סיכוני סייבר באוניות

התפתחויות בתחום טכנולוגיית המידע לא פסחו על כלי השיט הימיים והיתרונות של זמינות הנתונים, והיכולת להעביר לבעלי האוניות מידע תפעולי וניהולי, מביאה לכך שצוותי ים ותחנות החוף מסתמכים יותר ויותר בעבודתם על מערכות מחשב. ואכן, משרדי חברות הספנות, באמצעות תקשורת לווינית, מחוברים כיום לממשקים השונים באוניה המאפשרים להם קבלת נתונים מהמערכות השונות באוניה למן הניווט ומנוע האונייה וכלה במידע ממערך החיישנים הפזורים ברחבי האונייה (חום/לחץ/רעידות) ואף מידע מרשתות המידע של הצוות הפועל באוניה (WiFi וכיוצ'ב). מציאות זו אומנם מגבירה את היעילות והחסכון בניהול תובלה ימי אך גם חושפת אותו לסיכוני סייבר. על-מנת לנסות ולהתגבר על האתגרים האלה, בהם צוותי ים מסתמכים יותר ויותר על מערכות מחשב המחוברות באמצעות האינטרנט, נעשו בשנים האחרונות ניסיונות שונים לפתח מסגרת הוליסטית לניהול סיכוני סייבר באוניות. מודלים אלה הנם גנריים, ולאור זאת נדרש כמובן להתאים את ניהול סיכוני סייבר באופן ספציפי לחברת הספנות ולספינות, בהתאם לדרישות התקנות ולהנחיות הרלוונטיות של הרגולטור, המבטח ודגל המדינה. להלן כמה מהבולטים שבנהלי הסייבר הקיימים: · המכון הלאומי לתקנים וטכנולוגיה של ארה"ב¹(NIST) - פרסם מסגרת לבטיחות סייבר² שנועדה לסייע לחברות לנהל ולהעריך את סיכונים, הפנימיים והחיצונים, אליהם הם חשופים בתחום זה ולהחליט על הגישה המתאימה להם לניהול סיכוני סייבר. גישה זו כוללת מסגרת של פרופילים סיכוניים שפותחו עם משמר החופים של ארצות הברית (USCG), שיכולים לסייע בזיהוי ותעדוף של פעולות לצמצום סיכוני סייבר. הפרופיל יכול לשמש גם ככלי ליישור החלטות מדיניות, עסקיות וטכנולוגיות לניהול הסיכונים. המסגרת כוללת פרופילי סיכונם גנרים בנושאים שונים כגון סיכונים בהעברת מטענים בתפזורת, ספינות נוסעים ועוד. · ארגון משלחי מכולות דיגיטליות³(DCSA) - פרסם מדריך לאבטחת סייבר על כלי שיט⁴. הנחיות אלו, המיועדות לתעשיית המכונות, מבוססות על הנחיות של NIST ומתמקדות במערכות ובחיישנים המאפשרים מעקב, זיהוי, והכוונה של מכולות. · האיגוד הבינלאומי לחברות סיווג (IACS) - פרסם המלצה הנשענת על הנחיות קודמות שהוא פרסם על השימוש במערכות מבוססות מחשב⁵. המלצה זו, שחלה על ספינות שבבניה חדשה, מתמקדת בפונקציות המספקות שליטה, אזעקה, ניטור, בטיחות או תקשורת פנימית הכפופות להן, שהנם דרישות חובה. · איגוד התקינה הבינ"ל (ISO) - פרסם תקן ISO/IEC 27001 לטכנולוגיית מידע - טכניקות אבטחה - מערכות לניהול אבטחת מידע⁶.

מסגרת סייבר באוניות - מהמלצה לחובה

ברם, הצעד הראשון להנחיה אובליגטורית בנושא ניהול סיכוני סייבר ימי במערכת ניהול בטיחות (SMS) נעשה ב 2017 על-ידי הארגון הימי הבינלאומי (IMO), סוכנות של האו"ם האחראית על בטיחות האבטחה והספנות ומניעת זיהום על-ידי ספינות. סוכנות זו אמונה על קביעת תקנים לביצועי הבטיחות, האבטחה והסביבה של הספנות הבינלאומיות, כאשר תפקידה העיקרי הוא ליצור מסגרת רגולטורית אובליגטורית לתעשיית הספנות. החלטה זו קובעת כי כדי לענות למטרות ולדרישות תפקודיות של קוד ISM (ניהול בטיחות בינלאומי), תהליך ניהול בטיחות באוניה (SMS) צריכה למן 1.1.2021 להראות במסמך הציות של החברה (DoC - אישור שהאונייה עומדת בדרישות ה-ISM) כי סיכוני הסייבר טופלו כראוי. ב-2021 פרסם IMO שתי הנחיות נוספות המעודדות חברות ספנות להיות מודעים לקיומם של סיכוני סייבר ימי ולפעול כדי להגן על הספנות מאיומי סייבר קיימים וצפויים. הנחיות אלה של ה-IMO לניהול סיכוני סייבר מקיפות ומתייחסות לכל היבטים הכרוכים בתחום זה, למן קביעת אחריות בדרגי הניהול השונות באוניה ועד לצורך בקביעת תרבות ארגונית של ניהול סיכוני סייבר בכל רמות ומחלקות של ארגון וכדי להבטיח ממשל תאגידי הוליסטי וגמיש המאפשר ניהול אפקטיבי של רציף ושוטף של סיכוני סייבר, תוך התמקדות בתהליכי עבודה, ציוד, הדרכה, תגובה לאירוע וניהול התאוששות, וזאת כדי להבטיח את בטיחותם וביטחונם של יורדי הים, הסביבה, המטען והספינות.

הניסיון הנצבר

כאמור החובה לדווח על ניהול סיכוני סייבר החלה רק לפני מספר חודשים ספור, אבל כבר עתה נראה כי הצורך ביישום הוראות אלה מחייב את חברות הספנות בהשקעת משאבים ואמצעים, בראש ובראשונה התאמה של שיטות העבודה לפרוטוקולי ניהול סיכוני סייבר. אחת הסיבות למרוכבות הכרוכה בכך היא כיוון שהרגולציה יוצרת חובה איך היא אינה מבהירה כיצד נדרש לנהל סיכוני סייבר, וללא ספק זאת שאלה של זמן עד שהאסדרה תעבור מהתמקדות ב"מה" (קיום או אי-קיום של ניהול סיכוני סייבר) ל"איך" (מה ניהול סיכוני סייבר כולל). מהניסיון הנצבר עולה, בראש ובראשונה לאור חשיבות של הטמעת תודעה לסיכוני סייבר, כי יש להחיל הנחיות אלה במסגרת רחבה יותר של ניהול סיכונים כולל באוניה. דהיינו, לאור העדר הוראות רגולטוריות מקיפות, מוצע שלא להתייחס לנושא הסייבר רק כנדבך (שצריך לסמן עליו ü לצורך מענה לציות לתוכנית הבטיחות) אלא כחלק מניהול הבטיחות הכולל של האונייה. הדרך לעשות זאת תהיה פשוטה יותר אם חברות ספנות ישכילו להבין כי עלויות אלה של יישום והטמעת מסגרת אינטגרטיבית מתאימה לניהול סיכונים הנן זניחות לעומת הוספת הערך ושמירה על המוניטין הצפויה להם עקב יישום פרקטיקות מתקדמות אלה. אם כן רק טיפול בתחום הסייבר במסגרת ניהול סיכונים כולל, בייחוד כל עוד שהוראות הרגולציה כלליות, יבטיח כי צוותי הים ותחנות הקצה מודעות ופועלות באופן הלוקח בחשבון את הסיכונים בצורה שתביא להקטנת חשיפתן לסיכונים.