Wdrożenie wymagań Kodeksu ISM | SNP Poland
PL EN
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

Jesteśmy liderem rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy All for One – wiodącego partnera SAP w Europie Środkowej.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Jest nas niemal 500 – konsultantów SAP, programistów i specjalistów IT, kierowników projektów. Działamy w międzynarodowym środowisku, pracujemy w nowoczesnych technologiach, wdrażamy i tworzymy rozwiązania IT dla biznesu. Realizujemy ciekawe projekty dla liderów w swoich branżach. U nas rozwijasz się każdego dnia. Dołącz do nas!

Polska Żegluga Bałtycka: Wdrożenie wymagań Kodeksu ISM

Cyberbezpieczni na morzach i oceanach

Udostępnij
Drukuj:
Polska Żegluga Bałtycka S.A. wdrożyła System Zarządzania Cyberbezpieczeństwem, zapewniając organizacji zgodność z nowymi wymogami Kodeksu ISM. Partnerem wdrożeniowym było SNP. Miarą skuteczności systemu było uzyskanie pozytywnego wyniku audytu przeprowadzonego u armatora w lutym 2021 r. przez uprawnioną, niezależną organizację – Polski Rejestr Statków S.A. Firma ponownie otrzymała Certyfikat Zarządzania Bezpieczeństwem według Kodeksu ISM. O specyfice branży transportu morskiego w kontekście rosnących zagrożeń cybernetycznych rozmawiamy z Andrzejem Madejskim, Prezesem Zarządu PŻB S.A., Andrzejem Pilarskim, Członkiem Zarządu PŻB S.A. oraz Karoliną Krużewską-Ossowską, Inspektorem Ochrony Danych i Pełnomocnikiem Zarządu ds. Cyberbezpieczeństwa w PŻB S.A.

Międzynarodowa Organizacja Morska (IMO, International Maritime Organization), zajmująca się ustalaniem standardów bezpieczeństwa na morzu w skali globalnej, rozszerzyła System Zarządzania Bezpieczną Eksploatacją Statków i Zapobieganiem Zanieczyszczeniu obowiązujący armatorów statków o aspekty zarządzania ryzykiem cybernetycznym. Wszystkie podmioty muszą osiągnąć zgodność z nowymi wytycznymi do pierwszego audytu certyfikacyjnego ISM (International Safety Management Code), który odbędzie się po 1 stycznia 2021 r. Obowiązek dotyczy zarówno statków, jak i infrastruktury lądowej przedsiębiorstwa.

Jakie są najważniejsze systemy informatyczne na statkach i generalnie w transporcie morskim?

Karolina Krużewska-Ossowska: Najważniejszymi systemami IT oraz OT wykorzystywanymi w branży transportu morskiego, które w pierwszej kolejności powinny być zabezpieczone przed potencjalnymi atakami cybernetycznymi na lądzie i morzu są: systemy mostka nawigacyjnego, systemy przeładunku i zarządzania ładunkami, systemy sterowania napędami, maszynami i mocą, systemy kontroli dostępu; komunikacji, obsługi pasażerów i administracyjne oraz wszystkie inne systemy IT/OT, które w przypadku incydentu cyberbezpieczeństwa mogą zagrozić bezpieczeństwu i ciągłości działania.

Dla nas kluczowe są systemy automatyki, które gwarantują bezpieczną żeglugę. W przypadku ich awarii, nieautoryzowanego dostępu czy błędu ludzkiego mogłoby dojść do zakłócenia usługi przewozu, a w skrajnym przypadku mogłoby to stanowić zagrożenie dla bezpieczeństwa pasażerów oraz załogi statku. Priorytetowy jest także system obsługi pasażerów, który poprzez swoją funkcjonalność nadzoruje cały proces rezerwacji biletów promowych, odprawy pasażerskiej, zaokrętowania osób i ładunków. Poważne zakłócenia w jego funkcjonowaniu uniemożliwiłyby embarkację, czyli proces przyjmowania pasażerów na pokład, i zatrzymałyby statek w porcie.

Jak wyglądał proces przygotowania do audytu Systemu Zarządzania Cyberbezpieczeństwem?

K.K.-O.: SNP wspierało nas przy wdrażaniu Systemu Zarządzania Cyberbezpieczeństwem, a proces ten polegał na przeprowadzeniu audytu zerowego i inwentaryzacji posiadanych aktywów, z naciskiem na systemy najbardziej narażone na zagrożenia cybernetyczne. Następnym krokiem było przeprowadzenie szczegółowej analizy i oceny ryzyka w odniesieniu do konkretnych systemów informatycznych i operacyjnych, wraz z planem postępowania z ryzykiem. Plan ten zakładał podjęcie odpowiednich działań mających na celu minimalizację wskazanych zagrożeń, uwzględniających również wdrożenie nowych rozwiązań oraz rutynowych działań zwiększających poziom cyberbezpieczeństwa. Wśród nich znalazły się regularne testy podatności systemów, zwiększenie zakresów szkoleń z cyberbezpieczeństwa dla pracowników i ciągłe doskonalenie systemu w celu zapewnienia właściwej odpowiedzi na nowe zagrożenia.

Co jest produktem tego projektu? Jakie wymagania ma w tym zakresie ISM Code?

K.K.-O.: Produktem końcowym projektu jest przede wszystkim zintegrowany system, obejmujący zarówno dokumentację opisującą szczegółowo System Zarządzania Cyberbezpieczeństwem w Polferries, która jest swoistą mapą drogową, oraz wdrożone rozwiązania pomagające w realizacji procedur bezpieczeństwa na lądzie i morzu.

Kodeks ISM został uchwalony w 1993 roku. Był to pierwszy w historii żeglugi sformalizowany i obowiązkowy standard zarządzania bezpieczną eksploatacją statków. Narzucił on na armatorów obowiązek wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem. Początkowo kodeks dotyczył operacji realizowanych fizycznie. Postęp technologiczny sprawił, że statki wyposażone są w coraz bardziej zaawansowane systemy informatyczne, stąd potrzeba wzbogacenia istniejących procedur o zagrożenia cybernetyczne. Z tego względu obecna dokumentacja została zasadniczo rozszerzona w stosunku do poprzednio obowiązującej i ma istotne znaczenie.

W branżach, w których w grę wchodzi życie ludzkie, bardzo ważne są spisane procedury, które można wykorzystać w sytuacjach awaryjnych, pod presją czasu i często działając w stresie. Dotychczasowe plany statkowe koncentrowały się na zagrożeniach spowodowanych błędem ludzkim, awarią systemu czy katastrofą naturalną. Obecnie jesteśmy także gotowi na nowe zagrożenia – cybernetyczne. W dzisiejszej rzeczywistości, w której cyberataki zdarzają się średnio co 39 sekund, nowe procedury są bardzo ważne i istotnie podnoszą bezpieczeństwo na morzu oraz mają wpływ na ochronę środowiska morskiego.

Karolina Krużewska-Ossowska, Inspektor Ochrony Danych i Pełnomocnik Zarządu ds. Cyberbezpieczeństwa, PŻB S.A.

Czy może Pani podać jakiś konkretny przykład? Jakie ryzyka zostały zidentyfikowane podczas przygotowania do certyfikacji, jak je zminimalizowano?

K.K.-O.: Konsultanci SNP położyli znaczny nacisk na doprecyzowanie i uszczelnienie przez nas polityki dostępu logicznego oraz fizycznego do urządzeń IT/OT zarówno na statkach, jak i w całej organizacji. Zwiększyliśmy zakres testowania oraz audytowania stanu infrastruktury IT/ OT w zakresie bezpieczeństwa, m.in. poprzez przeprowadzanie regularnych testów podatnościowych.

Jak wyglądał sam audyt bezpieczeństwa?

K.K.-O.: Audyt objął ocenę wszystkich elementów systemu zarządzania bezpieczeństwem i działalności armatora, do której odnoszą się wymagania Kodeksu ISM. Został przeprowadzony przez Polski Rejestr Statków SA, który jest organizacją uznaną przez Administrację.

Audytorzy pytali o rozwiązania stosowane do zabezpieczania komputerów oraz systemów, zarówno w centrali, jak i na statkach. Zwracali uwagę na procedurę regularnych przeglądów dokumentacji systemowej i planów doskonalenia, w tym przeprowadzania regularnych testów systemów bezpieczeństwa.

Zweryfikowano, czy armator wyznaczył zespół odpowiedzialny za nadzór nad przestrzeganiem wdrożonego Systemu Zarządzania Cyberbezpieczeństwem. W Polferries powołany został Pełnomocnik Zarządu ds. Cyberbezpieczeństwa, odpowiedzialny za bezpieczeństwo informacji i ciągłość działania w ramach wdrożonych mechanizmów kontrolnych, który ściśle współpracuje z  Forum Bezpieczeństwa Informacji.

FBI wskazuje kierunki działań w zakresie bezpieczeństwa informacji, dokonuje przeglądu dokumentacji i procedur oraz analizuje wszelkie naruszenia bezpieczeństwa informacji.

Powołaliśmy także Zespół Reagowania na Incydenty, który niezwłocznie reaguje na incydenty bezpieczeństwa informacji w określony i z góry ustalony sposób. Zostały stworzone odrębne kanały komunikacji do zgłaszania przez pracowników wszelkich incydentów. Za ochronę i utrzymanie systemów teleinformatycznych IT/OT w obszarze działania Polferries odpowiada Security Operations Center.

Sprawdzano proces tworzenia kopii zapasowych dla kluczowych danych, których procedury zostały opisane w polityce bezpieczeństwa IT/OT oraz w polityce backupu. Sprawdzeniu podlegała także procedura fizycznej kontroli i autoryzacji dostępu do obiektów, pomieszczeń oraz komputerów. Audytorzy PRS poprosili o udokumentowanie przeprowadzonego szkolenia personelu, zwłaszcza na statkach, w zakresie ataków opartych na elementach ludzkich (z użyciem socjotechniki).

Audyt zakończył się dla nas uzyskaniem Dokumentu Zgodności, którego posiadanie jest niezbędne dla naszego biznesu. Dokument ten uznawany jest jako dowód, że armator jest zdolny spełnić wymagania Kodeksu. Bez niego żaden statek nie może wyjść w morze.

Certyfikat jest ważny tylko przez rok, więc kolejny audyt już za klika miesięcy. Jakich nowych zadań przysporzył Inspektorowi Danych nowy rozdział Systemu Zarządzania Bezpieczeństwem, obejmujący cyberbezpieczeństwo?

K.K.-O.: Wprowadzenie Systemu Zarządzania Cyberbezpieczeństwem rozszerzyło zakres moich zadań, ale w wielu aspektach ułatwiło pracę, gdyż zarządzanie ryzykiem w cyberbezpieczeństwie na morzu i lądzie oraz zapewnienie bezpieczeństwa przetwarzanych danych osobowych wzajemnie się uzupełniają i tworzą wspólny filar budujący bezpieczną żeglugę, odporną na zagrożenia cybernetyczne.

Dużo większy nacisk został położony na szkolenia pracowników z uwzględnieniem zagrożeń cybernetycznych, zwłaszcza tych z użyciem socjotechniki, czyli phishingu i spoofingu. Świadomość i czujność pracowników w tym zakresie znacznie się zwiększyła, co w przypadku zwiększenia ataków cybernetycznych o 300% w dobie pandemii ma kolosalne znaczenie dla zapewnienia bezpieczeństwa informacji i ciągłości działania. Duży nacisk kładziemy na przekazywanie informacji o sposobach obrony przed atakami cyberprzestępców i procedur reagowania na incydenty.

Jesteśmy w ciągłym procesie doskonalenia sytemu bezpieczeństwa, więc teoretycznie przyszłoroczny audyt powinien być dla nas łatwiejszy w porównaniu do tegorocznego. Kładziemy nacisk na ciągłe doskonalenie istniejącego systemu, stosujemy rozwiązania i technologię o wysokich i sprawdzonych standardach, zarządzamy ryzykiem i zapewniamy plany ciągłości działania. Świadczymy usługi transportu morskiego według zdefiniowanych i efektywnych procedur, przekładające się na zapewnienie poufności danych i informacji, bezpieczeństwo systemów i usług, sprawną obsługę pasażerów oraz bezpieczną żeglugę.

Piractwo cybernetyczne jest ogromnym zagrożeniem. Jak standardy cyberbezpieczeństwa służą zmniejszeniu ryzyka ataków?

Andrzej Madejski: Zapewnienie bezpieczeństwa informatycznego jest jednym z kluczowych wyzwań technologicznych dla firm z sektora branży morskiej. Przy rosnącej liczbie udanych cyberataków na organizacje, branża morska musi posiadać i stale rozwijać bezpieczną infrastrukturę, która wraz ze wzrostem cyfryzacji statków narażona jest na wiele niebezpieczeństw ze strony cyberprzestępców. Niezbędna jest analiza potencjalnych zagrożeń, dywersyfikacja ryzyka i umiejętne nim zarzadzanie przy wykorzystaniu najnowszych rozwiązań, które zminimalizują sytuacje mogące prowadzić do utraty zasobów firmy.

Andrzej Madejski, Prezes Zarządu, PŻB S.A.

Wdrożenie innowacji technologicznych gwarantuje dużo nowych możliwości dla naszej branży, ale powoduje jednocześnie wzrost zagrożeń cybernetycznych, związanych z przetwarzaniem danych. Technologie OT coraz chętniej korzystają z systemów IT, a tym samym zwiększa się ryzyko zagrożeń cybernetycznych. Konsekwencje skutecznego ataku ze strony cyberprzestępców na krytyczne systemy transportu morskiego mogą być katastrofalne w skutkach i doprowadzić do olbrzymich strat finansowych, wizerunkowych, a także zagrozić bezpieczeństwu ludzi, a w skrajnym przypadku także państwa. Regularne zwiększanie ochrony sieci i ciągłe podnoszenie bezpieczeństwa informacji to wyzwania, z którymi muszą zmierzyć się dzisiaj armatorzy na całym świecie.

Cyberprzestępczość rozwija się w zastraszającym tempie. Szacuje się, że globalne koszty cyberprzestępczości osiągną 6 bilionów dolarów do końca 2021 roku. Sukcesywne wdrażanie cyberzabezpieczeń zarówno w systemach informatycznych, jak i automatycznych OT stanowi niezbędną obronę przed cyberatakami. Niezmiernie istotne są także szkolenia dla pracowników, gdyż błąd ludzki jest przyczyną ponad 95% naruszeń cyberbezpieczeństwa.

Stosowanie się do obecnie panujących standardów w zakresie cyberbezpieczeństwa bez wątpienia zmniejsza ryzyko ataków oraz wskazuje odpowiednie postępowanie w przypadku wykrytych incydentów. Przekłada się to bezpośrednio na bezpieczeństwo pasażerów, ale również na ochronę naszych dóbr oraz wizerunku firmy. Wśród wielu dobrych praktyk można wskazać między innymi takie działania jak:

– precyzyjne określenia i wskazania potencjalnych zagrożeń w odniesieniu do prowadzonej działalności oraz stosowanych rozwiązań,

– przygotowanie szczegółowego i precyzyjnego zestawu procedur oraz planów postępowania z poszczególnymi aktywami,

– ciągłe szkolenie kadr morskich i lądowych w zakresie cyberbezpieczeństwa,

– powołanie wykwalifikowanego zespołu, który stale monitoruje i nadzoruje infrastrukturę na statkach i na lądzie, dbając o stałą dostępność zasobów oraz ich bezpieczeństwo,

– weryfikacja stosowanych rozwiązań i wdrożonych zasad poprzez zewnętrznych audytorów.

Ryzyka dla infrastruktury informatycznej często są bardziej prozaiczne. Jakie działania podejmuje Polferries, aby podnieść poziom bezpieczeństwa w tym zakresie?

Andrzej Pilarski: Branża morska staje się coraz bardziej zależna od zaawansowanych technologii. Rozwój cyfryzacji ma wpływ na większość systemów sektora transportu morskiego. Zmiany wpływają na nawigację, załadunek, systemy łączności, powiadamiania i bezpieczeństwa.

Andrzej Pilarski, Członek Zarządu, PŻB S.A.

Polska Żegluga Bałtycka S.A. podejmuje liczne działania zapewniające wzrost poziomu bezpieczeństwa infrastruktury informatycznej. Wdrożyliśmy i rozwijamy System Zarządzania Bezpieczeństwem i Jakością, zgodny z Kodeksem ISM oraz normą ISO 9001:2015, potwierdzany co roku przez uznaną jednostkę certyfikującą Polski Rejestr Statków S.A. Wdrożone regulacje mają na celu nie tylko sprostanie przepisom konwencyjnym, ale przede wszystkim wymogom naszych klientów. Wszyscy pracownicy firmy oraz załogi statków są odpowiedzialni za realizację działań projakościowych.

Zarówno kadra lądowa, jak i morska ma regularnie przeprowadzane szkolenia z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa. Celem tych szkoleń jest podnoszenie świadomości i wyrabianie nawyku odpowiedzialnego i bezpiecznego korzystania z cyberprzestrzeni, zapewnienia najwyższej ostrożności przy przetwarzaniu danych osobowych w systemach informatycznych, a w razie incydentu szybkiego reagowania.

PŻB S.A. inwestuje w rozwój infrastruktury informatycznej w zakresie zapewnienia bezpiecznego systemu obsługi pasażerów. Celem nadrzędnym firmy jest bezpieczeństwo i satysfakcja klientów. Nasi klienci korzystają z regularnych połączeń promowych między Polską a Szwecją, a duża część spędza z nami wolny czas, odpoczywa i bawi się na promie. Dbanie o ich bezpieczeństwo na każdym poziomie jest naszym priorytetem.

Rozmawiała Mirosława Huk, SNP Poland

Polska Żegluga Bałtycka S.A. to polski operator promowy, występujący pod marką Polferries. Firma powstała w 1976 r. w Kołobrzegu. Obecnie eksploatuje pięć nowoczesnych i bezpiecznych promów operujących na liniach: Gdańsk – Nynäshamn, Świnoujście – Ystad, a w połączeniu z przeprawą przez most Oresund: Świnoujście – Kopenhaga. PŻB S.A. dysponuje Morskim Biurem Podróży w Warszawie, które oferuje bilety promowe Polferries oraz innych przewoźników. Firma współpracuje z wieloma europejskimi biurami podróży, szczególnie z krajów skandynawskich. Promy Polferries oferują bezpieczną i wygodną żeglugę, tradycyjną dobrą kuchnię, możliwość dokonania atrakcyjnych zakupów oraz wspaniałą atmosferę stworzoną przez profesjonalną i kompetentną obsługę. Dzisiaj promy Polskiej Żeglugi Bałtyckiej S.A. obsługujące połączenia ze Skandynawią są jednostkami nowoczesnymi, bezpiecznymi i cenionymi przez naszych klientów pasażerskich i ładunkowych.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:
#}

Formularz kontaktowy






    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    Napisz maila lub zadzwoń

    E-mail: office.pl@snpgroup.com
    Tel. 61 827 7000

    SNP Poland Sp. z o.o.

    Centrala:
    Złotniki, ul. Krzemowa 1
    62-002 Suchy Las k. Poznania

    Skontaktuj się z nami

    W czym możemy pomóc?
    Napisz do nas
    Wyślij email
    Zadzwoń






      1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
      2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
      3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
      4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
      5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
      6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
      7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

      Kontakt ogólny do firmy
      office.pl@snpgroup.com

      Pytania o produkty i usługi
      info.pl@snpgroup.com

      Pytania na temat pracy i staży
      kariera@snpgroup.com

      61 827 70 00

      Biuro jest czynne
      od poniedziałku do piątku
      w godz. 8:00 – 17:00