Enisa, organet med ansvaret for IT-sikkerhet i EU, har utgitt unionens første rapport noensinne om kybersikkerhet til sjøs: Analysis of cyber security aspects in the maritime sector (pdf, 31 sider). Rapporten bygger vesentlig på bidrag fra et arbeidsseminar om temaet i Brussel 28. september i år, i regi av Enisa.
Bakgrunn for rapporten er en erkjennelse av at maritim sektor spiller en stadig større rolle for varetransporten i EU, samtidig som IT-sikkerheten i sektoren i hovedsak er upløyd mark, selv om IT-systemer spiller en avgjørende rolle innen navigasjon, motorer, logistikk og trafikkontroll.
Målt i verdi, har maritim sektors andel av all europeisk godstransport økt fra 45 prosent i 2000 til 52 prosent i 2010. Enisa mener det er logisk å peke ut kybersikkerhet innen maritim sektor som det neste store skrittet i det globale vernet av IT- infrastruktur.
_logo.svg.png){kind=logo}
Rapporten karakteriserer bevisstheten og behov og utfordringer innen maritim sektors kybersikkerhet som «lav til ikke-eksisterende». EU har mange regler for sikkerheten til sjøs, men de gjelder bare fysisk og menneskelig sikkerhet. Det er ingen regler for kybersikkerhet til sjøs. Det ingen samlet vurdering av risikoen og trusler mot IT-installasjoner i fartøy, navigasjon, logistikk eller trafikkontroll. Man må følgelig anta at sårbarheten er stor, og at det er nødvendig med mange sentrale tiltak og initiativ.
Enisa anbefaler flere tiltak:
- Systematisk opplæring av rederier og havnemyndigheter innen IT-sikkerhet, i regi av relevante nasjonale myndigheter og partnerskap mellom privat og offentlig sektor.
- Utvikling av en felles strategi og en hensiktsmessig praksis innen utvikling og implementering av IKT i maritim sektor. Her som ellers gjelder å bygge sikkerheten inn i IKT-systemene fra bunnen av – «security by design» – i stedet for å la sikkerheten bli en ettertanke.
- Sikkerhetsregelverk for sjøfarten må utvides med regler for IKT-sikkerhet.
- En helhetlig risikoanalyse av bruken av IKT-systemer til sjøs, og pålegg til aktører om å praktisere sunne regler for risikostyring av kybersikkerhet og informasjonssikkerhet.
- EU må sette seg som mål å samordne medlemslandenes håndtering av kybersikkerhet til sjøs, mens medlemslandene må klargjøre roller og ansvar for aktører på alle nivåer.
- Det bør vurderes å opprette egne plattformer for utveksling av informasjon om kybersikkerhet til sjøs, for eksempel med nederlandske CPNI som modell.
I rapporten peker Enisa på at det hittil knapt har vært oppdaget alvorlige kyberangrep mot maritim sektor. Samtidig er det «nærmest ingen mekanismer på plass i medlemslandene for å identifisere og rapportere» dem.
Det er heller ingen beredskap for å håndtere eventuelle kyberangrep: Enisa frykter at mangelfull koordinering av uhensiktsmessige og uforberedte mottiltak i tilfelle krise vil gjøre eventuelle kyberangrep desto mer ødeleggende.
Blant mange risikofaktorer, anfører Enisa et stadig økende antall av komponenter innen maritim IKT-infrastruktur – i praksis Scada-apparater – som koples til Internett helt usikret, og ofte uten at det foreligger noe reelt behov for å kople dem til nettet. Dette er den samme typen kyberrisiko som assosieres med for eksempel vannverk, og som ble benyttet av det berømte Stuxnet-angrepet mot kjernekraftsatsingen til Iran. Enisa mener Scada-sårbarhetene i maritim sektor kan true ikke bare tjenester men også hele lag i infrastrukturen, fra databaser med følsom informasjon og oppover. Det anbefales å la seg inspirere av nederlandske regler for Scada innen drikkevannsforsyningen.
Driftskompleksitet og et mangfold av aktører gjør sjøfartens IKT-systemer spesielt sårbare. Rapporten nevner spesielt systemer for å spore og identifisere last, og havnenes automatiserte systemer for håndtering av last. Dataran kan lett føre verdifull frakt på avveie.
Forsikringsselskaper spiller ofte en positiv rolle i å gjøre kundene mer sikkerhetsbevisste. Hittil har selskapene oversett kybersikkerheten til sjøs. Enisa foreslår at disse setter seg inn i sakskomplekset, slik at det blir etablert økonomiske insentiver for maritim sektor å bedre kybersikkerheten.
