Kibernetička budućnost pomorskih rizika i osiguranja
-
Kibernetička budućnost pomorskih rizika i osiguranja
Autor: Jana Rodica, LL.M.
Sigurnost međunarodnih plovnih brodova od presudne je važnosti za globalno gospodarstvo, s obzirom na to da približno 90% trgovačke robe prevozi međunarodna brodarska industrija. Iako je opadajući trend gubitaka u prijevozu je ohrabrujući, više izazova leži naprijed. Konkretno, industrija teretnih brodova suočena je s povećanjem kapaciteta i povećanjem veličine brodova.
Veličina plovila drastično je porasla tijekom posljednjih pedeset godina, te je povećanje veličine plovila postalo eksponencijalno u vrlo ograničenim vremenskim razdobljima zbog tehnološkog napretka. Povećanje veličine plovila koja također pronalazi paralele u drugim brodarskim sektorima (npr. sve većoj veličini putničkih brodova) u kombinaciji s dolaskom autonomnim brodskih teretnih brodova na horizontu, predstavljaju nove izazove pravnom i osigurateljnom aspektu pomorske industrije, osobito s obzirom na povećanu važnost IT-a i elektronike, što dovodi do nužnosti promjene procesa upravljanja rizicima na takav način da pravilno procjenjuju nove elemente kibernetičkog rizika koji utječu na brodsku industriju.
Kibernetički su rizici već prisutni u pomorskom transportu i prijevozu, a navigacija se sve više oslanja na elektroničke navigacijske alate i međusobno povezivanje. Trenutno je moguće primijetiti preveliko oslanjanje na tehnologiju (npr. navigacija), osposobljavanje posada koje nije ujednačeno u svim zemljama i minimalan broj članova posade na brodu, što čini elemente koji će u još naprednijem informatičkom okruženju, olakšati posao hakerima, kad na primjer, prilikom pokušaja kompromitiranja plovila. U tom je smislu zabilježen sve veći broj zlonamjernih poremećaja GPS signala u nekim morima. Takvi se nazivaju spoofing napadima, tj. nekom vrstom kibernetičkog napada koji bi mogao odvesti plovila izvan zacrtanog puta i rezultirati nasukavanjem, sudarima ili sličnim ozbiljnim incidentima. Pirati koriste internet kako bi pratili plovila, a web je vjerojatno najveća strateška prednost. Međutim, nisu samo pirati ti koji mogu ilegalno pristupiti IT mrežama brodarskih tvrtki, GPS-u i AIS sustavima, koje hakeri mogu lažno ažurirati. Navigacijski sustav je samo jedan element integriranog, složenog procesa informiranja kojem se također može izravno pristupiti. Zaštitini vatreni zidovi (firewall) brodskih informacijskih sustava često nisu u stanju pružiti odgovarajuću zaštitu budući da su ranjivi zbog potrebe da različiti sustavi komuniciraju jedni s drugima. Zapravo, s toliko različitih dobavljača različitih komponenti sustava (npr. radara, GPS-a, AIS-a, itd.) potrebna je otvorena komunikacija za zajedničko djelovanje. Fleksibilnost koja je sastavni dio sustava omogućava komunikaciju s komponentama drugih proizvođača, no ostavlja očigledne sigurnosne praznine koje predstavljaju ciljeve hakerima.Mnoge kategorije prijestupnika mogu biti zainteresirane za takve prednosti prilikom izvršavanja svojih planova. Posljedice takvih djela mogu dovesti do krađe podataka ili tereta, iznuđivanja, oštećenja imovine povezane s tjelesnim ozljedama i ponekad čak i gubitkom života, ne isključujući katastrofe, čak i one ekološke (npr. nasukavanje broda koji prevozi tekući plin).
Ovakav razvoj događaja također je utjecao na luke. U 2013. godini, u luci Antwerpen, organizacija koja je krijumčarila drogu hakirala je i manipulirala je sustav praćenja robe. U 2014. godini, u jednoj od glavnih američkih luka su sve dizalice istovremeno ugašene tijekom operacija utovara i istovara od strane neidentificiranog subjekta u IT sustavu luke.
Neodgovarajuća zaštita od kibernetičkog kriminala i manipulacija je relativno nova prijetnja u usporedbi s tradicionalnim opasnostima. Međutim, mnogi smatraju kibernetički rizik glavnim pitanjem za industriju brodara, pogotovo s obzirom da nije nezamislivo da napad može u konačnici rezultirati gubitkom plovnih objekata.
Europska agencija za sigurnost mreža i informacija izdala je 2012. godine Analizu kibernetičkih sigurnosnih aspekata u pomorskom sektoru, naglašavajući da je „… svijest o potrebama i izazovima kibernetičke sigurnosti u pomorskom sektoru trenutno niska do nepostojeća … “. Teško je ocijeniti i kvantificirati poboljšanja učinjena od tada. Do danas je u Allianzovom Barometru rizika (2015) identificiran nedostatak snažne kibernetičke sigurnosti kao “… značajna prijetnja budućoj sigurnosti u pomorskom prijevozu …”.
Vidljivo je kako se brodski sektor sve više podložan masovnim napadima u okruženju u kojem ljudski faktor postaje sve manje važniji kad posade postaju sve manje, brodovi postaju sve veći i složeniji, zajedno sa sve većim oslanjanjem na automatizaciju te s posadom koja nema ujednačeno osposobljavanje u svim zemljama. Jasno je da su takvi čimbenici koji favoriziraju napade rezultat visoko konkurentnog okruženja u kojem je ključ za preživljavanje smanjenje troškova (manje i ponekad loše plaćene posade) i rast usluga (gigantski brodovi kojima učinkovito upravljaju IT sustavi).
Tehnološki napredak vodi put do budućnosti u kojem će brodovi biti bez posade. Finski brodski dizajner u 2015. godini predstavio je kruzer bez posade i bez utjecaja na okoliš koji može prevoziti gotovo 600 putnika. Mnogi drugi prototipovi autonomnih teretnih prijevoznika također su vidjeli svoj prvi nastupi u nedavnoj prošlosti.U jednoj od svojih najpopularnijih konfiguracija sustava, autonomnim brodovima upravlja tzv. integrirani mostovni sustav (IBS) koji ima izravnu kontrolu nad sustavom automatizacije motora (EAS), autonomnim brodskim kontrolerom (ASC) i Advanced Sensor Modulom (ASM ). EAS kontrolira AEMC ili autonomno motrenje i kontrolu, ASM umjesto toga komunicira s namjenskim LOS komunikatorima (AIS, VDES, GMDSS). Sustavi brodskih brodova, kao što je opisano gore, povezani su preko kontrolera komunikacije (Communications Controller) na SCC ili Shore Control Center koji obuhvaća Shore Engine Control, Remote Fine Navigation i Shore Bridge Controls. SCC i IBS tada komuniciraju s drugim brodovima i obalnim sustavima.
Moguće posljedice kibernetičkog rizika koji je uključen u kontrolu i plovidbu autonomnih brodova su očite i ne bi zahtijevale dugotrajnu argumentaciju.
Međunarodna pomorska organizacija (IMO) u svojim Privremenim smjernicama o upravljanju pomorskim kibernetičkim rizikom prepoznaje opasnosti koje izazivaju kibernetički rizici za pomorsku industriju i traži kako bi “… Dionici trebali poduzeti potrebne korake kako bi zaštitili pomorski prijevoz od postojećih i prijetnji i ranjivosti koje će tek nastati, a povezane su s digitalizacijom, integracijom i automatizacijom procesa i sustava u transportu … “.
S navedenim dokumentom, IMO je stoga pokušao dati privremene smjernice za upravljanje pomorskim kibernetičkim rizicima. Pod upravljanjem kibernetičkim rizikom IMO namjerava opisati proces identifikacije, analize, procjene i komuniciranja rizika koji se odnose na kibernetičke sustave, kao i prihvaćanja, izbjegavanja, prijenosa ili ublažavanja tih rizika, uzimajući u obzir troškove i prednosti poduzetih aktivnosti dionicima. Konkretno, cilj upravljanja pomorskim kibernetičkim rizikom je podrška sigurnom i zaštićenom pomorskom prijevozu.
U smislu procesa upravljanja rizicima, vrlo je zanimljivo kako IMO razlikuje informacijske tehnologije koji se fokusiraju na podatke kao informaciju te operativne tehnološke sustave koji koriste takve podatke za kontrolu ili nadzor fizičkih procesa. Rizici uglavnom proizlaze iz razmjene informacija i komunikacijskih protokola.