Seminarium ''Cyberbezpieczeństwo jako element bezpiecznej eksploatacji statku''

21 stycznia 2020 roku odbyło się seminarium "Cyberbezpieczeństwo jako element bezpiecznej eksploatacji statku". Wydarzenie organizowane przez Polski Rejestr Statków (PRS), było skierowane przede wszystkim do podmiotów gospodarki morskiej, tj. armatorów w transporcie morskim, armatorów żeglugi śródlądowej, podmiotów zarządzających terenami portowymi, podmiotów zarządzających obiektem portowym i prowadzących na terenie portów działalność wspomagającą transport morski. 

Prelegenci omówili, m.in. podstawy prawne i aspekty praktyczne Krajowego Systemu Cyberbezpieczeństwa, ryzyka w przedsiębiorstwach żeglugowych czy środki ochrony ograniczające ryzyko ataków.

Ustawa o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych, która weszła w życie 28 sierpnia 2018 roku, nakłada na strategiczne dla naszego państwa przedsiębiorstwa i instytucje obowiązek wdrożenia ochrony przed cyberatakami.

Wśród tzw. operatorów usług kluczowych zobowiązanych do spełnienia przepisów ustawy są wielkie firmy energetyczne, kopalnie, koleje, lotniska, banki, duże szpitale czy wodociągi a także armatorzy. Podmioty te muszą przeprowadzać u siebie audyty bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zgodnie z ustawą, przekazując sprawozdanie z audytu na wniosek organu właściwego dla cyberbezpieczeństwa państwa, dyrektora Rządowego Centrum Bezpieczeństwa lub szefa ABW.

Ustawa o krajowym systemie cyberbezpieczeństwa mówi o tym, że audyty, które należy wykonać po roku od otrzymania decyzji powinny być przeprowadzane przez m.in. jednostki akredytowane do oceny bezpieczeństwa systemów informacyjnych.

"PRS do tej pory oceniał systemy bezpieczeństwa w około tysiącu procesach certyfikacyjnych oceniając je na zgodność z normą ISO 27001" - przypomniał Dariusz Hejmej, z-ca dyrektora Pionu Certyfikacji ds. Klientów Strategicznych. PRS jako akredytowana przez Polskie Centrum Akredytacji jednostka certyfikująca systemy zarządzania systemami bezpieczeństwa informacji spełnia wymagania do wykonywania audytów zgodności z ustawą o KSC. Przeprowadzono już taki audyt zgodności z ustawą w PKP Polskie Linie Kolejowe SA, a obecnie PRS prowadzi audyt w KGHM SA.

Dariusz Rudziński, członek zarządu PRS wskazał, że jako instytucja klasyfikacyjna PRS dostarcza wiedzę niezbędną do zapewnienia bezpieczeństwa na morzu i na lądzie, w tym bezpieczeństwa cybernetycznego.

Od przeszło 20 lat przedsiębiorstwa żeglugowe i statki podlegają wymaganiom międzynarodowego kodeksu zarządzania bezpieczeństwem (ISM). Kodeks ISM tradycyjnie dotyczył zarządzania bezpieczeństwem operacji, które są realizowane fizycznie. Postęp technologiczny spowodował, że statki wyposażane są w coraz to bardziej skomplikowane systemy informatyczne bezpośrednio oddziaływujące na wszystkie funkcje realizowane przez jednostki. Tym samym, do kwestii zagrożeń cybernetycznych należało podejść systemowo.

Zważywszy, że światowy handel aż w 90 proc. opiera się na transporcie morskim, to każdy cyberatak może kosztować przedsiębiorców żeglugowych wiele milionów dolarów, a w niektórych przypadkach nawet zrujnować gospodarkę krajową. Duże ilości towarów przeładowywane w terminalach kontenerowych także są potencjalnym miejscem ataków cyberprzestępców. Ich działania mogą skutecznie zaburzyć funkcjonowanie regionalnego i narodowego łańcucha dostaw.

W 2019 roku brytyjski rząd wskazał, że cyberataki kosztują branżę naftową i gazową około 400 milionów funtów rocznie. Tym bardziej niezbędne są działania związane z zapewnianiem cyberbezpieczeństwa kraju.

Grzegorz Pettke, dyrektor Pionu Okrętowego PRS zaznaczył, że już obecnie dominuje teza, iż obok ważności integracji kadłuba, niezawodności siłowni czy napędów, bardzo ważnym aspektem jest niezawodność systemów cybernetycznych. W tym celu, towarzystwa klasyfikacyjne w ramach Międzynarodowego Stowarzyszenia Towarzystw Klasyfikacyjnych (IACS), już kilka lat temu powołały specjalnie dedykowany panel cyberbezpieczeństwa, w którym tworzone są wymagania. W zeszłym roku powstało kilkanaście rekomendacji, które w tym roku uzyskają status wymagań a PRS czynnie uczestniczy w ich tworzeniu.

Seminarium cieszyło się dużą frekwencją i zostało pozytywnie odebrane przez uczestników. PRS planuje zorganizować drugą edycję w Szczecinie, by umożliwić wszystkim zainteresowanym dyskusję na ten jakże ważny temat dla światowej żeglugi.

rel (PRS)