الأمن السيبراني البحري: هناك حاجة إلى نهج جديد

© stepheng101 / Adobe Stock

لقد حان الوقت للتحرك نحو نهج كمي يوفر فهماً أعمق لعناصر المخاطر الفردية الملاحظة في أنظمة التشغيل البحرية.

تزيد زيادة التوصيلية في أنظمة التشغيل البحرية المعقدة من التأثير المحتمل للحوادث المرتبطة بالشبكة الإلكترونية وتعقيد مهمة الدفاع ضدها. توفر الطرق التقليدية لتقييم المخاطر السيبرانية إرشادات غير كافية لتطبيق موارد أمنية محدودة.

حاليا ، أساليب تقييم المخاطر المتاحة هي النوعية إلى حد كبير. وبالرغم من ذلك ، توفر هذه الأساليب الأساس الحالي لخطط إدارة المخاطر ، التي يقوم أصحابها ومشغليها ببناء برامج للتعرف على خروقات الأمن السيبراني وحمايتها واكتشافها والتعافي منها. وبناءً على هذا النموذج ، فقد حان الوقت للتحرك نحو نهج كمي يوفر فهماً أعمق لعناصر المخاطر الفردية التي تلاحظ في أنظمة التشغيل البحرية ، ويزود المالكين بـ "المقابض الهندسية" لتغييرها.

المعادلة الأكثر شيوعا التي تستخدم لتمثيل خطر السيبرانية هي: المخاطر = التهديد x الضعف x العواقب. وقد أثبتت هذه المعادلة أنها مفيدة للممارسين بقدر ما ساعدت المحللين على فهم البديهيات أن هناك ثلاثة عناصر مؤسسية ، وأنه يمكن تقليل المخاطر من خلال إزالة أحد هذه العناصر. لكن هذه المعادلة أقل معادلة ، بالمعنى الرياضي ، من النموذج المرجعي لفهم طبيعة مخاطر الأمن السيبراني. من الصعب قياس عناصرها الثلاثة إلى حد كبير ، وهي مشكلة عند محاولة هندسة و / أو حساب حل للأمن السيبراني. بالنسبة لممارس المخاطر البحري الحديث ، يتمثل التحدي الأساسي في إنشاء نموذج يحدد مخاطر الإنترنت حتى يمكن عدها وقياسها وحسابها ونمذجةها لأنظمة التشغيل البحرية.

وقد تعاونت ABS مؤخراً مع معهد Stevens للبحث في هذه المشكلة بالنسبة للقطاع البحري وإعادة تعريف المعادلة من حيث التعقيبات والملاحظة وسهولة الفهم. من بين الأشياء التي اكتشفها بحثنا مع معهد ستيفنز أن طبيعة المخاطر البحرية داخل الأمن السيبراني غير محددة أو مفهومة بشكل جيد. كما أنها لا تدار بشكل جيد.

والنتيجة هي نموذج جديد يساعد المالكين على التحكم بشكل استباقي في مخاطر الأمن السيبراني.

هذه المخاطر بدورها تدفع متطلبات محددة ، القرارات الهندسية والتزامات الموارد. ويركز النموذج على تحديد الحلول التي تتم هندستها باستخدام الكمبيوتر ، ومفصلة للغاية ، وفي سياق المخاطر التي يجب إدارتها.

على نحو فعال ، فإنه يضع ضوابط للرد على المخاطر السيبرانية مرة أخرى في أيدي مالك الأصول.

إن تغيير ممارسات المخاطر السيبرانية في الصناعة بعيداً عن الأساليب الدفاعية التقليدية إلى عملية قابلة للقياس سوف يتطلب من الصناعة تغيير المحادثة ، ولكن الأهم من ذلك أنها ستتطلب أيضًا تغيير كيفية تفكير ممارسي المخاطر في المخاطر.

لتمثيل "العواقب والضعف والتهديد" كعناصر قابلة للحساب لمعادلة الخطر لتقنية التشغيل ، قمنا باستبدالها بمفاهيم "الوظائف والوصلات والهويات" (FCI) ، على التوالي.

"وظائف" تسمح للطاقم بمناورة السفينة أو أداء مهمتها ، والتي يمكن أن تكون أي شيء من حفر النفط ، لنقل الأشخاص والبضائع ، أو مجموعات من كل منها. في معادلة مخاطر FCI ، فإنها تمثل الأنظمة التي يسعى مهاجم الإنترنت إلى التحكم بها أو هزيمتها: التوجيه ، ومراقبة الموقع ، ونظم الدفع ، والاتصالات ، وأي شيء يخدم غرضها.

تمثل "الاتصالات" ، فيما يتعلق بتكنولوجيا التشغيل البحرية ، كيفية اتصال الوظائف ببعضها البعض ، إلى الشاطئ ، إلى الأقمار الصناعية ، إلى الإنترنت ، إلخ.

وضمن كل اتصال توجد "عقدة" ، وهي النقطة التي يتم من خلالها الوصول إلى التوغل عبر الإنترنت.

"الهويات" هي إما بشرية ، أو جهاز رقمي. إن استبدال التهديد بالهوية يسمح بإحصاء التهديدات ، وهو مفهوم متقدم لتعزيز حساب المخاطر البحرية.

في سياق نموذج FCI ، يجب أن يكون للتهديد جدول أعمال. يمكن أن يتراوح ذلك من نقص الوعي بالمخاطر الإلكترونية إلى السلوكيات غير المقصودة - "لن ألتزم بقواعد الشركة وأؤدي واجباتي بطريقة آمنة" - أو أفعال مثل اختطاف الأنظمة الملاحية لسرقة أو تدمير سفينة ، أو غيرها من الأعمال المدمرة للعمليات العادية ، عادة لتحقيق مكاسب مالية.

يتم بعد ذلك حساب البيانات الكمية من الوظائف والوصلات والهويات واستخدامها لملء ورقة عمل تقوم ببناء مؤشر المخاطر لشرح كيف يمكن لتغييرات FCI المحددة أن تغير الخطر النسبي لتكوين كل نظام.

يتم تبسيط العملية الموضحة هنا ، ولكن مؤشر المخاطر يقدم في النهاية نظرة كمية للمخاطر النسبية المرتبطة بالتصميم المعماري للأنظمة الفردية على متن السفينة. وهذا شيء مفقود في مجال الأمن السيبراني البحري.

تحدد طريقة FCI ما إذا كانت عقدة التوصيل (نقاط الوصول) محمية بشكل مناسب ، وما إذا كان مالك الأصل قد قام بالتحكم بهويات أولئك الذين تم تزويدهم بالوصول إلى العقد والمناطق المحظورة داخل بنية نظام التحكم في السفينة.

يوضح المؤشر مساهمة كل مكون في المخاطر الكلية. استنادًا إلى مساهمات المخاطر الفردية ، على سبيل المثال ، يمكن للمالك إعادة تصميم بنية الشبكة لإعادة هندسة كيفية الوصول إلى النظام ، إما من خلال واجهات بين الإنسان والآلة ، أو الهواتف الخلوية ، أو محركات الإبهام ، أو الاتصالات بالإنترنت.

يتيح هذا النهج الجديد للمالك أن يتخذ وجهة نظر على نطاق الأسطول لتحديد الخطر النسبي المرتبط بكل سفينة على أساس الطريقة التي تم تصميم نظامها الرقمي بها ، والطريقة التي يُسمح للناس بالوصول إليها ، وطريقة العقد ، أو نقاط الوصول ، هم محميون.

يوفر نظام ABS مؤشر خطر محسوباً من خلال نهج FCI ، وهو الرقم الذي يمثل المستوى النسبي للمخاطر الكامنة في تصميم وتشغيل النظام الرقمي على السفينة. فهي تساعد المالكين على اتخاذ قرار بشأن مكان نشر موارد الدفاع السيبراني في كثير من الأحيان.

هناك مقولة قديمة في الصناعة: لا يمكنك إدارة ما لا تقيسه. ومع استمرار الصناعة البحرية في السير نحو صناعة السيارات ، فإن الشركات التي يمكنها قياس وإدارة مخاطر الإنترنت ستكون في وضع أفضل للتعامل مع التحديات في العصر الرقمي الجديد.

كصناعة ، ستصبح القدرة على قياس المخاطر السيبرانية أساسًا أساسيًا للكفاءة التشغيلية والسلامة.

(كما نشرت في طبعة أبريل 2018 من المراسل البحري والأخبار الهندسية )