IMO’nun Denizcilik sektöründe siber güvenlik uygulamaları
TANITIM
Denizcilik sektöründeki yetersiz siber güvenlik uygulamaları gemiler, mürettebat, kargo güvenliği armatörlerin karlılığı için önemli bir risk oluşturmaya devam ediyor. IMO Resolution MSC.428 (98) “Maritime Cyber Risk Management in Safety Management Systems” bayrak devletlerinin siber risklerin kontrolüne yönelik prosedürlerin mevcut ISM Kodu Güvenlik Yönetim Sistemlerine (SMS) dahil edilmesini sağlamaktadır. Bu uygulama 1 Ocak 2021’de yürürlüğe girecektir. Dolayısıyla firmaların gerekli hazırlıklarını tamamlamış olmaları gerekmektedir.
GEÇMİŞ
Gemi işletimi gemideki fiziksel sistemleri (örneğin, ECDIS ve ARPA) kontrol eden Operasyonel Teknoloji (OT) sistemleri ile veri ve iletişim sistemlerini kontrol eden Bilgi Teknolojisi (IT) sistemlerini kapsar. Başlangıçta OT ve IT sistemleri ayrı ayrı çalışırken günümüz teknolojilerinde yazılım güncellemesi ve yeni yüklemelerle ilişkili olarak internet üzerinden bağlantılı çalışmaya başlamıştır. Neticede OT sisteminde virüs veya kötü amaçlı yazılımlar ile zarar görebilir. Bu da gemi personeli, yük ve operasyonel güvenliği için bir risk oluşturabilir.
Denizde siber risk, IT veya OT sistemlerinin bozulması veya hasar görmesi sonucunda deniz taşımacılığı ile ilgili olarak geminin operasyonel, emniyet veya güvenlik anlamında riske maruz kalması anlamına gelmektedir.
Siber risk yönetimi demek siber bağlantılı bir riski tanımlamak, değerlendirmek ve raporlamak demek ardından bunu “uygun şekilde uygulanabilir en düşük” (ALARP) bir düzeye getirmek demektir. IMO’nun amacı siber risklere operasyonel olarak dirençli olan ve kötü amaçlı yazılım suçluları veya teröristler için kolay bir hedef olmayan bu sürecin küresel bir denizcilik endüstrisi ile sonuçlanmasını sağlamaktır.
IMO ÇÖZÜMÜLERİ VE KILAVUZLARI
IMO Resolution MSC.428 (98), siber riskle ilgili olarak IMO’nun “üst düzey tavsiyeleri” hakkında kısa bir açıklama sağlamaktadır. Ayrıntılar, IMO’nun sirkülerleri, Denizcilik Siber Risk Yönetimi Yönergeleri, MSC-FAL.1 / Circ.3 tarafından sağlanmaktadır.
IMO rehberleri, mevcut ve ortaya çıkan siber tehditlerinden ve güvenlik açıklarından korumak için siber risk tanımlama ve yönetimi konusunda ayrıntılı öneriler sunan altı sayfadan oluşmaktadır. Öneriler, bu süreçleri güncellemek ve geliştirmek için mevcut SMS kılavuzlarına ve prosedürlerine ve ilgili ISPS sistemlerine dâhil edilmek üzere tasarlanmıştır.
ICS KILAVUZU
ICS, BIMCO ve diğer önde gelen armatör kuruluşlarının sponsorluğunu yaptığı çok faydalı ve açıklayıcı “The Guidelines on Board Security Onboard Ships” başlıklı bir rehber yayınlanmıştır. Bu rehber 56 sayfadan oluşmaktadır. Bu doküman IT ve OT yönetimi için tüm süreci açıklamak ve anlatmak için IMO’nun gereksinimlerini ve tavsiyelerini genişleterek daha kapsayıcı hale getirmiştir. Bu rehber genel olarak aşağıdakileri ele almaktadır.
• Tehditleri ve güvenlik açıklarını belirleme.
• Riske maruz kalmanın değerlendirilmesi.
• Koruma ve tespit tedbiri geliştirmek.
• Olası durum planları oluşturmak
• Siber güvenlik olaylarına müdahale etmek ve bunları kurtarmak.
23.10.2020