В фокусе внимания – кибербезопасность

Внедрение цифровых технологий на объектах водного транспорта нацелено на повышение эффективности управления ресурсами и безопасности судоходства. Однако с учетом того, что цифровые технологии активно применяются в судовых системах ответственного назначения, их внедрение несет и новые риски. Полный или частичный отказ таких систем вследствие киберинцидентов может повлиять на безопасность экипажа и судна в целом, сохранность перевозимых грузов, стать причиной загрязнения окружающей среды.

С развитием автономного судоходства вопрос обеспечения кибербезопасности становится еще более актуальным. С одной стороны, при внедрении технологий автономного судовождения можно предполагать снижение вероятности возникновения киберинцидентов, связанных с человеческим фактором. С другой – в случае киберинцидентов возможно ожидать более серьезных последствий ввиду расширения функций, выполняемых системами обеспечения автономного судовождения.

Причинами возникновения киберинцидентов на объектах морского транспорта могут быть как внешние целенаправленные противоправные действия в отношении конкретного судна, так и непреднамеренные действия экипажа и персонала, обслуживающего компьютеризированные системы. Среди наиболее вероятных рисков нарушения киберустойчивости – заражение вредоносным программным обеспечением (ПО) компьютеризированных систем, объединенных в единую информационную среду. Источниками заражения могут стать электронная почта, переносные USB-накопители данных и мобильные устройства.

Существенно повысить безопасность эксплуатации судна может реализация риск-ориентированного подхода, который включает периодическую оценку существующих и потенциальных киберрисков, а также внедрение соответствующих защитных мер. Так, поддержать необходимую и достаточную киберустойчивость поможет своевременное обновление программного обеспечения, а снизить вероятность заражения компьютеризированных систем вредоносным ПО – соблюдение судовым экипажем и береговым персоналом компании кибергигиены.

Например, судоходная компания должна разработать процедуры обмена информацией между судном и береговыми службами, порядок эксплуатации и обслуживания информационных систем, правила поведения в случае возникновения киберинцидентов и т.д., которые необходимо включить в процедуру обеспечения кибербезопасности и киберустойчивости на судне. Для поддержания кибергигиены также необходимо организовать подготовку персонала и проводить периодическую проверку имеющихся знаний и навыков.

Одним из факторов, который может негативно сказываться на обеспечении киберустойчивости, является недостаток специалистов по кибербезопасности в судоходной отрасли. Вместе с тем разработка и принятие обязательных требований в отношении кибербезопасности и киберустойчивости судов повысит спрос на такой персонал со стороны компаний, судостроительных заводов и проектных организаций и, как следствие, послужит хорошим стимулом для более активной подготовки кадров в этой сфере.

Учитывая важность решения задач по снижению киберрисков, международные организации морской индустрии активно ведут нормотворческую работу в этой области. Так, в 2017 году Международная морская организация (ИМО) выпустила резолюцию MSC.428(98) Maritime cyber risk management in safety management systems и первую версию циркуляра MSC-FAL.1/Circ.3 Guidelines on maritime cyber risk Management, которые содержат рекомендации по разработке и внедрению организационных мер управления киберрисками.

В 2020 году Международная ассоциация классификационных обществ (МАКО) опубликовала первую версию Rec. N166 Recommendation on Cyber Resilience, которая включила рекомендации по оценке рисков, а также рекомендации технического характера, применимые к компьютеризированным системам и оборудованию.

В 2023 году разработаны унифицированные требования МАКО (Е26 Rev.1 Cyber resilience of ships и Е27 Rev.1 Cyber resilience of on-board systems and equipment) по обеспечению киберустойчивости судов, компьютеризированных систем и оборудования с перечнем объектов добровольного и обязательного применения данных требований.

В ноябре 2023 года состоялся организованный ИМО симпозиум Maritime cyber security and resilience, участники которого отметили, что разработку и внедрение мер защиты на судах сегодня существенно затрудняет отсутствие достаточной статистики возникновения киберинцидентов. Специалисты подчеркнули важность анализа такой статистики и признали ее сбор одной из первоочередных задач. В частности, было предложено разработать требования об обязательном информировании со стороны компаний о возникающих на судах киберинцидентах.

С учетом важности этой задачи Российский морской регистр судоходства активно содействует развитию и продвижению нормотворческих инициатив для снижения рисков возникновения киберинцидентов в морском судоходстве. В 2021 году РС разработал Руководство по обеспечению кибербезопасности, которое применяется на добровольной основе и нацелено на формирование единого подхода к реализации мер киберзащиты при проектировании, изготовлении и эксплуатации компьютеризированных систем для судов с классом РС.

Принимая во внимание стремительное развитие цифровых технологий и их все более активное применение на судах с классом РС, в настоящий момент Регистр ведет разработку Правил по обеспечению кибербезопасности и киберустойчивости судов, гармонизированных с требованиями международных стандартов по кибербезопасности и киберустойчивости. Требования правил будут применяться к судам, контракт на постройку которых будет заключен с 1 июля 2024 г. Разработка документа ведется в рамках специально созданной рабочей группы при активном взаимодействии специалистов РС с представителями ведущих российских компаний в области информационной безопасности.

С учетом постоянного развития киберрисков невозможно гарантировать стопроцентную защиту судна от киберугроз. Однако внедрение мер обеспечения кибербезопасности и киберустойчивости и дальнейшее развитие нормативно-технических требований в этой сфере позволит в значительной степени снизить вероятность возникновения и последствия киберинцидентов, что в конечном счете будет содействовать поддержанию необходимого уровня безопасности судоходства.

Дополнительная информация:

Классификационное общество Российский морской регистр судоходства (РС, Регистр) ведет историю с 1913 года, работает во всех сферах морской индустрии. Основными целями РС является повышение стандартов безопасности человеческой жизни на море, безопасного плавания судов, надежной перевозки грузов на море и внутренних водных путях; разработка мер и стандартов, направленных на предотвращение загрязнения окружающей среды.

РС осуществляет рассмотрение технической документации, техническое наблюдение за судами в постройке и эксплуатации, выдачу документов, свидетельств и актов на суда и плавучие сооружения, а также на судовые механизмы, оборудование, устройства; обмер судов и плавучих сооружений; техническое наблюдение за выполнением положений международных конвенций; сертификацию промышленной продукции и производств, систем менеджмента качества, экологического менеджмента и управления в области охраны труда и профессиональной безопасности на соответствие требованиям международных стандартов ИСО. РС выполняет техническое наблюдение за контейнерами для генеральных грузов, изотермическими контейнерами, контейнерами-цистернами, контейнерами-платформами, офшорными контейнерами и др.