Cyber ​​Incident Response für die widerstandsfähige Organisation

(Datei Foto: APM Terminals)

Schon vor NotPetya haben Aufsichtsbehörden, Versicherer, P & I-Clubs, Hafenbehörden und andere Segmente der maritimen Industrie Schritte unternommen, um die Cyber-Attacken der Branche zu minimieren.

Die maritime Industrie hat ein Erwachen erlebt. Wir sind auf die Tatsache aufmerksam geworden, dass die Digitalisierung ihre Fäden in der gesamten Branche verwoben hat, und wir haben sehr davon profitiert, dass wir in einer vernetzten Cyber-Umgebung operieren können. Ebenso in der Lage, Diagnoseinformationen an Bord von Land an Land zu übermitteln, die in eingeschränkten Gewässern navigieren können, indem sie Positions- und Navigationsdaten aus dem Weltraum verwenden und den Besatzungen den Luxus bieten, Videos aus dem Internet streamen zu können Das Meer birgt erhebliche Risiken für die gesamte Industrie und die miteinander verbundenen Wirtschaftszweige im Allgemeinen. Der NotPetya-Angriff im Jahr 2017 war ein Wendepunkt, der die Branche dazu zwang, ihre Cybersicherheitslage zu bewerten. Wenn ein globales Unternehmen wie Maersk erheblich beeinträchtigt werden kann, kann jedes andere maritime Unternehmen angegriffen werden. Im besten Fall führt ein Angriff zu einem finanziellen Verlust, im schlimmsten Fall kann ein Angriff eine Firma dazu zwingen, den Betrieb auf unbestimmte Zeit einzustellen.

Schon vor NotPetya haben Aufsichtsbehörden, Versicherer, P & I-Clubs, Hafenbehörden und andere Segmente der maritimen Industrie Schritte unternommen, um die Cyber-Attacken der Branche zu minimieren. Die US-Küstenwache veröffentlichte den Entwurf eines Rundschreibens zur Navigation und Schiffsinspektion, Richtlinien für die Bekämpfung von Cyber-Risiken im Rahmen des Seeverkehrsicherheitsgesetzes (MTSA), um die Idee der Schaffung eines Cyber-Risiko-Rahmens für die maritime Industrie basierend auf dem National einzuführen Institut für Standards und Technologie (NIST) Cybersecurity Framework. Schiffsverbände wie BIMCO und ABS haben ihre eigenen Cybersicherheitsleitlinien veröffentlicht, und unzählige andere Organisationen und Gruppen haben Best Practices veröffentlicht, um das Cyber-Risiko in der maritimen Industrie zu verringern. Obwohl die Branche im Allgemeinen erkennt, dass "etwas getan werden muss", sind die Fortschritte, die zur Eindämmung der Cyber-Risiken in der Branche gemacht werden, so unterschiedlich wie die Branche vielfältig ist. Die Vielfalt der Cyber-Risikominderung in der Branche basiert auf den unterschiedlichen Ressourcen, die von einer Organisation zur anderen verfügbar sind, den verwendeten Systemen und Technologien sowie den unterschiedlichen Risikomanagement-Modellen zwischen Organisationen und Unternehmen. Darüber hinaus können sich subtile, aber auch signifikante Unterschiede in den Cybersicherheitsanforderungen und Regulierungsbehörden zwischen der Schifffahrtsindustrie, Hafen- und Terminalbetreibern, Hafenbehörden und anderen Agenturen, Unternehmen und Organisationen, die die "maritime Industrie" bilden, addieren die Einführung von umfassenden Cyber-Risikomanagementplänen in der gesamten Branche.

Post Cyberangriff Aktionen. Angesichts der unmittelbaren Notwendigkeit zu verstehen, was getan werden muss, um den Schaden zu begrenzen und Systeme vor einem Cyberangriff zu schützen, muss die maritime Industrie auch die Frage beantworten: "Was müssen wir nach einem Cyberangriff tun?" Um diese Frage zu beantworten, Folgendes Frage muss gestellt werden: "Was tun wir, um uns auf einen Cyberangriff vorzubereiten?" In diesem Fall hat die maritime Industrie die Ahnentafel, um diese Frage anzugehen und kann bestehende Vorschriften, Best Practices und Erfahrungen aus der Reaktion auf physische Zwischenfälle wie z B. Ölverschmutzungen, Such- und Rettungsmaßnahmen, terroristische Bedrohungen und Maßnahmen, die erforderlich sind, um die Betriebsfortführung aufgrund eines schweren Sturms oder anderer physischer Bedrohungen zu gewährleisten.

Cyber ​​Incident Response und Incident Handling (IR / IH) impliziert im Voraus festgelegte Aktionspläne, Tabletop-Übungen und IR / IH-Ressourcen sind vorgestuft, um Schäden am See- und Hafenbetrieb zu minimieren. Diese Aktivitäten zielen darauf ab, die negativen Auswirkungen auf den Handel, die Umwelt und die Sicherheit des Lebens auf See oder auf und um das Wasser zu minimieren. Darüber hinaus muss sich die Branche, anders als eine große Reaktion auf Umweltkatastrophen, darauf vorbereiten, alle Aspekte einer Cyber-Incident-Reaktion zu berücksichtigen, einschließlich der Entwicklung eines gut durchdachten Plans für Öffentlichkeit, Interessengruppen und Investor Relations.

Vordefinierte Aktionspläne. Im Gegensatz zu anderen Katastrophen, Katastrophen oder Notfallsituationen verfügen umsichtig organisierte Organisationen über einen Notfallplan für Cyber-Vorfälle, um im Falle eines Cyber-Vorfalls im Voraus festgelegte Aktionspläne auszuarbeiten. Leider hat eine aktuelle Studie des Ponemon Institute und IBM herausgefunden, dass 77 Prozent der Befragten keinen formellen Cyber-Incident-Response-Plan haben, der in ihrer gesamten Organisation einheitlich angewendet wird. Antwortpläne sollten mindestens Aktionspläne enthalten, die auf Ransomware, DDOS-Angriffe (Distributed Denial of Service), die Infiltration eines Netzwerks und die Einführung von Malware im Netzwerk einer Organisation reagieren. Unterwegs oder mobile Anlagen müssen auch Aktionen enthalten, die andere Szenarien wie den Verlust des GPS (Global Positioning System) oder anderer Positions-, Navigations- und Zeitsteuerungssysteme (PNT), Auswirkungen auf die Lenkung oder das Maschinenkontrollsystem eines Schiffes sowie Verluste oder Manipulationen berücksichtigen von elektronischen Navigationssystemen. In den meisten dieser laufenden Szenarien sind für diese Szenarien bereits Notfallpläne auf andere Weise vorgesehen, aber es kann zusätzliche Antwortanforderungen für die Art des Angriffs geben.

Sobald diese Aktionspläne entwickelt sind, müssen sie regelmäßig ausgeübt werden. Dies ist nicht anders als bei anderen erforderlichen Übungen. Viele Organisationen haben Cyber-Vorfälle in Tabletop-Übungen integriert oder eine Cyber-Vorfall-spezifische Tabletop-Übung erstellt, um zu sehen, wie gut ihre Aktionspläne funktionieren.

Angriff in Bearbeitung. In der Lage zu sein, zu erkennen und zu verstehen, dass ein Angriff im Gange ist, muss in die Schulungsprogramme eines Unternehmens integriert werden. Ebenso müssen Hardware- und / oder Softwarelösungen konfiguriert oder erworben werden, um Mitarbeitern und Crews zu helfen festzustellen, ob ein Cyberangriff stattfindet. Abhängig von der Art des Angriffs können die Eigenschaften des Angriffs offensichtlich sein, aber nicht immer.

Wie eine Organisation die Art des Angriffs kommuniziert und wie sie extern auf einen Cyber-Vorfall reagiert, ist genauso wichtig wie die technischen und technischen Maßnahmen, die ergriffen werden, um einen Angriff intern in den Systemen des Unternehmens zu managen. Organisationen müssen einen Kommunikations- und Public-Relations-Aktionsplan entwickeln, um das Vertrauen von Kunden, Investoren, Partnern, anderen Interessengruppen und der Öffentlichkeit zu gewährleisten, dass die Organisation effektiv auf einen Cyber-Vorfall reagieren und Störungen im Betrieb und im Handel minimieren kann.

Post Vorfall Analyse. Abhängig von der Art des Angriffs kann eine Organisation erwarten, dass die Strafverfolgung einen Cyber-Vorfall als Verbrechen behandelt, wodurch die angegriffenen Systeme und das Netzwerk zu einem Tatort werden. Um die Ursachen eines Angriffs zu identifizieren, sollte eine Organisation daher auch Verfahren implementieren, um Beweise während und nach einem Angriff zu erhalten. Dies erfordert die Einführung eines Chain-of-Custody-Verfahrens, digitale Beweisverfahren, die möglicherweise interne digitale forensische Aktivitäten durchführen, und einen Operationsplan für Kontinuität, der die Verwendung eines Backup-Systems während einer Untersuchung einschließen kann.

Die Post-Incident-Analyse muss eine Obduktion enthalten, um zu ermitteln, wie ähnliche Angriffe künftig verhindert werden können. Ähnlich wie bei der Umsetzung von Cybersicherheitsmaßnahmen muss die Ermittlung und Umsetzung von Maßnahmen, die aus einem Cyberangriff gelernt wurden, von oben nach unten erfolgen.

Rekonstitution. In den meisten Fällen haben Organisationen einen systematischen Prozess für die Wiederherstellung von Operationen. Diese Prozesse müssen auf Post-Cyber-Angriffe ausgeweitet werden. Unternehmen müssen feststellen, wie schnell sie ihre volle operative Kapazität erreichen können. Die organisatorische Führung muss weiterhin mit allen ihren Stakeholdern kommunizieren, welche Schritte unternommen werden, um zu einem voll funktionsfähigen Status zurückzukehren.

Die Vorbereitung auf einen Cyberangriff ist eine wichtige Komponente für maritime Organisationen, um sicherzustellen, dass die Auswirkungen auf Umwelt, Handel und Sicherheit auf ein Minimum reduziert werden. Glücklicherweise verfügt die Branche über Reaktionspläne für andere Arten von Katastrophenereignissen, die als Modell für die Vorbereitung und Reaktion auf Cyberangriffe dienen können.


(Wie in der April 2018 Ausgabe von Maritime Reporter & Engineering News veröffentlicht )