛ بنابراین برای تامین امنیت یا هر گونه راه حلی در رابطه با تهدیدات و حملات سایبری باید موارد زیر به‌طور خاص در نظر گرفته شود:
1 ـ فناوری‌های الکترونیکی روی کشتی و سامانه‌های شرکت‌های کشتیرانی؛
2 ـ بنادر و سامانه‌های مرتبط با عملیات بندری؛
3 ـ نیازمندی‌های حقوقی.
امروزه صنایع دریایی به‌شدت دنبال فناوری‌های جدید و افزایش بهره‌وری هستند که اغلب هم از طریق ارتقای سامانه‌های عملیاتی مرتبط با اینترنت انجام می‌شود و این مکان مناسب برای افرادی است که می‌خواهند در حمل‌ونقل دریایی (هم بخش خشکی و هم بخش دریایی) اخلال ایجاد کنند. به همین دلیل نهاد‌های حقوقی بین‌المللی این تهدیدات را به‌طور جدی مورد ملاحظه قرار داده‌اند و در همین زمینه سازمان بین‌المللی دریانوردی از شرکت‌های کشتیرانی خواسته که خطرات سایبری را در نظام مدیریت ایمن (Safety Management System) خود مورد توجه قرار دهند. از طرف دیگر نهادهای حقوقی بین‌المللی از بخش‌های قضایی کشورها خواسته‌اند با شدت بیشتری در حوزه حاکمیتی خود با عوامل تهدیدات و حملات سایبری برخورد کنند.
 
تامین امنیت سایبری
برای ایجاد و تامین امنیت سایبری رهنمودهای گوناگونی از طرف مجامع بین‌المللی انتشار یافته که در حالت کلی به موارد زیر اشاره کرده‌اند:
محافظت  (Protection) 
برای محافظت از حملات سایبری نیاز به شناسایی تجهیزات و داده‌های حیاتی است.
تشخیص  (Detection)
در صورت شکست اقدامات حفاظتی آن‌گاه اقدامات تشخیصی نقش حیاتی پیدا می‌کنند.
واضح‌ترین حالت برای تشخیص این‌که رویدادی رخ داده است یا حمله سایبری در حال انجام است زمانی است که:
عملکرد یک سامانه یا فرایند اموری متوقف می‌شود؛
سامانه یا فرایند امور، رفتارهای غیر معمول یا نامنظم از خود نشان می‌دهند.
حملاتی که هیچ نتیجه فوری یا آشکاری ندارند، اغلب بدون تشخیص باقی می‌مانند.
کاهش اثر تهدیدات   (Mitigation)
موارد زیر را برای کاهش اثر تهدیدات سایبری باید مد نظر قرار داد:
طرح و برنامه برای بازگشت به وضعیت اولیه (Business Continuity / Disaster Recovery Plan) ؛ 
استفاده از نسخه‌ی پشتیبان و بازیابی داده‌ها (Data Backup / Data Recovery). 
برای کاهش اثر تهدیدات سایبری نیاز به کارکنان آموزش‌دیده و دارای مهارت با قدرت اجرایی لازم است.
 
اطلاع‌‎رسانی، همکاری و هماهنگی در مقابل تهدیدات سایبری 
اطلاع‌رسانی، همکاری و ارتباطات قوی از عناصر مهم برقراری طرح و برنامه‌های ضروری برای کاهش تهدیدات سایبری صنایع دریایی است.
مزایای اطلاع‌رسانی تهدیدات سایبری:
همسویی راهبردها؛
انطباق بیشتر با قوانین و مقررات؛
ارتباطات یکنواخت با کلیه ذی‌نفعان؛
 افزایش آستانه‌ی تحمل و انعطاف‌پذیری.
بر همین اساس همکاری بین سازمان‌های بین‌المللی، شرکت‌های دریایی، مالکان کشتی‌ها و به‌طور کلی همه دست‌اندرکاران صنایع دریایی از طریق یک مرکز واحد ـ مرجع دریایی ـ برای مقابله با حملات سایبری و لزوم ایجاد امنیت سایبری از اهمیت ویژه‌ای برخوردار است.
 
آموزش  
رفتارهای کارکنان، کنجکاوی‌ها، بی‌احتیاطی‌ها و خواسته‌ها در مجموع نشان‌دهنده‌ی حلقه‌های ضعف در برنامه‌ریزی‌های امنیت سایبری است.
افراد زیر لازم است تحت آموزش و آگاهی سایبری قرار گیرند:
 کلیه مدیران اجرایی و مدیران ارشد؛
 کارکنان امور مالی، حسابداری و اداری؛
 کاربران بخش‌های امنیت، عملیات و تجهیزات؛
 کاربران بخش‌های فروش، بازاریابی و ارتباطات؛
 اشخاص ثالث، فروشندگان و پیمانکاران.
آموزش نیروی انسانی در سازمان‌ها و شرکت‌های دریایی مختلف موجب افزایش آگاهی کارکنان در مقابل تهدیدات و حملات سایبری می‌شود.
 
واکنش به تهدیدات و بهبود وضعیت 
برای واکنش مناسب در مقابل تهدیدات سایبری، مدیران مرتبط با صنایع دریایی باید آماده‌سازی شرکت‌های خود را به قرار زیر در برابر تهدیدات سایبری انجام دهند:
1 ـ طرح و برنامه واکنش (Action Plan) را برای حوادث ایجاد کنند؛
2 ـ روش‌های روشنی را برای رسیدگی به حوادث، ازجمله پاسخ به حملات رایج ایجاد کنند؛
3 ـ تکمیل چک‌لیست و ارائه‌ی گزارش حوادث را الزامی کنند؛
4 ـ تیم واکنش به حوادث امنیت سایبری را ایجاد کنند؛
5 ـ منابع کلیدی را مشخص سازند؛
6 ـ برنامه‌های واکنش به حادثه و قابلیت‌های تیم واکنش به حوادث امنیت سایبری را به‌طور دوره‌ای آزمایش کنند.
کارشناسان اعتقاد دارند با کمترین هزینه‌های اولیه و پیشگیرانه می‌توان جلوی خسارات عظیم سایبری را گرفت.
 
مدیریت مخاطرات سایبری دریایی
منظور از مدیریت مخاطرات سایبری فرایند شناسایی، تحلیل، ارزیابی و اطلاع‌رسانی موارد مرتبط با مخاطرات سایبری است که پذیرش، اجتناب، انتقال یا کاهش آن‌ها به یک سطح قابل قبول را با درنظر‌گرفتن هزینه و سود اقدامات انجام‌شده به‎وسیله‌ی ذی‎نفعان، مورد توجه قرار می‌دهد.  
هدف از مدیریت مخاطرات سایبری دریایی، حمایت و پشتیبانی از ایمنی و امنیت دریانوردی در مقابل آسیب‌پذیری عملیاتی در مقابل مخاطرات سایبری است. این مدیریت برای اثربخشی بیشتر و بهتر باید از مدیران ارشد یک سازمان شروع شود و فرهنگ آگاهی و مهار مخاطرات سایبری را در سطوح مختلف کارکنان رواج دهد و همچنین از اجرای مستمر یک نظام مدیریت مخاطرات سایبری که همواره مورد ارزیابی قرار می‌گیرد و سازوکاری برای دریافت بازخوردها دارد، اطمینان حاصل شود.
در این‌جا برای درک بهتر می‌توان به رهنمودهای آیمو درباره‌ی مدیریت مخاطرات سایبری دریایی اشاره کرد.
شناخت: منظور نقش و مسئولیت‌های کارکنان برای مدیریت مخاطرات سایبری است و همچنین شناسایی سامانه‌ها، سرمایه‌ها، داده‌ها و توانمندی‌هایی که در صورت اخلال در کار آن‌ها، سبب خطراتی برای فعالیت‌های عملیاتی می‌شود. 
محافظت: اجرای فرایندها و اقدامات کنترلی در برابر مخاطرات سایبری، ایجاد طرح‌های احتیاطی برای حفاظت از رخدادهای سایبری و اطمینان‌یافتن از استمرار عملیات ایمن دریایی.
کشف: توسعه و اجرای اقدامات ضروری برای کشف به‌موقع یک رخداد سایبری.
واکنش: توسعه و اجرای فعالیت‌ها و برنامه‌هایی برای بازگشت به شرایط قبل از حمله سایبری و برقراری مجدد سامانه‌های ضروری برای عملیات و خدماتی که به‌وسیله‌ی حملات سایبری مختل شده‌اند.
بازیابی: شناسایی اقداماتی برای ذخیره‌سازی اطلاعات و تعمیر سامانه‌های ضروری که در صورت آسیب از حملات سایبری لازم هستند.
موارد کاربردی ذکرشده در بالا دربرگیرنده‌ی فعالیت‌ها و دستاوردهای مناسبی است که نظام مدیریت مخاطرات سایبری در قبال تاثیرپذیری سامانه‌های عملیاتی دریایی و تبادل اطلاعات انجام می‌دهد و نیز به روال جاری اقدامات با سازوکارهای اثربخش بازخوردها رسمیت می‌دهد. 
 
جمع‌بندی
 تمایل صنایع دریایی به استفاده از فناوری‌های پیشرفته، محیط‌های آسیب‌پذیری برای تهدیدات سایبری به وجود آورده است.
 تهدیدات سایبری همواره سامانه‌های فناوری اطلاعات و سامانه‌های کنترلی و عملیاتی را هدف قرار می‌‎دهند.
 مرجع دریایی از اجرای یک نظام مدیریت مخاطرات سایبری (Cyber Risks Management System) در صنایع دریایی اطمینان یابد.
 بهترین شیوه‌ی مدیریت تهدیدات سایبری شناخت، محافظت، کشف، واکنش و بازیابی است.
 آموزش و آگاهی نیروی انسانی از اهمیت ویژه‌ای در پیشگیری از آسیب‌پذیری حملات سایبری برخوردار است.   |
 
منابع:
برای کسب رهنمودها و اطلاعات بیشتر درباره‌ی امنیت سایبری می‌توان به منابع زیر رجوع کرد:
 1ـ IMO, MSC-FAL.1-Circ.3-Rev.1/ Rev 3- Guidelines On Maritime Cyber Risk. Cyber
2 ـ IAPH ـ Cybersecurity ـ Guidelines ـ version ـ 1_0.
3ـ Security onboard ships produced by BIMCO, CLIA, ICS, INTERCARGO, IUMI, INTERTANKO, OCIMF.
4 ـInternational Standardization Organization ـ ISO/IEC 27001. 
۳۰ آذر ۱۴۰۰ ۱۳:۳۱