En ny bekendtgørelse stiller krav om, at der fra pr. 1. januar 2021 findes cybersecurity-planer på alle skibe, der er omfattet af ISM- koden (International Safety Management).

Pr. første januar 2021 er der internationale IMO-krav om, at hele søfartserhvervet ruster sig med cybersecurity-planer.

Man skal ikke se cybertrusler som noget særligt eller specielt truende.

Beredskab over for cybertrusler er i bund og grund ikke anderledes end beredskabet ved situationer, hvor skibet mister strøm eller fremdrivning.

Et cyberangreb kan låse systemet ned, så besætningen ikke har adgang – og her skal man fremover også have en beredskabsplan, der kan tage højde for situationen.

 Hvordan sikrer vi skibene?

Reglerne vedrørende cybersikkerhed er gjort gældende via ISM-koden, og med det følger, at rederiet skal identificere og vurdere cyberrisici på samme måde som andre risici for skibet, personer om bord samt miljøet og implementere passende og forholdsmæssige sikkerhedsforanstaltninger.

Ø-Færgerne har spurgt leder af Søfartens Cyber- og Informationssikkerhedsenhed, Morten Brix Laursen om, hvad den nye bekendtgørelse helt konkret betyder ude i styrehusene.

Han forklarer:

- Søfartsstyrelsen kigger på ISM-skibe. Desuden kan styrelsen vurdere, at et skib – uden ISM – teknologisk er på et højt niveau, og det kan vi stille samme krav til.

Vi kigger på operationelle systemer. ECDIS, strømstyring, kommunikation, fremdrivning, men ikke på administrative systemer.

 Auditering

- Cyberauditeringen vil indgå som en integreret del af det normale ISM-tilsyn med rederier og skibe. Det er vigtigt at pointere, at Søfartsstyrelsen ikke ser cyberangreb som noget særligt – vi ser det på linje med anden skibssikkerhed.

- Vi vil kigge på, at man har inkorporeret cybersikkerhed i planerne, hvis og hvor der er behov for det, om der er truffet passende foranstaltninger til at styre cyberrisiciene, pointerer Morten Brix Laursen:

Har man fx procedurer for håndtering af cyberangreb?

Ved besætningsmedlemmerne gennem uddannelse og øvelser, hvad de skal gøre, hvis det sker?

Helt på linje med, at der er øvelser og beredskab for mand over bord og brand, hvis strømmen svigter.

 Mister fremdrivning

Hvis risikoen er, at man kan miste fremdrivning eller skibets ECDIS kan gå ned på grund af et cyberangreb, så skal det med i ISM-koden som én af mange årsager til nedbrud.

Det kunne fx være backup- og genetableringsprocedurer for skibets elektroniske søkortsystem, et kølesystem, et kommunikationssystem eller skibets fremdrivningssystem m.m.

- Da der er meget stor forskel på størrelsen, alderen, kompleksiteten og ikke mindst digitaliseringsgraden af det enkelte rederi og de enkelte færger, vil omfanget af rederiets eller skibets cyber- og informationssikkerhedsberedskab, der skal inkluderes i sikkerhedsledelsessystemet, variere fra skib til skib og fra rederi til rederi.

Kan besætningen selv tage hånd om cybersikkerhed?

Det kommer an på, hvor avancerede systemerne er, lyder det fra Morten Brix Laursen, der anbefaler at få gennemført en penetrations-test, der kan vise, hvor skibets system er sårbart.

- I mange tilfælde kan skibets leverandører hjælpe. Men hvis det er et meget kompliceret netværk med mange ting koblet til, er det en god ide at få en ekspert til at lave en test og bedømme, om der er huller – hvor hackere udefra kan komme ind i systemet.