"الأمن السيبراني خدعة" ومفاهيم خاطئة أخرى في عالم الملاحة البحرية

جريج تراوثواين6 ربيع الثاني 1446
حقوق الطبع والنشر محفوظة لـ LailaBee/AdobeStock
حقوق الطبع والنشر محفوظة لـ LailaBee/AdobeStock

مع صدور القواعد الجديدة بشأن الأمن السيبراني من خفر السواحل الأمريكي، تتمتع أنجليكي زيسيماتو، مديرة الأمن السيبراني في ABS، بمكانة فريدة لمناقشة الأمن السيبراني البحري على نطاق واسع، مع تقديم رؤى حول ما رأته وسمعته من مسودة القواعد، مع تقديم المشورة بشأن ما قد يعنيه ذلك لأصحاب السفن.

إن الأمن السيبراني وكل ما يستلزمه يتسلق بسرعة سلم الأولويات في المجال البحري، حيث أن الاعتماد المتزايد على الاتصال هو سيف ذو حدين من الوعد والخطر.

في حين يختلف مستوى استعداد الأمن السيبراني على نطاق واسع عبر جميع الصناعات، ربما يكون أكبر مصدر للقلق هو أن البعض لا يعترف حتى بالمخاطر. قالت أنجيليكي زيسيماتو، مديرة الأمن السيبراني في ABS، "لقد سمعت عدة مرات على مدار السنوات الثماني الماضية عبارة 'الأمن السيبراني خدعة'؛ لقد سمعت ذلك مرارًا وتكرارًا من الطواقم، ومن المشغلين، ومن المالكين"، حيث يعتقدون أن أنظمتهم على متن الطائرة "معزولة" عن الاتصال على متن الطائرة، مما يؤدي إلى شعور زائف بالأمان.

الخطوة الأولى التي يجب على ABS اتخاذها هي إبلاغ وتثقيف وتوضيح أن التهديد حقيقي. ما عليك سوى أن تسأل مجموعة AP Moller-Maersk ، إحدى أكبر شركات الشحن في العالم والتي تعرضت في عام 2017 لهجوم NotPetya ، مما أدى إلى تعطيل العمليات لمدة 10 أيام وتكبد مئات الملايين من الدولارات من الإيرادات.

وبينما كان القطاع البحري بطيئًا بشكل جماعي في استيعاب الأمن السيبراني، قالت زيسيماتو إن مالكي الأساطيل الكبيرة ومشغليها يأخذون المخاطر على محمل الجد - ويستثمرون بكثافة في مراكز التشغيل الآمنة الخاصة بهم - وبدأت ترى تغيرًا في المواقف عبر الصناعة، وخاصة عندما تتصدر الأحداث البارزة مثل NotPetya عناوين الأخبار وتوضح النطاق المحتمل للمشكلة. كما أن المحرك أيضًا، كالمعتاد، هو القواعد الناشئة من المنظمة البحرية الدولية وخفر السواحل الأمريكي.

وقال زيسيماتو: "بالنسبة للمشغلين والمالكين من ذوي الحجم الصغير والمتوسط، أعتقد أن التنظيم هو ما يحرك تصرفاتهم، لذلك يحاولون الالتزام بالحد الأدنى، وفعل ما هو مفروض أو موصى به".



قواعد جديدة للأمن السيبراني لخفر السواحل الأمريكي

انضم إلى "غداء وتعلم الأمن السيبراني" في نيو أورلينز في 13 نوفمبر 2024 في مركز موريال للمؤتمرات. الحدث عبارة عن مناقشة معتدلة حول قواعد الأمن السيبراني الجديدة لخفر السواحل الأمريكي وتأثيرها المحتمل على مشغلي مالكي السفن. انقر هنا للتسجيل مجانًا.




ملء الفجوات

ومع تزايد عدد السفن الجديدة المتصلة بالإنترنت، وتولي جيل جديد من البحارة ــ من أبناء الإنترنت ــ زمام القيادة في المجال البحري، فإن الوعي بالأمن السيبراني والعمل على اتخاذ الإجراءات اللازمة سوف يترافقان مع ذلك. وحتى ذلك الحين، لا يزال هناك الكثير من العمل الذي يتعين علينا القيام به.

وقال زيسيماتو: "إن الافتقار إلى المعرفة حول هذا الموضوع، [بالإضافة إلى] الافتقار إلى التدريب والوعي؛ والذي ينطبق على الأطقم والموظفين على اليابسة،" هو بلا شك أكبر فجوة اليوم. "حتى شركات الشحن التي تعرف أنها بحاجة إلى التصرف، قد تكلف المهمة لقسم تكنولوجيا المعلومات لديها، وعادةً ما يكون لدى موظفي تكنولوجيا المعلومات معرفة [قليلة أو معدومة] بالأنظمة الموجودة على متن السفينة"، مما يمثل تحديًا حول من أين تبدأ.

إن قدم الأنظمة القديمة التي تعمل على متن السفن الحالية، بما في ذلك Windows NT والبرامج القديمة الأخرى، تشكل تحديًا كبيرًا بنفس القدر من حيث نقاط الضعف.

هناك مشكلة محتملة أخرى في سلسلة التوريد البحرية بأكملها، وهي عدم وجود رؤية كافية بشأن صيانة وتحديث الأنظمة الموجودة على متن السفن، حيث يقوم مالكو السفن ومديروها عادةً بتكليف البائعين بالحضور شخصيًا على متن السفن للوصول إلى الأنظمة وترقيتها، مما يوفر قدرًا ضئيلًا إن وجد من الرؤية بشأن ما تم تحديثه وتثبيته بالفعل على السفن. إن الحصول على التحكم الكامل والرؤية بشأن تحديثات وصيانة الأنظمة المهمة هو عنصر آخر من الأولويات في قائمة "المهام" التي يتعين على مالك السفينة/مديرها القيام بها.

ولكن رغم أن الفجوات والمشاكل قد تكون كبيرة، فإن الحلول قد تكون سهلة، على الأقل في البداية.

"أود أن أبدأ بالأمر الواضح"، كما قال زيسيماتو. "أولاً وقبل كل شيء، خذ الأمر على محمل الجد. اعتبره خطرًا حقيقيًا على عملياتك وأعمالك. اتبع ما هو مطلوب، أو ما توصي به منظمة البحرية الدولية، أو ما توصي به منظمة المعايير والتقنية الوطنية، إطار الأمن السيبراني. اتبع الخطوات. ابدأ بتقييم مخاطر قوي للغاية، وضع الأشخاص المناسبين في الغرفة؛ أشخاص من العمليات وأشخاص من جانب تكنولوجيا المعلومات. قم بعملية العصف الذهني؛ فكر حقًا في المخاطر وكيفية التخفيف منها. إذا كان تحديدك للمخاطر ضعيفًا، فإن الضوابط التي سيتم تنفيذها ستكون ضعيفة أيضًا."

"هناك أيضًا بنود أخرى، مثل التدريبات الأمنية السيبرانية كل ثلاثة أشهر المطلوبة بموجب اللوائح، والتي نعتقد أنها متكررة بعض الشيء. ثم لا توجد تفاصيل محددة؛ ماذا يعني ذلك، وما الذي يجب اختباره؟"
أنجيليكي زيسيماتو، مدير الأمن السيبراني، ABS


قواعد خفر السواحل الجديدة

في وقت سابق من هذا العام، نشر خفر السواحل قاعدة مقترحة في السجل الفيدرالي تقترح تحديث لوائح الأمن البحري من خلال إضافة لوائح تركز بشكل خاص على وضع الحد الأدنى من متطلبات الأمن السيبراني للسفن التي تحمل العلم الأمريكي، والمرافق الموجودة على الجرف القاري الخارجي، والمرافق الأمريكية الخاضعة للوائح بموجب قانون أمن النقل البحري لعام 2002. ومن المتوقع الانتهاء من القواعد الجديدة في وقت لاحق من هذا العام، ولا تزال هناك العديد من الأسئلة حول ما ستفرضه، وكيف سيؤثر ذلك في النهاية على إجراءات مالك السفينة/المشغل والتكلفة.

وقالت زيسيماتو "لقد قدمنا بعض الملاحظات إلى خفر السواحل فيما يتعلق بما قد يكون مفقودًا أو ما قد يشكل تحديًا للمشغلين". "[في هذا الوقت] لا نعرف حقًا ما إذا كانت اللائحة الجديدة ستنطبق على السفن الجديدة أو على السفن الحالية أيضًا. سيكون لذلك تأثير كبير على السفن التي تحمل العلم الأمريكي". وقالت إن هناك بعض المتطلبات داخل القاعدة المقترحة والتي تتحدث عن تقسيم الشبكات، على سبيل المثال، وخاصة في السفن الحالية، حيث تكون الشبكات مسطحة عادةً، "سيتطلب ذلك بعض الجهد الإضافي".

ولكن الأمر لا ينتهي هناك.

"هناك أيضًا بنود أخرى، مثل التدريبات الأمنية السيبرانية كل ثلاثة أشهر المطلوبة بموجب اللوائح، والتي نعتقد أنها متكررة بعض الشيء"، كما قال زيسيماتو. "ثم لا توجد تفاصيل محددة؛ ماذا يعني ذلك، وما الذي يجب اختباره؟"

وقالت إن جمعية التصنيف أوصت بأن يأخذ خفر السواحل في الاعتبار ما اقترحته IACS فيما يتعلق بسفن البناء الجديدة، وكيفية معالجة سلسلة التوريد بأكملها، من التصميم والتشغيل والبناء والحياة التشغيلية للسفينة، ولكن أيضًا كيف تعاملت مع الضوابط المحددة، مما يوفر مزيدًا من الوضوح بشأن ما يجب أن تفعله الفئة، وما يجب أن يفعله المالك، وما يجب أن يفعله حوض بناء السفن.

"أنتظر صدور اللائحة، وأنا متأكد من أن خفر السواحل تلقى الكثير من التعليقات التي يعملون عليها الآن"، قال زيسيماتو. "أنا حريص على رؤية ذلك، وأعتقد أنه سيكون له تأثير كبير، وخاصة [في وقت لاحق] عندما تخرج المزيد من اللوائح من إدارات الأعلام الأخرى، بناءً على ما حدده خفر السواحل".


شاهد المقابلة الكاملة مع أنجيليكي زيسيماتو، مدير الأمن السيبراني في ABS، على قناة Maritime Reporter TV:




تحديث الحكومة, قانوني الاقسام