Wdrożenie wymagań Kodeksu ISM

Międzynarodowa Organizacja Morska (IMO, International Maritime Organization), zajmująca się ustalaniem standardów bezpieczeństwa na morzu w skali globalnej, rozszerzyła System Zarządzania Bezpieczną Eksploatacją Statków i Zapobieganiem Zanieczyszczeniu obowiązujący armatorów statków o aspekty zarządzania ryzykiem cybernetycznym. Wszystkie podmioty muszą osiągnąć zgodność z nowymi wytycznymi do pierwszego audytu certyfikacyjnego ISM (International Safety Management Code), który odbędzie się po 1 stycznia 2021 r. Obowiązek dotyczy zarówno statków, jak i infrastruktury lądowej przedsiębiorstwa.

Jakie są najważniejsze systemy informatyczne na statkach i generalnie w transporcie morskim?

Karolina Krużewska-Ossowska: Najważniejszymi systemami IT oraz OT wykorzystywanymi w branży transportu morskiego, które w pierwszej kolejności powinny być zabezpieczone przed potencjalnymi atakami cybernetycznymi na lądzie i morzu są: systemy mostka nawigacyjnego, systemy przeładunku i zarządzania ładunkami, systemy sterowania napędami, maszynami i mocą, systemy kontroli dostępu; komunikacji, obsługi pasażerów i administracyjne oraz wszystkie inne systemy IT/OT, które w przypadku incydentu cyberbezpieczeństwa mogą zagrozić bezpieczeństwu i ciągłości działania.

Dla nas kluczowe są systemy automatyki, które gwarantują bezpieczną żeglugę. W przypadku ich awarii, nieautoryzowanego dostępu czy błędu ludzkiego mogłoby dojść do zakłócenia usługi przewozu, a w skrajnym przypadku mogłoby to stanowić zagrożenie dla bezpieczeństwa pasażerów oraz załogi statku. Priorytetowy jest także system obsługi pasażerów, który poprzez swoją funkcjonalność nadzoruje cały proces rezerwacji biletów promowych, odprawy pasażerskiej, zaokrętowania osób i ładunków. Poważne zakłócenia w jego funkcjonowaniu uniemożliwiłyby embarkację, czyli proces przyjmowania pasażerów na pokład, i zatrzymałyby statek w porcie.

Jak wyglądał proces przygotowania do audytu Systemu Zarządzania Cyberbezpieczeństwem?

K.K.-O.: All for One Poland (dawniej SNP Poland) wspierało nas przy wdrażaniu Systemu Zarządzania Cyberbezpieczeństwem, a proces ten polegał na przeprowadzeniu audytu zerowego i inwentaryzacji posiadanych aktywów, z naciskiem na systemy najbardziej narażone na zagrożenia cybernetyczne. Następnym krokiem było przeprowadzenie szczegółowej analizy i oceny ryzyka w odniesieniu do konkretnych systemów informatycznych i operacyjnych, wraz z planem postępowania z ryzykiem. Plan ten zakładał podjęcie odpowiednich działań mających na celu minimalizację wskazanych zagrożeń, uwzględniających również wdrożenie nowych rozwiązań oraz rutynowych działań zwiększających poziom cyberbezpieczeństwa. Wśród nich znalazły się regularne testy podatności systemów, zwiększenie zakresów szkoleń z cyberbezpieczeństwa dla pracowników i ciągłe doskonalenie systemu w celu zapewnienia właściwej odpowiedzi na nowe zagrożenia.

Co jest produktem tego projektu? Jakie wymagania ma w tym zakresie ISM Code?

K.K.-O.: Produktem końcowym projektu jest przede wszystkim zintegrowany system, obejmujący zarówno dokumentację opisującą szczegółowo System Zarządzania Cyberbezpieczeństwem w Polferries, która jest swoistą mapą drogową, oraz wdrożone rozwiązania pomagające w realizacji procedur bezpieczeństwa na lądzie i morzu.

Kodeks ISM został uchwalony w 1993 roku. Był to pierwszy w historii żeglugi sformalizowany i obowiązkowy standard zarządzania bezpieczną eksploatacją statków. Narzucił on na armatorów obowiązek wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem. Początkowo kodeks dotyczył operacji realizowanych fizycznie. Postęp technologiczny sprawił, że statki wyposażone są w coraz bardziej zaawansowane systemy informatyczne, stąd potrzeba wzbogacenia istniejących procedur o zagrożenia cybernetyczne. Z tego względu obecna dokumentacja została zasadniczo rozszerzona w stosunku do poprzednio obowiązującej i ma istotne znaczenie.

W branżach, w których w grę wchodzi życie ludzkie, bardzo ważne są spisane procedury, które można wykorzystać w sytuacjach awaryjnych, pod presją czasu i często działając w stresie. Dotychczasowe plany statkowe koncentrowały się na zagrożeniach spowodowanych błędem ludzkim, awarią systemu czy katastrofą naturalną. Obecnie jesteśmy także gotowi na nowe zagrożenia – cybernetyczne. W dzisiejszej rzeczywistości, w której cyberataki zdarzają się średnio co 39 sekund, nowe procedury są bardzo ważne i istotnie podnoszą bezpieczeństwo na morzu oraz mają wpływ na ochronę środowiska morskiego.

Karolina Krużewska-Ossowska, Inspektor Ochrony Danych i Pełnomocnik Zarządu ds. Cyberbezpieczeństwa, PŻB S.A.

Czy może Pani podać jakiś konkretny przykład? Jakie ryzyka zostały zidentyfikowane podczas przygotowania do certyfikacji, jak je zminimalizowano?

K.K.-O.: Konsultanci All for One Poland położyli znaczny nacisk na doprecyzowanie i uszczelnienie przez nas polityki dostępu logicznego oraz fizycznego do urządzeń IT/OT zarówno na statkach, jak i w całej organizacji. Zwiększyliśmy zakres testowania oraz audytowania stanu infrastruktury IT/ OT w zakresie bezpieczeństwa, m.in. poprzez przeprowadzanie regularnych testów podatnościowych.

Jak wyglądał sam audyt bezpieczeństwa?

K.K.-O.: Audyt objął ocenę wszystkich elementów systemu zarządzania bezpieczeństwem i działalności armatora, do której odnoszą się wymagania Kodeksu ISM. Został przeprowadzony przez Polski Rejestr Statków SA, który jest organizacją uznaną przez Administrację.

Audytorzy pytali o rozwiązania stosowane do zabezpieczania komputerów oraz systemów, zarówno w centrali, jak i na statkach. Zwracali uwagę na procedurę regularnych przeglądów dokumentacji systemowej i planów doskonalenia, w tym przeprowadzania regularnych testów systemów bezpieczeństwa.

Zweryfikowano, czy armator wyznaczył zespół odpowiedzialny za nadzór nad przestrzeganiem wdrożonego Systemu Zarządzania Cyberbezpieczeństwem. W Polferries powołany został Pełnomocnik Zarządu ds. Cyberbezpieczeństwa, odpowiedzialny za bezpieczeństwo informacji i ciągłość działania w ramach wdrożonych mechanizmów kontrolnych, który ściśle współpracuje z  Forum Bezpieczeństwa Informacji.

FBI wskazuje kierunki działań w zakresie bezpieczeństwa informacji, dokonuje przeglądu dokumentacji i procedur oraz analizuje wszelkie naruszenia bezpieczeństwa informacji.

Powołaliśmy także Zespół Reagowania na Incydenty, który niezwłocznie reaguje na incydenty bezpieczeństwa informacji w określony i z góry ustalony sposób. Zostały stworzone odrębne kanały komunikacji do zgłaszania przez pracowników wszelkich incydentów. Za ochronę i utrzymanie systemów teleinformatycznych IT/OT w obszarze działania Polferries odpowiada Security Operations Center.

Sprawdzano proces tworzenia kopii zapasowych dla kluczowych danych, których procedury zostały opisane w polityce bezpieczeństwa IT/OT oraz w polityce backupu. Sprawdzeniu podlegała także procedura fizycznej kontroli i autoryzacji dostępu do obiektów, pomieszczeń oraz komputerów. Audytorzy PRS poprosili o udokumentowanie przeprowadzonego szkolenia personelu, zwłaszcza na statkach, w zakresie ataków opartych na elementach ludzkich (z użyciem socjotechniki).

Audyt zakończył się dla nas uzyskaniem Dokumentu Zgodności, którego posiadanie jest niezbędne dla naszego biznesu. Dokument ten uznawany jest jako dowód, że armator jest zdolny spełnić wymagania Kodeksu. Bez niego żaden statek nie może wyjść w morze.

Certyfikat jest ważny tylko przez rok, więc kolejny audyt już za klika miesięcy. Jakich nowych zadań przysporzył Inspektorowi Danych nowy rozdział Systemu Zarządzania Bezpieczeństwem, obejmujący cyberbezpieczeństwo?

K.K.-O.: Wprowadzenie Systemu Zarządzania Cyberbezpieczeństwem rozszerzyło zakres moich zadań, ale w wielu aspektach ułatwiło pracę, gdyż zarządzanie ryzykiem w cyberbezpieczeństwie na morzu i lądzie oraz zapewnienie bezpieczeństwa przetwarzanych danych osobowych wzajemnie się uzupełniają i tworzą wspólny filar budujący bezpieczną żeglugę, odporną na zagrożenia cybernetyczne.

Dużo większy nacisk został położony na szkolenia pracowników z uwzględnieniem zagrożeń cybernetycznych, zwłaszcza tych z użyciem socjotechniki, czyli phishingu i spoofingu. Świadomość i czujność pracowników w tym zakresie znacznie się zwiększyła, co w przypadku zwiększenia ataków cybernetycznych o 300% w dobie pandemii ma kolosalne znaczenie dla zapewnienia bezpieczeństwa informacji i ciągłości działania. Duży nacisk kładziemy na przekazywanie informacji o sposobach obrony przed atakami cyberprzestępców i procedur reagowania na incydenty.

Jesteśmy w ciągłym procesie doskonalenia sytemu bezpieczeństwa, więc teoretycznie przyszłoroczny audyt powinien być dla nas łatwiejszy w porównaniu do tegorocznego. Kładziemy nacisk na ciągłe doskonalenie istniejącego systemu, stosujemy rozwiązania i technologię o wysokich i sprawdzonych standardach, zarządzamy ryzykiem i zapewniamy plany ciągłości działania. Świadczymy usługi transportu morskiego według zdefiniowanych i efektywnych procedur, przekładające się na zapewnienie poufności danych i informacji, bezpieczeństwo systemów i usług, sprawną obsługę pasażerów oraz bezpieczną żeglugę.

Piractwo cybernetyczne jest ogromnym zagrożeniem. Jak standardy cyberbezpieczeństwa służą zmniejszeniu ryzyka ataków?

Andrzej Madejski: Zapewnienie bezpieczeństwa informatycznego jest jednym z kluczowych wyzwań technologicznych dla firm z sektora branży morskiej. Przy rosnącej liczbie udanych cyberataków na organizacje, branża morska musi posiadać i stale rozwijać bezpieczną infrastrukturę, która wraz ze wzrostem cyfryzacji statków narażona jest na wiele niebezpieczeństw ze strony cyberprzestępców. Niezbędna jest analiza potencjalnych zagrożeń, dywersyfikacja ryzyka i umiejętne nim zarzadzanie przy wykorzystaniu najnowszych rozwiązań, które zminimalizują sytuacje mogące prowadzić do utraty zasobów firmy.

Andrzej Madejski, Prezes Zarządu, PŻB S.A.

Wdrożenie innowacji technologicznych gwarantuje dużo nowych możliwości dla naszej branży, ale powoduje jednocześnie wzrost zagrożeń cybernetycznych, związanych z przetwarzaniem danych. Technologie OT coraz chętniej korzystają z systemów IT, a tym samym zwiększa się ryzyko zagrożeń cybernetycznych. Konsekwencje skutecznego ataku ze strony cyberprzestępców na krytyczne systemy transportu morskiego mogą być katastrofalne w skutkach i doprowadzić do olbrzymich strat finansowych, wizerunkowych, a także zagrozić bezpieczeństwu ludzi, a w skrajnym przypadku także państwa. Regularne zwiększanie ochrony sieci i ciągłe podnoszenie bezpieczeństwa informacji to wyzwania, z którymi muszą zmierzyć się dzisiaj armatorzy na całym świecie.

Cyberprzestępczość rozwija się w zastraszającym tempie. Szacuje się, że globalne koszty cyberprzestępczości osiągną 6 bilionów dolarów do końca 2021 roku. Sukcesywne wdrażanie cyberzabezpieczeń zarówno w systemach informatycznych, jak i automatycznych OT stanowi niezbędną obronę przed cyberatakami. Niezmiernie istotne są także szkolenia dla pracowników, gdyż błąd ludzki jest przyczyną ponad 95% naruszeń cyberbezpieczeństwa.

Stosowanie się do obecnie panujących standardów w zakresie cyberbezpieczeństwa bez wątpienia zmniejsza ryzyko ataków oraz wskazuje odpowiednie postępowanie w przypadku wykrytych incydentów. Przekłada się to bezpośrednio na bezpieczeństwo pasażerów, ale również na ochronę naszych dóbr oraz wizerunku firmy. Wśród wielu dobrych praktyk można wskazać między innymi takie działania jak:

– precyzyjne określenia i wskazania potencjalnych zagrożeń w odniesieniu do prowadzonej działalności oraz stosowanych rozwiązań,

– przygotowanie szczegółowego i precyzyjnego zestawu procedur oraz planów postępowania z poszczególnymi aktywami,

– ciągłe szkolenie kadr morskich i lądowych w zakresie cyberbezpieczeństwa,

– powołanie wykwalifikowanego zespołu, który stale monitoruje i nadzoruje infrastrukturę na statkach i na lądzie, dbając o stałą dostępność zasobów oraz ich bezpieczeństwo,

– weryfikacja stosowanych rozwiązań i wdrożonych zasad poprzez zewnętrznych audytorów.

Ryzyka dla infrastruktury informatycznej często są bardziej prozaiczne. Jakie działania podejmuje Polferries, aby podnieść poziom bezpieczeństwa w tym zakresie?

Andrzej Pilarski: Branża morska staje się coraz bardziej zależna od zaawansowanych technologii. Rozwój cyfryzacji ma wpływ na większość systemów sektora transportu morskiego. Zmiany wpływają na nawigację, załadunek, systemy łączności, powiadamiania i bezpieczeństwa.

Andrzej Pilarski, Członek Zarządu, PŻB S.A.

Polska Żegluga Bałtycka S.A. podejmuje liczne działania zapewniające wzrost poziomu bezpieczeństwa infrastruktury informatycznej. Wdrożyliśmy i rozwijamy System Zarządzania Bezpieczeństwem i Jakością, zgodny z Kodeksem ISM oraz normą ISO 9001:2015, potwierdzany co roku przez uznaną jednostkę certyfikującą Polski Rejestr Statków S.A. Wdrożone regulacje mają na celu nie tylko sprostanie przepisom konwencyjnym, ale przede wszystkim wymogom naszych klientów. Wszyscy pracownicy firmy oraz załogi statków są odpowiedzialni za realizację działań projakościowych.

Zarówno kadra lądowa, jak i morska ma regularnie przeprowadzane szkolenia z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa. Celem tych szkoleń jest podnoszenie świadomości i wyrabianie nawyku odpowiedzialnego i bezpiecznego korzystania z cyberprzestrzeni, zapewnienia najwyższej ostrożności przy przetwarzaniu danych osobowych w systemach informatycznych, a w razie incydentu szybkiego reagowania.

PŻB S.A. inwestuje w rozwój infrastruktury informatycznej w zakresie zapewnienia bezpiecznego systemu obsługi pasażerów. Celem nadrzędnym firmy jest bezpieczeństwo i satysfakcja klientów. Nasi klienci korzystają z regularnych połączeń promowych między Polską a Szwecją, a duża część spędza z nami wolny czas, odpoczywa i bawi się na promie. Dbanie o ich bezpieczeństwo na każdym poziomie jest naszym priorytetem.

Rozmawiała Mirosława Huk, All for One Poland