Παρασκευή 19 Μαΐου 2017

Ναυτιλία, πειρατεία και νέες τεχνολογίες.



Μια έκθεση του 2016 που είχε κυκλοφορήσει από την Verizon (τμήμα ανάλυσης κινδύνων) έφερε πρόσφατα σχετικά την νέα ανάπτυξη απειλών και κινδύνων για τον ναυτιλιακό τομέα. Στην έκθεση αναφέρει ότι «μια παγκόσμια ναυτιλιακή εταιρία διεθνών δραστηριοτήτων" είχε πέσει θύμα κυβερνο-επίθεσης στα συστήματα της από μια νέα στρατηγική των πειρατών που φέρονται να είχαν κάποια σύνδεση με ομάδες hacking.

Στην έκθεση αναφερόταν πώς η επίθεση στα ηλεκτρονικά συστήματα της εταιρίας κατάφερε να δώσει στοιχεία για δρομολόγια και φορτία των πλοίων, διευκολύνοντας έτσι το έργο των πειρατών. Στην επίθεση τους σε πλοίο της εταιρίας αντί να κρατήσουν όμηρους το πλήρωμα και να ξοδέψουν ίσως και μέρες για την ανεύρεση πολύτιμου φορτίου, έκαναν χρήση των στοιχείων αυτό , εντοπίζοντας το πολύτιμο φορτίο ενώ ταυτόχρονα απέφυγαν και την επέμβαση της διεθνούς ναυτικής δύναμης καταπολέμησης πειρατείας στην περιοχή. Την σύνδεση όλων αυτών απέδειξε η εύρεση ηλεκτρονικών ιχνών στο πρόγραμμα CMS που χρησιμοποιούσε η εταιρία και δεν είχε τις κατάλληλες προσαρμογές σε πρότυπα ηλεκτρονικής ασφαλείας.


Φυσικά δεν είναι το πρώτο δείγμα χρήσης καινοτόμων τεχνολογιών για την ολοκλήρωση παράνομων σκοπών στον χώρο της ναυτιλίας, καθώς έχει αναφερθεί από το 2013 η επιτυχημένη δοκιμή για υποκλοπή και παραχάραξη (hijacking-spoofing) σημάτων GPS σε yacht που έπλεαν σε κρουαζιέρες αναψυχής οδηγώντας σε νερά όπου θα μπορούσε να είναι πολύ εύκολη η κατάληψη τους από πειρατικά σκάφη.

Σε όλα αυτά θα πρέπει να προστεθεί και η νέα χρήση των UAV(Drones) που ήδη είναι σε πλήρη ανάπτυξη από καρτέλ ναρκωτικών σε Λατινική Αμερική, εφοδιασμένα με αισθητήρες χαμηλών συχνοτήτων για τον εντοπισμό «υπογραφών πλεύσης» πλοίων των Αρχών. Αντίστοιχα έχουν εντοπιστεί από πολεμικά πλοία σε περιοχές με υψηλή δράση πειρατείας, διάφορες συσκευές που κινούνται με υποβρύχια ή/και εναέρια δράση γύρω από πλοία δίνοντας έτσι στοιχεία για το πλήρωμα , την φρουρά (που βρίσκεται σε εμφανή σημεία) ή ακόμα και την πορεία πλεύση τους για μικρό χρονικό διάστημα. Η πληροφορία αυτή καταγράφεται (record/streaming) και χρησιμοποιείται από τους επίδοξους πειρατές έτσι ώστε να ελαχιστοποιήσουν το ρίσκο και την προσπάθεια τους απέναντι στον στόχο τους.

Έχει ενδιαφέρον, επίσης,  η ανάλυση του πανεπιστημίου του Calgary ([1]) όπου δίνει στοιχεία για πρόσθετη μελλοντική ανάπτυξη τεχνολογιών από πειρατές , όπως χρήση laser πάνω σε UAV που θα στέλνονται με σκοπό την «τύφλωση» των οργάνων του πλοίου για την καλύτερη προσέγγιση από πλοιάρια πειρατών. 

Η ανάπτυξη όλων αυτών των μεθόδων δείχνουν  την ανάγκη για την μεγαλύτερη ανάπτυξη καινοτόμου τεχνολογίας στον ναυτιλιακό τομέα, ειδικά σε ψηφιακό επίπεδο, που θα μπορούσε προσωρινά να αντιμετωπίσει αυτές τις απειλές, μέχρι να οριστούν αντίμετρα βάσει διεθνών προτύπων για την προστασία σκαφών , πληρωμάτων και φορτίου. Η εφαρμογή αυτών των μέτρων ίσως να φανεί ως υπερβολή κόστους αρχικά, όμως επί της ουσίας η επιστροφή επένδυσης θα έρθει από την προστασία των πλοίων και πληρωμάτων ενώ συγχρόνως μπορεί να επιφέρει μείωση κόστους ασφαλιστικών εξόδων αν η αντίστοιχη εταιρία δεχτεί τα μέτρα προστασίας ως ικανά για αποτροπή/μείωση βαθμού ρίσκου.

Οι προτάσεις αντίμετρων ασφαλείας , ενδεικτικά εδώ, είναι βασισμένες αποκλειστικά και μόνο σε υπάρχουσα τεχνολογία στην προσπάθεια να δοθεί μια εικόνα ενός συνόλου δράσεων για την προστασία απέναντι σε απειλές νέας τεχνολογίας από κακόβουλους.

1.     Η πρόταση για ύπαρξη ειδικού κυβερνο-τεχνολογίας που θα μπορεί να διατηρήσει σε υψηλό επίπεδο ασφαλείας τα ηλεκτρονικά συστήματα και εφαρμογές της εταιρίας. Η παραβίαση συστημάτων (Hacking) δεν είναι ούτε εξωτική, ούτε απίθανο να συμβεί. Πλέον ακόμα και μια απλή υποκλοπή δεδομένων που θα χρησιμοποιηθεί από τους κακόβουλους εισβολείς μπορεί να δημιουργήσει σοβαρά οικονομικά αλλά και νομικά θέματα. Η βιομηχανική κατασκοπεία πλέον ανθεί παντού. Πρόσθετα αυτού υπάρχει και η περίπτωση υποκλοπής στοιχείων για πειρατεία όπως αναφέρθηκε και παραπάνω στο άρθρο. Η ύπαρξη ενός ή ομάδας ειδικών (αναλόγως αναγκών και δυναμικότητας εταιρίας) θα διασφαλίσει σε πολύ μεγάλο βαθμό την αποφυγή μιας τέτοιας κατάστασης. Δυστυχώς στον Ελληνικό χώρο έχει αγνοηθεί εντόνως αυτό και η ασφάλεια των ηλεκτρονικών συστημάτων στις ναυτιλιακές εταιρίες κινείται σχεδόν όπως και στην υπόλοιπη επιχειρηματική αγορά , καθιστώντας ευάλωτές τις δομές τους απέναντι σε επίβουλους/κακόβουλους δράστες. ([2])
2.       Την χρήση ειδικών εταιριών maritime security που γνωρίζουν και λειτουργούν με ειδικά τμήματα πληροφορίας που δίνουν το προβάδισμα στην αντιμετώπιση καταστάσεων κινδύνου και σχετικών απειλών. Η ασφάλεια δεν λειτουργεί μόνο κατασταλτικά ή αντιδραστικά (reactive/remedy), αλλά η πιθανότητα επιτυχίας της βασίζεται πολύ στην δυνατότητα πρόληψης και αποτροπής (preemptive/prevent). Οι εταιρίες ασφαλείας που λειτουργούν με ειδικά τμήματα πληροφορίας (intelligence) μπορούν να δώσουν την πρόσθετη αξία σε αυτό που καλείται να εφαρμόσει, μειώνοντας αισθητά τις όποιες πιθανότητες κινδύνου και απειλών μπορεί να υπάρξουν.
3.       Χρήση jammers RF. Θα πρέπει να διευκρινιστεί εδώ πώς τα UAV λειτουργούν συνήθως σε ασύρματη συχνότητα που εκπέμπει στα 2,4GHz που βρίσκεται το πρωτόκολλο 802.11x. Η δυνατότητα χρήσης Jammer RF με κατευθυντική κεραία (directional antenna) θα είναι δυνατόν να «μπλοκάρει» την λειτουργία κάποιων κοντινών UAV και να αποτρέψει την εκπομπή πληροφοριών προς κάποιους κακόβουλους για την κατάσταση κάποιου σκάφους.

Αναλογιζόμενοι τώρα πώς τα παραπάνω είναι σίγουρα μια επιβάρυνση κόστους που δεν θα είναι αμελητέα, θα πρέπει να υπάρξει μια διευκρινιστική σκέψη πάνω στο R.O.I (Return On Investment) που μπορεί να υπάρξει από μια τέτοια επένδυση. Όπως αναφέρθηκε η μείωση έκθεσης σε κινδύνους και απειλές αυτόματα προστατεύει την όποια εταιρία/οργανισμό από υποκλοπές (συστήματα) και πιθανές επιθέσεις (πειρατεία/βιομηχανική κατασκοπεία) που θα επιφέρουν οικονομική ζημιά σε υλικό-δομικό επίπεδο, σε πρόσθεση φυσικά της όποια ζημιάς θα επιφέρει μια δημοσίευση του προβλήματος στην φήμη της επιχείρησης (reputation impact).([3])

Η χρήση και συμμόρφωση σε πλαίσια ασφαλείας σε επίκαιρο βαθμό μπορεί να δώσει την πρόσθετη αξία και επιστροφή επένδυσης με την μεγάλη μείωση πιθανοτήτων να συμβούν τα παραπάνω. Μπορεί επίσης να δοθεί με την ικανοποίηση νομικών πλαισίων σε διεθνές επίπεδο καθώς δεν είναι λίγες πλέον οι προϋποθέσεις λειτουργίας για ISO σε επίπεδο διασφάλισης δεδομένων ( cyber compliance) έτσι ώστε να υπάρχει και κάλυψη απαιτήσεων για οικονομικές συναλλαγές με το εξωτερικό μέσω ηλεκτρονικών συστημάτων (PCISOXHIPAA). Η επένδυση μπορεί να αποδώσει μάλιστα ακόμα περισσότερα αν μέσα από μια σωστή σχεδίαση του έργου , καλυφθούν τυχόν ασφαλιστικές απαιτήσεις ή ακόμα και διαχειριστικές/εργασιακές διαδικασίες που θα ευνοήσουν την παραγωγικότητα σε μεγάλους οργανισμούς ( IDMAccess Control workflows).

Συνοπτικά παραθέτοντας την παραπάνω εικόνα που αφορά απειλές, νέες τεχνολογίες, είναι σημαντικό να γίνει κατανοητό πώς η επένδυση σε ασφάλεια δεν αποτελεί ένα περιττό έξοδο ή μια άγνοια που βασίζεται στην άτοπη σκέψη πώς «δεν θα συμβεί σε εμάς» αλλά μια ανάγκη που πρέπει να γίνει με σωστό τρόπο και σχεδιασμό για να αποφέρει σε μέγιστο βαθμό το κέρδος της πρόσθετης αξίας της. Αυτό είναι το μόνο που θα μπορεί να γλυτώσει (ή μειώσει αισθητά) αφού γίνει η όποια ζημιά,  έναντι μιας προσπάθειας επιδιόρθωσης προβλημάτων σε μεταγενέστερο χρόνο, κοστίζοντας τα διπλάσια ή και τριπλάσια χρήματα συν όποιες απώλειες καταγραφούν στο επίπεδο δημόσια εικόνας και φήμης της εταιρίας.

Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας



[1] http://jmss.org/jmss/index.php/jmss/article/view/625/594 -- Maritime Non-state Actors: A Challenge for the Royal Canadian Navy? –By David Rudd


[2] http://www.elinyae.gr/el/lib_file_upload/2002-59.1147949138508.pdf --- οδηγία ΕΕ για διασφάλιση ηλεκτρονικών συστημάτων και δεδομένων για ναυτιλία


Η ΑΠΟΚΑΛΥΨΗ ΤΟΥ ΕΝΑΤΟΥ ΚΥΜΑΤΟΣ

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Επειδη Η Ανθρωπινη Ιστορια Δεν Εχει Ειπωθει Ποτε.....Ειπαμε κι εμεις να βαλουμε το χερακι μας!

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.