Кибербезопасность мореплавания – тренд 2021 года

С 2017 года Международная Морская Организация (далее – ИМО) определяет направление, связанное с кибербезопасность мореплавания, как одно из приоритетных. Такой подход можно считать обоснованным: индустрия морского транспорта страдает от поддельных коносаментов, отсутствия регулирования порядка выдачи и направления телекс-релизов на грузы, сбоев автоматизированных систем при работе судов, складов и терминалов. Летом 2017 нарушение в работе компьютерных систем по миру повлияло на работу множества судоходных компаний, включая операции по выдаче контейнеров, буксировку, бункеровку и работу нефтяных танкеров.

По состоянию на 2018й год у 92% малых компаний и у 69% средних компаний отсутствовало страховое покрытие на случай возникновения убытков от кибератаки. Если ранее поднятие уровня кибербезопасности была модным трендом и показателем дополнительного качества сервиса тех или иных судовых компаний, то с 2021 года она станет уже реальной необходимостью для всех крупных игроков рынка. С 01.01.2021 года наступает дедлайн проверки соответствия систем управления безопасностью судов и компаний требованиям ИМО по кибербезопасности, выраженным в «Руководстве по управлению морскими кибер рисками» и Резолюции MSC.428 (98). Таким образом, у судовладельцев остается менее года на приведение внутренней документации и систем управления безопасностью в соответствии с требованиями ИМО.

Управление цифровыми рисками необходимо в связи с незащищенностью электронных и технологических ресурсов судовладельца, которая возникает, в том числе, в связи с естественными изъянами таких технологий, а также в связи с намеренными и непреднамеренными атаками со стороны третьих лиц.

В соответствии с частью 2 Руководства, цифровые технологии признаются неотъемлемой частью судоходства, так как они регулируют процессы безопасности мореплавания, а также защиты окружающей среды. Особое внимание в вопросах кибербезопасности ИМО рекомендует обратить на защиту работы программ и систем на мостиках, программ по управлению работы с грузами, протоколов мониторинга состояния рулевых и моторных механизмов, систем коммуникации, включая системы по работе и обслуживанию пассажиров. Дополнительно ИМО призывает укрепить безопасность порядков доступа ко всем отраслям управления работы в судоходной компании, включая сферы учета данных работников и административные электронные ресурсы.

Вопросы кибербезопасности ИМО относит на личное усмотрение каждого судовладельца. Руководство содержит общие нормы, которым требуется соответствовать, а методы достижения соответствия компания устанавливает самостоятельно. В дальнейшем требования к уровню кибербезопасности будут закреплены в Главе IX Международной конвенция по охране человеческой жизни на море (далее – СОЛАС).

Исходя из общего смысла Руководства, минимальными требованиями по кибербезопасности является установка лицензионных программ, а также их своевременное обновление. Каждый риск должен быть установлен отдельно, а в компанию должна быть внедрена культура заботы о кибербезопасности.

Дальнейшие шаги по укреплению кибербезопасности зависят от объема и типа технологий, используемых судоходной компанией. Как организована работа перевозчика с банками и финансовыми учреждениями? Имеет ли компания хранилище электронных документов? Принимает ли судовладелец электронные коносаменты, либо использует онлайн систему работы с клиентами / персоналом / партнерами?

Судовладелец обязан идентифицировать, проанализировать и оценить свои цифровые риски, а затем зафиксировать их и определить порядок их уменьшения. Целью управления такими рисками является безопасное мореплавание, и ИМО рекомендует включать в систему управления безопасностью все уровни руководства компанией, начиная с высшего.

Более практические советы по управлению цифровыми рисками содержатся в «Руководстве по кибербезопасности на борту судна» от Балтийского и международного морского совета (далее – БИМКО). Руководство определяет общий подход к кибербезопасности, состоящий из установки потенциальных угроз для компании, идентификации слабых мест в системе кибербезопасности, оценке уязвимости компании к установленным рискам, разработке методов защиты и отслеживания и, в конце, оперативном реагировании в случае, если угроза становится реальной.

Система управления безопасностью компании – владельца с 2021 года должна содержать процедуры по оценке и уменьшению рисков при использовании операционных систем и цифровых технологий, с учетом не только общих тенденций рынка, но и типа судна, его уникальности, а так же видов технологий, которые используются на борту.

В соответствии с заключением БИМКО, лицо, являющееся декларантом систем управления безопасностью судна, несет ответственность за цифровую защиту судоходства с его участием. Однако в случае передачи судна в чартер, рекомендуется разделить права и обязанность владельца и судовладельца для наиболее эффективной организации процедур проверки безопасности на судне и на берегу.

Так же стоит отметить, что оба руководства отмечают применимость рекомендаций ко всем участникам рынка морского транспорта, включая агентов, операторов, владельцем терминалов, фрахтователей, портовые власти. Судовладельцу рекомендуется удостовериться что его партнеры так же эффективно вовлечены в процедуры по повышению кибербезопасности и не станут «слабым звеном» в цепочке защиты от электронных и иных угроз.

Принимая во внимание близость дедлайна по приведению систем управления безопасностью судоходных компаний в соответствие с требованиями ИМО по уровню кибербезопасности, судовладельцам рекомендуется начинать приготовления по внесению изменений и дополнений в существующие системы, чтобы с успехом пройти сертификацию в 2021 году.

Старший партнер Жданова Виктория Дмитриевна