Кибербезопасность – необходимость, а не дань моде

76% моряков ни разу не обучались на курсах по кибербезопасности – таковы данные совместного исследования Балтийского и Международного морского совета (BIMCO) и авторитетного морского издания Fairplay. А ведь уязвимость судов не в последнюю очередь зависит от действий моряков и берегового персонала: 99% атак нацелены вовсе не на IT-инфраструктуру, а на людей. Важность защиты от киберугроз хорошо понимают в международном сообществе: с 2021 года по решению IMO кибербезопасность станет частью Международного кодекса управления безопасностью (МКУБ).

Другие игроки отрасли также принимают меры к защите от потенциальных хакерских атак. Так, Либерийский регистр и компания MSC Cruises объявили о введении дополнительного обучения по программам кибербезопасности для своего плавсостава. В компании Norbulk Shipping экипажи раз в год обязательно проходят предрейсовый инструктаж в местных учебных центрах. Их знакомят с принятыми в компаниях процедурами обеспечения безопасности. О передовых методах морякам рассказывают на семинарах, которые регулярно проводят в Риге и Маниле, а на борту каждого судна есть выпущенные компанией специальные руководства, куда, помимо прочего, включены элементарные «правила кибербезопасности», касающиеся использования личных мобильных телефонов, USB-накопителей и паролей. 

Для моряков даже разрабатываются специальные программы. Так, классификационное общество DNV GL выпустило электронный учебный курс по кибербезопасности, состоящий из четырёх модулей. При его разработке сотрудники DNV GL выявили грубейшие ошибки моряков в повседневном использовании компьютерных IT систем: члены экипажа устанавливали стандартные пароли, задаваемые по умолчанию; передавали пароли третьим лицам; использовали общественные интернет-кафе для отправки рабочей информации; создавали незащищённые беспроводные точки доступа; отправляли личные сообщения с рабочих компьютеров. В DNV GL надеются, что после прохождения курса моряки уже не совершат подобных грубых ошибок, не станут вставлять личные «флэшки» в судовой компьютер или ЭКНИС и переходить по фишинговым ссылкам из электронной почты. 

И всё же, несмотря на все курсы, до сих пор сложно определить, какие меры кибербезопасности применяют отдельные члены экипажа.

– Мысли вроде: «Со мной этого не случится, у нас установлены средства безопасности, я защищен антивирусом» и тому подобное – это распространённый подход моряков к проблеме кибербезопасности, даже после прохождения соответствующего обучения, – говорит старший вице-президент Inmarsat Maritime по безопасности Питер Бродхёрст. 

Эксперты считают, что важно показать морякам на реальном примере последствия киберугроз. Так, в компании Thome Shipmanagement экипажам во время инструктажа на реальных примерах объясняют, как распознать типичные виды хакерских атак, и что в каждом из случаев необходимо предпринимать. 

– Мы призываем моряков не слишком полагаться на технику и рекомендуем больше доверять своему опыту. У нас разработано несколько планов действий на случай ЧС. Например, при нарушении работы ЭКНИС, о происшествии надлежит немедленно сообщить в офис компании и прекратить движение, если судно находится в районе с оживленным судоходным трафиком, – говорит операционный директор Thome Shipmanagement Клэйс Торстенсен. 

Как отмечают в Российском профсоюзе моряков, превентивные меры судоходных компаний и разъяснительная работа с моряками – не просто дань моде. Достаточно вспомнить атаку на датского гиганта Maersk в июне 2017 года, парализовавшую работу перевозчика, или вирус-вымогатель Petya, который взбудоражил мировые рынки. 

– Бдительность и осмотрительность — это крайне важные аспекты обеспечения безопасности, – отмечают в РПСМ. – Как показывает практика, некоторые люди до сих пор не могут распознать фишинг или письма с вредоносными ссылками, которые ни в коем случае нельзя открывать. Те, кто попадаются на удочку мошенникам, невольно становятся каналом передачи личных данных – в лучшем случае, только своих, а в худшем – всех сотрудников компании. Так что введение в инструктаж экипажа разъяснений по кибербезопасности – это необходимость, а не дань моде.

По материалам ЦИА РПСМ