Ζητούμενο η κυβερνοασφάλεια για την ελληνική ναυτιλία

42

Διαδικτυακή συζήτηση στρογγυλής τραπέζης, με αντικείμενο την παρουσίαση της παγκόσμιας έρευνας της EY για την κυβερνοασφάλεια, Global Information Security Survey 2020 (GISS 2020), και των εξειδικευμένων αποτελεσμάτων της για τον ελληνικό ναυτιλιακό κλάδο, διοργάνωσε την Πέμπτη 25 Ιουνίου, η EY Ελλάδος. Στη συζήτηση συμμετείχαν στελέχη των τμημάτων κυβερνοασφάλειας και πληροφορικής, κορυφαίων ελληνικών ναυτιλιακών επιχειρήσεων, οι οποίες είχαν, επίσης, λάβει μέρος στην έρευνα.

Τα αποτελέσματα της έρευνας παρουσίασε ο κος Παναγιώτης Παπαγιαννακόπουλος, Associate Partner και Υπεύθυνος των Υπηρεσιών Cybersecurity, Data Protection & Privacy, και ορισμένων Υπηρεσιών Τεχνολογίας της ΕΥ Ελλάδος και της EY Νοτιοανατολικής Ευρώπης. Ο ομιλητής εξήγησε ότι, όσον αφορά την Ελλάδα, η έρευνα επικεντρώθηκε στις επιχειρήσεις του ναυτιλιακού κλάδου, καθώς η ναυτιλία αποτελεί βασικό πυλώνα της εθνικής οικονομίας και η κυβερνοασφάλεια στη θάλασσα κρίνεται ως βασική προτεραιότητα για το μέλλον.

Από τα ευρήματα της έρευνας προκύπτει ότι, για τις ελληνικές ναυτιλιακές επιχειρήσεις, το ζήτημα της κυβερνοασφάλειας φαίνεται να αποτελεί χαμηλότερη προτεραιότητα, σε σύγκριση με το σύνολο των επιχειρήσεων που συμμετείχαν στην παγκόσμια έρευνα GISS 2020 της ΕΥ. Το 71% των ελληνικών ναυτιλιακών επιχειρήσεων δαπανά λιγότερο από 100.000 δολάρια ετησίως για την κυβερνοασφάλεια, ενώ, παράλληλα, καμία ελληνική ναυτιλιακή επιχείρηση δε δαπανά πάνω από ένα εκατομμύριο δολάρια για αυτόν τον σκοπό.

Σύμφωνα με το 57% των ερωτηθέντων του ελληνικού ναυτιλιακού κλάδου, τα Διοικητικά Συμβούλια των επιχειρήσεών τους, δεν αντιμετωπίζουν τις κυβερνοαπειλές ως κρίσιμο κίνδυνο. Επιπλέον, το 71% ανέφεραν ότι τα Διοικητικά Συμβούλια ασχολούνται με ζητήματα κυβερνοασφάλειας σε ad hoc βάση.

Την ίδια ώρα, το σύνολο των ελληνικών ναυτιλιακών επιχειρήσεων που συμμετείχαν στην έρευνα, διαπιστώνουν αύξηση των καταστροφικών κυβερνοεπιθέσεων κατά το τελευταίο δωδεκάμηνο. Οι μισές εξ αυτών, εκτιμούν ότι η αύξηση των περιστατικών ήταν μικρότερη από 10%, και το 25% αναφέρουν ότι τα περιστατικά κυβερνοεπιθέσεων αυξήθηκαν κατά 25% ή και περισσότερο.

Τέλος, ενδιαφέρον παρουσιάζει το εύρημα ότι ένας στους δύο ερωτώμενους στην Ελλάδα (50%), εκτιμά ότι το ρυθμιστικό καθεστώς για την κυβερνοασφάλεια είναι ανεπαρκές. Ωστόσο, παρά το ανεπαρκές ρυθμιστικό περιβάλλον και τις χαμηλότερες δαπάνες, ένα στα τέσσερα στελέχη (25%), εκτιμά ότι είναι πολύ πιθανό να αντιληφθεί μια κυβερνοεπίθεση με κακόβουλο λογισμικό (malware), που χρησιμοποιεί αρχεία, προγράμματα και βιβλιοθήκες τα οποία προσφέρονται από το λειτουργικό σύστημα, και όχι προσαρμοσμένα, customized malware (“living off the land” attacks).

Κατά την επόμενη ενότητα, ο κος Βασίλης Μαρίτσας, Senior Manager στο τμήμα Υπηρεσιών Cybersecurity, Data Protection & Privacy, και Υπηρεσιών Τεχνολογίας της EY Ελλάδος, εξήγησε ότι η ολοένα και μεγαλύτερη εξάρτηση της ναυτιλίας από ψηφιακά συστήματα, και ο αυξανόμενος ρυθμός υιοθέτησης νέων τεχνολογιών, καθιστούν την κυβερνοασφάλεια, άμεση προτεραιότητα για τις ναυτιλιακές επιχειρήσεις. Ο ομιλητής τόνισε ότι ο αυξημένος βαθμός έκθεσης σε κινδύνους στον κυβερνοχώρο, συναρτάται άμεσα με την αύξηση στη συνδεσιμότητα.

Στη συνέχεια, ο κος Μαρίτσας αφού ανέλυσε τα κίνητρα και τις συνήθεις πρακτικές των δραστών κυβερνοεπιθέσεων, καθώς και τη διαδικασία μίας κυβερνοεπίθεσης στη ναυτιλία, παρέθεσε επτά βασικές αρχές για ένα προστατευμένο και ανθεκτικό, έναντι των κυβερνοεπιθέσεων, πλοίο. Οι αρχές αυτές συμπεριλαμβάνουν την εκπαίδευση και ενημέρωση του πληρώματος, την κατάτμηση των δικτύων, το ενημερωμένο λογισμικό, την ασφαλή παραμετροποίηση, και την τήρηση αντιγράφων ασφαλείας.

Τέλος, ο κος Φώτης Σωφρόνης, Manager στο τμήμα Υπηρεσιών Cybersecurity, Data Protection & Privacy, και Υπηρεσιών Τεχνολογίας της EY Ελλάδος, επικεντρώθηκε στις κατευθυντήριες γραμμές και τις οδηγίες του Διεθνούς Ναυτιλιακού Οργανισμού (International Maritime Organization – IMO), σχετικά με την κυβερνοασφάλεια στη θάλασσα. Ο ομιλητής εξήγησε ότι, ενώ παλαιότερα οι οδηγίες του IMΟ επικεντρώνονταν κυρίως σε θέματα ασφάλειας πλεύσης και ρύπανσης, η ψηφιοποίηση του κλάδου αποτέλεσε το έναυσμα για τη θέσπιση δεσμευτικών κανονισμών και για την κυβερνοασφάλεια.

Ο κος Σωφρόνης ανέφερε ότι το πλαίσιο κυβερνοασφάλειας του IMO, το οποίο θα τεθεί σε ισχύ την 1η Ιανουαρίου 2021, βασίζεται σε πέντε πυλώνες: αναγνώριση, ανταπόκριση, προστασία, ανάκαμψη και εντοπισμός. Ολοκληρώνοντας την εισήγησή του, ο ομιλητής παρουσίασε και έναν οδικό χάρτη για τη συμμόρφωση με τις νέες οδηγίες του IMO, ο οποίος εκκινεί από τη θέσπιση μιας στρατηγικής για την κυβερνοασφάλεια, και καταλήγει στην εγκαθίδρυση μίας κουλτούρας ετοιμότητας και ανταπόκρισης σε σχετικά περιστατικά.