Die Frist der International Maritime Organization (IMO) für Schiffseigner und -manager vom Januar 2021, Cyber-Risikomanagement in bestehende Sicherheitsmanagementsysteme einzubeziehen, ist näher, als viele wissen, insbesondere angesichts des komplexen Profils, das das Risiko darstellt, und der Notwendigkeit eines detaillierten Verfahrens helfen, Meeresgüter und Unternehmen zu schützen. Das Versäumnis, Cyber-Risiken angemessen zu begegnen, ist viel größer als die bloße Tatsache, dass ein Schiff von den Hafenstaatbehörden festgehalten werden könnte, wenn festgestellt wird, dass es nicht den Vorschriften entspricht. Es ist gut, dass die Risiken, die ein Cyber-Ereignis für maritime Interessen mit sich bringt, hervorgebracht werden, aber es ist wichtig, dass wir uns daran erinnern, dass es nur eines der vielen Risiken ist, denen wir gegenüberstehen. Durch die Untersuchung vergangener Misserfolge im Zusammenhang mit traditionellen Risiken können wir besser verstehen, wie wir die Risiken in unserer Umwelt unterschätzt oder normalisiert haben. Mit der jüngsten Veröffentlichung des NTSB-Abschlussberichts über den Untergang der El Faro habe ich viel Zeit darauf verwendet, den Bericht zu überprüfen und auf meine eigenen Erfahrungen zurückzublicken. Ich bin betrübt darüber, dass die Bedingungen sowohl für den Verlust von El Faro als auch für Marine Electric im Jahr 1983 viele Ähnlichkeiten aufweisen. Mehrere Aussagen und Feststellungen des NTSB-Berichts betreffen zahlreiche Schiffsoperationen - nicht nur das schwere Wetter, das bei der El Faro. Zu den betroffenen Schiffsbetriebsbereichen zählen die bevorstehenden Cyber-Sicherheitsmaßnahmen und -verfahren.
Der NTSB-Bericht enthält die folgenden Passagen zu Sicherheitsmanagementsystemen für Schiffe:
"Sicherheitsmanagment System. Gemäß dem ISM-Code liegt es in der Verantwortung des Unternehmens - des Eigentümers oder einer anderen Organisation, die die Verantwortung für den Betrieb eines Schiffes übernommen hat -, eine SMS für seine Schiffe zu erstellen. Gemäß Abschnitt 1.2.2 des Codes sollte das SMS "alle erkannten Risiken für seine Schiffe, sein Personal und seine Umwelt bewerten und angemessene Sicherheitsvorkehrungen treffen". Auf diese Weise weist der Kodex (Abschnitt 7) darauf hin, dass das Unternehmen Verfahren festlegen sollte Pläne und Anweisungen, gegebenenfalls einschließlich Checklisten, für den Betrieb von Schlüsselschiffen in Bezug auf die Sicherheit von Personal, Schiff und Umweltschutz. "Darüber hinaus schreibt der Kodex vor, dass das Unternehmen" potentielle Notfallsituationen an Bord erkennt und Verfahren für die Reaktion einrichtet zu ihnen."
Ebenfalls:
"Zusammenfassung. Lediglich eine SMS reicht nicht aus, um Katastrophen zu verhindern. Es ist notwendig, engagiertes Personal einzusetzen, das den Kapitäne effektive Richtlinien und Verfahren zur Verfügung stellt. Robuste Schulungen und Auditing stellen sicher, dass Anleitungen und Verfahren eingehalten werden. Die EP sollten aktiv an der Wartung der SMS beteiligt sein und ihre zugewiesenen Schiffe während jeder Reise überwachen. "
Der NTSB-Bericht enthält auch die folgenden Empfehlungen:
Diese Passagen und die drei Empfehlungen, die sich aus dem El Faro-Vorfall ergeben, sollten bei der Planung der kommenden Cyber-Sicherheits-SMS-Verfahren und der Probleme, die beim Schreiben, Implementieren und Prüfen effektiver Verfahren auftreten werden, berücksichtigt werden.
Während das Sicherheitsmanagementsystem des Schiffes die beste Plattform für das Cyber-Sicherheitsprogramm ist, können wir nicht übersehen, dass dies ein nicht-traditionelles Risiko ist. Wir können unsere Verfahren und Prüfungsprozesse nicht so behandeln, wie wir die meisten unserer operationellen Risiken innerhalb der SMS haben. Die rasante Welt der Cybersicherheit und die damit verbundenen Risiken stehen in vielerlei Hinsicht in direktem Gegensatz zu unserem traditionellen maritimen Umfeld und den Risiken, denen wir seit Generationen ausgesetzt sind. Sie können es nicht hören oder es wie ein traditionelles Risiko sehen. Aber die Art und Weise, wie wir Schiffe täglich betreiben und steuern, nimmt ständig zu. Diese Tatsache wird sich nicht ändern und die mit der Nutzung dieser Technologie verbundenen Risiken werden nicht verschwinden. Leider ist dies der Risikoansatz, mit dem sich viele innerhalb der maritimen Gemeinschaft der Cybersicherheit nähern. Dies muss sich ändern, da das Cyber-Risiko so beschaffen ist, dass es katastrophale Auswirkungen auf unsere gesamte Branche haben kann. Die Art der Häfen und Schifffahrtswege ist so, dass das Schicksal eines Unternehmens die Geschicke aller beeinflusst.
Einige der Schlüsselfragen, die wir stellen müssen, sind:
Da wir uns dem IMO Cyber Deadline 2021 nähern, ist es wichtig, das Ziel unserer Sicherheitsmanagementsysteme zu berücksichtigen und sicherzustellen, dass unsere Cybersicherheitsverfahren praktisch, funktional und effektiv sind. Es ist auch wichtig, dass wir prüfen, welche Rolle die Prüfer und die Unterstützung an Land bei der effektiven Umsetzung dieser Politiken spielen. Wie der NTSB im El Faro-Bericht sagte: Nur eine SMS zu haben reicht nicht aus, um Katastrophen zu verhindern. Es ist notwendig, engagiertes Personal einzusetzen, das den Kapitäne effektive Richtlinien und Verfahren zur Verfügung stellt. Robuste Schulungen und Auditing stellen sicher, dass Anleitungen und Verfahren eingehalten werden.
Bis dahin ist der Bedarf an unabhängigen Cyber-Sicherheits-Audits, um sicherzustellen, dass die Verfahren angemessen sind, eine Abkehr von unseren normalen SMS-Auditing-Kriterien. Angesichts der Art dieses Risikos und der möglichen Auswirkungen eines unzureichenden Schutzes eines Schiffes ist jedoch ein neuer Ansatz erforderlich. Ein wichtiger Punkt, den wir bei Allianz Global Corporate & Specialty mit unseren Kunden bestätigen, ist die Tatsache, dass Cybersicherheit ein Rennen ohne Ziel ist. Im Zuge der weiteren Nutzung der Technologie zur Bewältigung der Probleme und Herausforderungen des Seetransports wird der Bedarf an proaktiven, anpassbaren Cybersicherheitsplattformen weiter steigen. Der erste Schritt in diesem Prozess besteht darin, Ihre aktuelle Exposition zu identifizieren. Während sich Cyber-Risiken weiter entwickeln und weiterentwickeln, dürfen wir die traditionellen Risiken, denen Schiffe und Seeleute ausgesetzt sind, nicht aus den Augen verlieren. Vielleicht ist die wichtigste Lektion aus dem Verlust der SS El Faro, dass wir aus unserer gemeinsamen Vergangenheit lernen, um unsere Zukunft zu schützen.
(Wie in der April 2018 Ausgabe von Maritime Reporter & Engineering News veröffentlicht )