Gjestekommentar
Elisabet Haugsbø, Senior Cybersecurity Engineer Control Systems Verification and Penetration Testing, DNV GL – Digital Solutions
Vi lever i en stadig mer interaktiv verden der vi snakker med klokken vår, bilen vår kjører helt av seg selv og huset vårt lever sitt eget liv der lys, varme og gardiner kan preprogrammeres akkurat slik vi vil ha det. Helt uten at vi trenger å gjøre noen ting. Dersom vi tar et skritt tilbake – eller la oss si 15 år tilbake – så er nåtiden tilnærmet som i en science-fiction-film. Teknologien tar stormskritt hver eneste dag, og vi som forbrukere, vi digger det.
Teknologien vi ser i dag åpner opp for muligheten til å gjøre oppgraderinger og service på skip eller andre offshore-installasjoner uten å måtte sende en serviceingeniør om bord. Den gjør at farlige prosesser kan monitoreres på trygg avstand og håndteres av programvare heller enn mennesker. Den frigjør arbeidskraft fra gjentagende og langtekkelige arbeidsoppgaver slik at arbeidskraften kan brukes på andre og mer verdiskapende oppgaver i bedriften. Teknologien effektiviserer, optimaliserer og sikrer, men den samme teknologien som du digger og ikke kan leve uten, kan også være min vei inn i din organisasjon.
Som penetrasjonstester er det min oppgave å tenke ut hvordan en hacker kan utnytte de sårbarhetene som finnes både i systemer og hos de ansatte i våre kunders bedrifter og organisasjoner. På den måten kan jeg, ved å tenke som en hacker, belyse sårbarheter, avdekke sikkerhetshull og andre risikomomenter slik at våre kunder får en bedre oversikt over hvor godt eller dårlig deres bedrift er rustet mot dagens trusselbilde.
Det jeg ofte ser er at mange selskaper omfavner teknologien og alle de fordelene den gir, men veldig få tenker over hvilke sikkerhetsmessige utfordringer som oppstår ved å ha store deler av bedriften og flåten online». Det er ikke mulig å håndtere dagens cybersecurityproblemer med sikkerhetsprosesser og teknologi som ble laget for trusselbildet som eksisterte for 15 år siden.
Hvordan kan du som ansatt, leder eller reder håndtere dette?
Det finnes mange guidelines som omtaler cybersecurity, men veldig få regler og forskrifter omtaler samme tema. Resultatet er dermed at det også er veldig få som stiller krav til at sine leverandører og samarbeidspartnere håndterer cybersecurity, men hvorfor ikke det?
Til sammenligning ville det være utenkelig å ikke kreve at leverandører og samarbeidspartnere ikke skulle ha prosesser og tiltak på plass for å sikre bedriften og sine ansatte mot fysiske trusler relatert til arbeid og omgivelser.
Mange bedrifter, operatører og redere venter på de nye reglene fra IMO (International Maritime Organization) skal tre i kraft i 2021. «MSC.428(98) encourages Administrations to ensure that cyber risks are appropriately addressed in safety management systems, no later than the first annual verification of the company’s Document of Compliance after 1 January 2021.»
Selv om dette er langt på vei et godt tiltak, så er dette enda et ikke-obligatorisk krav fra IMO. Skal vi vente på at sertifiseringsorganer og andre organisasjoner kommer med tilstrekkelige regler og oppfølgende tiltak for å forsikre at du og dine ansatte sikrer bedriften og flåten også når det kommer til cybersecurity? Eller bør det gjøres tiltak for å øke sikkerheten og redusere risikoen før den tid?
Ikke vent til det skjer en ulykke, ikke utsett tiltakene til lover og regler kommer på plass. Gå gjennom prosedyrer, tren de ansatte og ikke glem å oppdatere teknologien.