Die IMO-Frist für die Einbeziehung des Cyber-Risikomanagements in die bestehenden Sicherheitsmanagementsysteme für die Schifffahrt im Januar 2021 rückt näher. Es ist wichtig, dass die Stakeholder ihre Schwachstellen verstehen. Die IMO hat MSC-FAL.1 / Circ.3-Richtlinien zum maritimen Cyber-Risikomanagement herausgegeben, die die vielen anfälligen Systeme im maritimen Betrieb aufzeigen, darunter:
1.Brückensysteme;
2. Frachtumschlags- und Managementsysteme;
3. Antriebs- und Maschinenmanagement sowie Leistungsregelungssysteme;
4. Zugangskontrollsysteme;
5.Passagierservice- und -managementsysteme;
6.Passagier mit Blick auf öffentliche Netze;
7.Verwaltungs- und Mannschaftsfürsorgesysteme; und
8.Kommunikationssysteme.
Die IMO-Richtlinien werfen auch einen wichtigen Punkt für das Verständnis der Unterscheidung zwischen Informationstechnologie (IT) und Betriebstechnologiesystem (OT) auf. Kurz gesagt, die IT konzentriert sich auf die Verwendung von Daten als Informationen, während sich OT auf die Verwendung von Daten zur Steuerung oder Überwachung physischer Prozesse konzentriert.
Diese Unterscheidungen werden wichtig, wenn es darum geht, eine Risikobewertung Ihres Betriebs durchzuführen.
Risikobewertungen sollten der erste Schritt bei der Untersuchung der Cyber-Exposition Ihres Unternehmens, Terminals oder Schiffs sein. Alle Teile Ihres Unternehmens, die von Computersystemen gesteuert oder unterstützt werden, müssen identifiziert werden, und es gibt wahrscheinlich mehr als Sie denken.
Die Küstenwache der Vereinigten Staaten verfügt über sehr gute Anleitungen zum Verständnis und zur Ermittlung Ihrer Cybersicherheitsrisiken ( https://homeport.uscg.mil ).
Diese Anleitung enthält Informationen des Cyber Emergency Response Team (ICSCERT) des Ministeriums für Heimatschutz, das eine breite Palette von Informationen, Tools und Services bereitstellt, mit denen Unternehmen ihre Sicherheit bewerten, empfohlene Vorgehensweisen ermitteln und ihre Cybersicherheit verbessern können . ( http://ics-cert.us-cert.gov/ )
Dies wirft einen sehr wichtigen Punkt in Bezug auf Cyber und die maritime Umwelt auf. Oft sind wir im maritimen Bereich mit einzigartigen Risiken konfrontiert, und während die Cyber-Bedrohung auf See einige einzigartige Merkmale aufweist, sind die meisten Bedrohungen mit denen von Unternehmen an Land identisch. Der Cyber-Bedrohung ist es egal, ob Sie sich im Hafen oder auf See befinden. Solange Sie mit dem Internet verbunden sind, sind Sie gefährdet. Die Abteilung für innere Sicherheit verfügt über zahlreiche Tipps und Ressourcen für das Internet, mit denen Sie Ihre Besatzungen und das Hilfspersonal an Land schulen können. Dies beinhaltet den Stop. Denken. Verbinden. Kampagne. Einfache Informationen wie diese sollten regelmäßig in die Ausbildung der Besatzung einbezogen werden.
Ein umfassenderes Programm wurde vom Nationalen Zentrum für Cybersicherheit und Kommunikationsintegration für industrielle Steuerungssysteme (NCCIC) entwickelt. Das Team für industrielle Steuerungssysteme (IKS) hat Leitlinien entwickelt, die den Eigentümern bei der Vorbereitung ihres Geschäfts und der Vernetzung bei der Behandlung und Analyse eines Cyber-Vorfalls helfen. ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf ) Richtlinien wie diese sollten in die Abschnitte zum Cyber-Risikomanagement von Sicherheitsmanagementsystemen aufgenommen werden, die von der gefordert werden IMO.
Vorbereitungen zur Verhinderung oder Minimierung eines Cyber-Vorfalls sind Ihre erste Verteidigungslinie. Unternehmen benötigen jedoch einen Reaktionsplan, der beschreibt, wie sie auf einen Cyber-Vorfall reagieren können. Ein wichtiger Teil dieses Plans besteht darin, mit Ihrem Versicherungsmakler und den Versicherern zusammenzuarbeiten, um zu verstehen, wie Sie Ihr Risiko mit einem angemessenen Versicherungsschutz richtig steuern können.
Der Schlüssel hier ist zu identifizieren, was gegenwärtig abgedeckt ist und was nicht. Die großen Unbekannten sind sogenannte "stille" Cyber-Risiken in den meisten traditionellen Versicherungspolicen, die entwickelt wurden, als Cyber noch kein großes Risiko darstellte und dies nicht explizit in Betracht zogen. Dies kann für Unternehmen, Makler und Versicherer Unsicherheit darüber schaffen, welche Schadenszenarien abgedeckt sind. Die Allianz überprüft konzernweit die Cyber-Risiken in der Schaden- und Unfallversicherung (P / C) in ihren Geschäfts-, Unternehmens- und Spezialversicherungssegmenten und hat eine neue Zeichnungsstrategie entwickelt, um „stillen“ Cyber-Risiken entgegenzuwirken und sicherzustellen, dass alle P / C-Richtlinien eingehalten werden wird in Bezug auf Cyber-Risiken aktualisiert und geklärt. Wir wollen die Unsicherheit der Deckung für unsere Geschäftskunden beseitigen.
Ich sage meinen Kunden oft, dass Cybersicherheit ein Rennen ohne Ende ist. Die IMO hat der maritimen Industrie eine Frist gesetzt, um ihre Cyber-Risikopraktiken bis Januar 2021 in Ordnung zu bringen. Es ist klar, dass die Arbeit dort nicht enden wird. Cyber-Bedrohungen werden sich in Häufigkeit und Schwere weiterentwickeln, da wir uns immer mehr auf die Technologie verlassen. Die Technologie wird sich sowohl positiv auf die Erhöhung der Schiffssicherheit als auch auf die Verringerung des Risikos auswirken. Sie erfordert jedoch, wachsam gegenüber neuen und aufkommenden Bedrohungen zu bleiben. Diese Wachsamkeit ist für die Zukunft der Branche von wesentlicher Bedeutung, da Selbstgefälligkeit keine Option ist.
Über den Autor: Kapitän Andrew Kinsey, Senior Marine Risk Consultant, Allianz Global Corporate & Specialty