21 stycznia w siedzibie PRS w Gdańsku odbyło się seminarium "Cyberbezpieczeństwo jako element bezpiecznej eksploatacji statku". Celem spotkania było przybliżenie koncepcji cyberbezpieczeństwa oraz konieczności wprowadzenia i stosowania odpowiednich procedur w celu sprostania nowym wymaganiom IMO.

Armatorzy jako stanowiący część przedsiębiorców z kluczowych sektorów gospodarki zobowiązani są do spełniania przepisów ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018 roku. Ustawa ta implementuje do polskiego porządku prawnego europejską dyrektywę NIS (Network and Information Systems Directive) –  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej. W skład Krajowego Systemu Cyberbezpieczeństwa wchodzą   m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. 

Jak powiedział Dariusz Rudziński, członek zarządu PRS: "PRS dostarcza wiedzę niezbędną do zapewnienia bezpieczeństwa na morzu i na lądzie, w tym bezpieczeństwa cybernetycznego. Od przeszło 20 lat przedsiębiorstwa żeglugowe i statki podlegają wymaganiom międzynarodowego kodeksu zarządzania bezpieczeństwem. Kodeks ISM tradycyjnie dotczył zarządzania bezpieczństwem operacji, które są realizowane fizycznie. Postęp technologiczny spowodował, że statki wyposażane są w coraz to bardziej skomplikowane systemy informatyczne bezpośrednio oddziaływujące na wszystkie funkcje realizowane przez jednostki. Tym samym, do kwestii  zagrożeń cybernetycznych należało podejść systemowo".

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia 2018 roku. Nakłada ona na tzw. operatorów usług kluczowych, czyli firmy i instytucje kluczowe dla działania państwa, np. wielkie firmy energetyczne, kopalnie, koleje, lotniska, banki, duże szpitale czy wodociągi obowiązek wdrożenia ochrony przed cyberatakami. Lista tych instytucji i firm, którą stworzono na podstawie rozporządzenia do ustawy, jest niejawna i są one zawiadamiane specjalnymi pismami z Ministerstwa Cyfryzacji. Według szacunków, przepisy ustawy objęły od trzystu do ponad pięciuset podmiotów.

"PRS jako pierwsza polska firma uzyskała akredytację do certyfikacji systemów zarządzania a więc do szeroko rozumianej oceny zgoności. Ustawa o krajowym systemie cyberbezpieczeństwa mówi o tym, że audyty, które należy wykonać po roku od otrzymania decyzji powinny
być przeprowadzane przez m.in. jednostki akredytowane do oceny bezpieczeństwa systemów informacyjnych. PRS do tej pory oceniał systemy bezpieczeństwa około tysiąca procesów, oceniając je zgodnie z normą ISO 27001" - przypomina Dariusz Hejmej, z-ca dyrektora Pionu Certyfikacji ds. Klientów Strategicznych.

Seminarium zorganizowane przez PRS było skierowane przede wszystkim do podmiotów gospodarki morskiej, tj. armatorów w transporcie morskim pasażerów i towarów, armatorów żeglugi śródlądowej, podmiotów zarządzających portem, podmiotów zarządzających obiektem portowym i podmiotów prowadzących na terenie portów działalność wspomagającą transport morski. Podczas trzech paneli omówiono m.in. podstawy prawne i aspekty praktyczne Krajowego Systemu Cyberbezpieczeństwa, ryzyka w przedsiębiorstwach żeglugowych czy środki ochrony ograniczające ryzyko skutków ataków. Wskazano również, że najsłabszym elementem łańcucha bezpieczeństwa jest czynnik ludzki. Jak mówił Grzegorz Ruszczyński z Pionu Okrętowego PRS: "Systemy komputerowe same w sobie są bardzo dobrze zabezpieczone odpowiednio uaktualnianymi programami antywirusowymi czy firewallami. Dopóki nie jest w to zaangażowany człowiek - systemy te są w stanie doskonale sobie poradzić. Głównym czynnikiem stwarzającym zagrożenie jest człowiek, ponieważ to on zarówno atakuje te systemy jak i może być pierwszą barierą, która będzie w stanie taki atak uniemożliwić. Dlatego tak ważne jest szkolenie pracowników i przedstawianie im tych ważnych aspektów oraz metod, jak nie poddać się manipulacji i metodom socjotechnik". 

Przypomnijmy, że socjotechnika (ang. social engineering) to zespół technik służących osiągnięciu określonych celów poprzez manipulację społeczeństwem. Innymi słowy jest to celowe, przemyślane przekształcanie społeczeństwa. Osoba posługująca się socjotechniką sądzi, że cel, do którego dąży, jest ważniejszy niż prawda czy niezależność myślenia osób poddawanych manipulacji. Socjotechnika odwołuje się do emocji człowieka i stara się uśpić ludzki rozum. Często socjotechnik stara się przekonać odbiorcę jego przekazu do swoich idei nawet kosztem nieetycznego odrywania ich od rzeczywistości, bo sądzi on, że cel jego działalności uświęca takie środki.

Dzięki testom socjotechnicznym, możemy otrzymać  dużą dawkę wiedzy o stanie obecnym danego przedsiębiorstwa, ale także swoiste know-how odnośnie tego, jakie działania należy podjąć, aby poziom bezpieczeństwa przenieść na nowy, wyższy poziom.

90% światowego handlu odbywa się drogą morską. Każde włamanie może kosztować armatorów miliony dolarów, a w niektórych przypadkach nawet zrujnować gospodarkę krajową. W przypadku włamań do kluczowych terminali kontenerowych, przestępcy mogą skutecznie zaburzyć działanie regionalnego i narodowego łańcucha dostaw. Jak ujawnił w zeszłym roku brytyjski rząd, cyberataki kosztują branżę naftową i gazową około 400 milionów funtów rocznie. Nie powinny więc dziwić działania związane z zapewnienianiem cyberbezpieczeństwa kraju. Jak podsumowuje Grzegorz Pettke, dyrektor Pionu Okrętowego PRS: "Już obecnie dominuje teza, że obok ważności integracji kadłuba, niezawodności siłowni czy napędów, bardzo ważnym aspektem jest niezawodność systemów cybernetycznych. W tym celu, towarzystwa klasyfikacyjne w ramach Międzynarodowego Stowarzyszenia Towarzystw Klasyfikacyjnych, już kilka lat temu powołały specjalnie dedykowany panel cyberbezpieczeństwa, w którym tworzone są wymagania. W zeszłym roku powstało kilkanaście rekomendacji,
które w tym roku uzyskają status wymagań a PRS czynnie uczestniczy w ich tworzeniu."