Denne artikkelen er produsert og finansiert av NTNU - les mer.
Skipet oppfører seg ikkje slik det skal. Kva skjer? Kaptein Odd Sveinung Hareide forklarer dei andre på brua kva han har gjort, kva han prioriterer akkurat no og neste trekk.(Foto: Eli Anne Tvergrov / NTNU)
Kva gjer du om nokon tek kontroll over skipet ditt?
Risikoen for cyberangrep mot eit skip er reell. Operative mannskap om bord må få øve realistisk. No kan dei det.
Du står på brua og kursen er sett digitalt. Likevel, kvifor held skipet fram med å dreie mot vest?
På dataskjermane i det mørke styrhuset ser alt normalt ut – men utanfor vindauget kjem landsida faretruande nært. Kva er det som skjer?
Nede frå maskinrommet melder dei via radio at alt er normalt, men dei lurer på kvifor brua har sett ny kurs? Motorane rusar og skipet set fart. Det er ikkje maskinisten som gjer dette. Kva no?
Cybersikkerheit er eit heitt tema for heile den maritime bransjen, også i akademia. Nyleg gjennomførte dei eit heilt nytt kurs i cybersikkerheit ved NTNU i Ålesund.
Forskar Marie Haugli-Sandvik gjer dei siste førebuingane saman med studieprogramleiar Arnt Myrheim Holm ved Institutt for havromsoperasjonar og byggteknikk før øvinga startar i skipssimulatorane.(Foto: Eli Anne Tvergrov / NTNU)
Truleg det fyrste i sitt slag
NTNU i Ålesund har i år gitt folk i maritim næring tilbod i form av eit nytt kurs i maritim sikkerheit.
Gjennom to månadar har kursdeltakarane sett på det digitale trusselbiletet. Dei har risikovurdert aktuelle digitale truslar og øvd realistisk på eit cyberangrep på eit skip under segling. Stikkord er risikohandtering av cyberangrep og å bygge motstandsdyktigheit.
Forskarane Marie Haugli-Sandvik og Erlend Erstad forklarar at der det er informasjonsteknologi og menneske, er det rom for digital sårbarheit. Brot på sikkerheita kan kome i skipssystema, og dei kan kome i hamnesystema og gjennom menneska som driv eller overvakar desse.
Begge dei to forskar på korleis den maritime næringa kan verte betre rusta for handtering av cyberangrep.
Dei har utvikla og no halde det maritime digitale sikkerheitskurset. Truleg det fyrste i sitt slag her i landet.
Kurset inngår som ein del av doktoravhandlingane dei er i ferd med å gjere ferdig.
Internasjonale krav
Sjøfartsdirektoratet og Kystverket har eit strategimål om at sjøfolk og personell skal ha tilbod om naudsynt digital sikkerheitskompetanse. Utgangspunktet er internasjonale krav gitt av IMO (International Maritime Organization).
Dei internasjonale bransjeforeiningane og skipsfartsorganisasjonane har derfor fokus på dette temaet.
Innan dei grunnleggande krava for sjøfart kjem det snart endå strengare minimumskrav for cybersikkerheit. Strengare krav om trening, øving og opplæring kjem alt neste år.
Utvikla saman med næringa
– Kurset vi har utvikla, har kome til i eit tett samarbeid med industrien. Vi har høyrt på kva dei ynskjer, sett objektivt på kva behov dei har, for så å teste den beste løysinga vi kan kome opp med, forklarer Erlend Erstad.
– Det er alltid betre med breidde i perspektivet og fleire innfallsvinklar i nye prosjekt og metodar. Også etablerte verksemder kan ha godt av friske auge. NTNU er ein god og rimeleg arena for å prøve ut nye idear. Som forskarar kan vi vere med på å dekke næringa sitt akutte behov og samstundes ha god dialog om løysingar for framtida, seier Marie Haugli-Sandvik.
Marie Haugli-Sandvik og Erlend Erstad forskar og har parallelt bygd opp eit maritimt digitalt sikkerheitskurs.(Foto: Eli Anne Tvergrov / NTNU)
Har ikkje nok opplæring i cybersikkerheit
Haugli-Sandvik gjennomførte i vinter ei spørjeundersøking blant 293 seglande dekksoffiserar frå 11 større offshore-reiarlag i Noreg.
83 prosent av desse svarte at dei hadde vore med på ei eller anna form for opplæring i cybersikkerheit.
15 prosent svarte at det aldri hadde fått opplæring.
2 prosent visste ikkje om dei hadde hatt opplæring.
– 82 prosent av dei seglande dekksoffiserane svarte at dei hadde fått opplæringa som e-læring og/eller at dei hadde delteke i digitale sikkerheitskampanjar sendt frå arbeidsgivar, seier ho.
Annonse
I stor utstrekning var det arbeidsgivarane som hadde stått for opplæringa i form av kurs. Dette viser at bransjen ynskjer å ta ansvar, meiner Haugli Sandvik.
Men det er mykje standardiserte og generelle IT-sikkerheitskurs.
– I liten grad hadde dei fått opplæring som var direkte maritimt operativt innretta og/eller tilpassa, seier Haugli-Sandvik.
Det visast i at 66 prosent av dei spurte dekksoffiserane seier at dei er usikre eller usamde i at dei har nok opplæring til å handtere ei cyberhending om bord.
Store konsekvensar
Digitale IT-hendingar har konsekvensar for skipsoperasjonar. Dei slår ut administrative system for lastepapir, passasjerlister, digitale sertifikat og seglingsløyver og liknande. Drifta vert forsinka eller hindra.
Store økonomiske konsekvensar følgjer saman med tap av omdømet for utsette aktørar. Går skipet på land, er det snakk om store miljømessige katastrofar.
Nasjonalt tryggingsorgan (NSM) viser til at aktiviteten i cyberdomenet kan vere så avansert at vi ikkje registrerer han. Fordekt aktivitet kan halde seg skjult i lang tid. Korleis skal mannskap om bord reagere for å avdekke skjulte truslar?
Korleis kan mannskap om bord ta dei rette vurderingane i forkant eller dei konkrete avgjerslene i tidsvindauget få minutt før eit skip går på grunn?
Det er viktig å skaffe kunnskap, førebygge og øve på dette som kan skje.
Krengar skipet? Kaptein Odd Sveinung Hareide tek kontakt med maskinrommet.(Foto: Eli Anne Tvergrov / NTNU)
Dekksoffiserane og cybersikkerheit
Marie Haugli-Sandvik ser i si forsking på korleis dekksoffiserar opplever cyberrisiko på sjøen.
Annonse
Prosjektet hennar inngår som del av arbeidet NTNUs senter SFI MOVE (Marine Operations in Virtual Environments). Der arbeider dei med korleis framtidas maritime operasjonar kan sjå ut. Det gjer dei gjennom bruk av digitale tvillingar, maskinlæring og kontrollsenter på land.
– Eg forskar på korleis det kan utviklast målretta retningsliner, opplæring og risikokommunikasjon innanfor maritim cybersikkerheit. Eg undersøker også kva verktøy vi bør utvikle for å handtere ny cyberrisiko vi har fått til sjøs, seier ho.
Å vere motstandsdyktig
Erlend Erstads prosjekt er innan det som kallast maritim cyber-resiliens.
– Eg ser på korleis navigatørar best mogleg kan vere motstandsdyktige, ruste seg mot og overkome cyberangrep mot integrerte navigasjonssystem om bord på skipet.
Erstad fortel om gjensidig nytte gjennom den gode kontakta med forskarar ved Cyber SHIP-lab ved University of Plymouth i England. Der forskar dei også på maritim cybersikkerheit.
For å øve på realistiske handlingar og situasjonar i eit trygt miljø har dei opna ein større Cyber Range. Denne arenaen er spesielt utvikla for maritim sektor.
Arenaen gjer dei som øver og dei som forskar, i stand til å avdekke sårbarheiter i maritime navigasjon- og kontrollsystem for skip.
Erlend Erstad saman med figurant Einar Johan Lukkassen frå NTNU vurderer responsen frå brua. Marie Haugli-Sandvik, saman med andre deltakarar og observatørar, gjer klar for spelet vidare.(Foto: Eli Anne Tvergrov / NTNU)
Simulerte hending
Til den større øvinga i kurset tok dei skipssimulatorane på NTNU i Ålesund i bruk. Også dei er utforminga realistisk. Deltakarane tok plass i skipssimulatorar, utforma som ei skipsbru slik som på eit større skip under fart ute i Nordsjøen.
– Simulatorscenarioet la vi tett opp til det som faktisk skjer på eit skip, samt heilt inntil det som skjer i kommunikasjonen mellom skipet og landsida. Men sjølv om scenarioet nytta fullskala maritime brusimulatorar, vart fokuset mest lagt på å få til god diskusjon, forklarer Erstad.
Med i øvinga var også deltakarar frå DNV, Norwegian Hull Club, NORMA Cyber, Solstad, offentlege instansar som Kystverket og Høgskolen i Innlandet, samt frå University of Plymouth. Desse var invitert inn som observatørar og som ressurspersonar i simuleringa.
Annonse
– Vi hentar mest læring i dialogen mellom aktørane i øvinga og i gjennomgangen etterpå. Ikkje minst ved at ein då kan sjå det som vart øvd på og sjølve hendinga, frå andre sin ståstad, seier Erstad.
Medan halve gruppa var i skipssimulatorane hadde dei andre skrivebordsøving før felles refleksjon, gjennomgang og oppsummering.(Foto: Eli Anne Tvergrov / NTNU)
Styrke dei som kan handtere situasjonen
Professor Kevin Jones ved Universitetet i Plymouth viser til dei enorme verdiane som står på spel i verdsøkonomi og handel.
– Då det svære containerskipet «Ever Given» grunnstøytte i Suezkanalen, vart det peika på vêr og vind som årsak. Sjølv om dette ikkje var cyberangrep, illustrerer hendinga konsekvensar som rammar eit sårbart globalt system, seier Jones.
Snart 90 prosent av verdshandelen skjer i transport over havet. Det er realistisk at ei liknande hending kan oppstå på grunn av digitale sårbarheiter og etter uautorisert tilgang til datamaskiner og kontrollsystem.
– Det svake ledet er mennesket. Det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon.
– Det er store verdiar som står på spel. Det svake ledet er mennesket og det er dette leddet som må styrkast, seier professor Kevin Jones.(Foto: Børge Sandnes / NTNU)
Tilpassa kompetanseheving
Øvingane og kurset med deltakarane, figurantar og observatørar har styrkt dei to forskarane sitt syn på at det er viktig med tilpassa kompetanseheving.
Kurset har fått ei tydeleg praktisk tilnærming til risikohandtering i eit digitalt perspektiv.
– Det er viktig at verksemdene i maritim sektor gjer seg kjent med sine verdiar, dei digitale trugslane og sårbarheitene dei har. Leiarane må kjenne sine tilsette som skal handtere dei digitale trugslane og forstå kompetansebehovet dei har innan digital sikkerheit.
Sikkerheitsråd til sjøs
Den maritime næringa må heve merksemda på kva ein risikerer ved å ikkje forebygge. Her er nokre generelle råd:
Sjekkliste på individnivå om bord:
Installere sikkerheitsoppdateringar så snart dei kjem og mest mogleg automatisk.
Ikkje tildel administratorrettigheiter til sluttbrukarar.
Ikkje tillat bruk av svake passord. Innfør, der det er mogleg, at brukar beviser identiteten sin gjennom fleirledda sikkerheits- og godkjenningsprosedyrar (multifaktorautentisering).
Fas ut eldre IKT-produkt.
Ikkje tillat anna enn programvare som er godkjent av verksemda eller einingsleverandør.
Sjekkliste på systemnivå om bord og på land:
Innfør system for autentisering og autorisasjon av brukarar til nødvendig informasjon.
Innfør vern av alle data på rett nivå ut frå sensitiviteten til informasjonen.
Innfør styrt tilgang for IT-brukarane om bord og på land, slik at kvar einskild berre har tilgang og rettigheiter til informasjonen dei er autorisert for.
Innfør styrt kommunikasjon mellom skip og landsida med sikkerheit i fokus.
Innfør responsplan for cyberhendingar basert på grundige risikovurderingar.
Kilde: NSM og The Guidelines on Cyber Security Onboard Ships – version 4 2020)
Forskingsprosjektet er eit samarbeid mellom NTNU, Forsvarets høgskole (FHS) med Sjøkrigsskolen (SKSK) og Cyberingeniørskolen (CiS), Kongsberg Defence and Aerospace (KDA), Norwegian Hull Club (NHC) og DNV.
Under namnet MarCy (Maritime Cyber Resilience) er dette finansiert gjennom Norges Forskningsråd og industripartnarane som deltek.
Utfordringar frå Risikorapport 2022
Sjøfartsdirektoratet og Kystverket peika på fleire utfordringar i Rapport om strategi for maritim digital sikkerheit 2020.
I Risikorapport 2022 viser Nasjonalt tryggingsorgan (NSM) til ei tredobling i talet på alvorlege hendingar og cyberoperasjonar frå 2019 til 2021. Tilsvarande rapport for 2023 tek blant anna opp at det er mange sårbarheiter i uoversiktlege leverandørkjeder og at med meir uforutsigbarheit må ein ha betre beredskap.
Digitaliseringa i den maritime næringa skjer både i tradisjonelle system for informasjonsteknologi (IT-system) og i operasjonell teknologi i system for automatisering, framdrift, styring og andre kontrollsystem. Til meir bruk av fjerntilkopling, integrering og digitalisering i den operasjonelle teknologien, til meir sårbar kan drifta verte.
Samstundes er driftstida generelt for større skip mellom 25 og 35 år, og oppgraderingar innan det digitale i heile den internasjonale flåten skjer vanlegvis stegvis og over tid. Det er stor variasjon i datautstyr om bord både for administrative funksjonar og styringssystem.
Situasjonen kan overførast til mykje av det som også skjer i hamnene, der stadig fleire operasjonar automatiserast. Innan hamnetrafikken er det avdekka hendingar som viser angrep på IT og administrative system. Desse fører til driftsstans, informasjonstjuveri og manipulasjon knytt til smugling av gods.
