Dette er ISM-kravene til maritim cybersikkerhet

ISM-krav sier at maritim cybersikkerhet skal håndteres på lik linje med andre risikoer om bord. Slik kan maritim cybersikkerhet gjennomføres i praksis.

Se for deg at skipet du er om bord på blir tatt kontroll over av digitale pirater. De hacker seg inn i system og tar over navigeringen av skipet, som nå plutselig er på vei et helt annet sted enn den opprinnelige planen. Det høres kanskje ut som plottet til en actionfilm med Liam Neeson i spissen, men dette er en reell fare for fartøy verden over. Derfor oppdateres nå ISM-krav med fokus på maritim cybersikkerhet.

Stadig mer vanlig med dataangrep på skip

Men det er ikke bare denne metoden hackerne bruker når de angriper skip og rederi.

Det mest vanlig er løsepengevirus og det vi kaller doxware. Da stjeler og krypterer hackerne bedriftens data, for så å kreve løsepenger for å gi tilbake tilgangen. Det var dette som skjedde da Hurtigruten ble utsatt for dataangrep i desember 2020.

Hackerne kan også true med å legge ut stjålet persondata på nett som pressmiddel for å få bedriften til å betale løsepenger.

Les også: Slik går hackerne frem når de utsetter skip for dataangrep

ISM-krav om sikkerhetsstyring for bedre maritim cybersikkerhet

En av årsakene til at skip og rederier er så utsatt for dataangrep, er at denne næringen ofte sitter på ettertraktede systemer og teknologiske løsninger. Siden januar 2021 har derfor håndtering av cyberrisiko inngått i rederienes sikkerhetsstyringssystemer.

Enkelt fortalt vil det si at det er krav til å vurdere risikoer knyttet til digital informasjonsteknologi og operasjonell teknologi om bord i skip, samt innføre vern mot trusler knyttet til disse.

Planer og prosedyrer for håndtering av eventuelle maritime cyberangrep skal tas inn i rederiets eksisterende sikkerhetsstyringssystem. Sjøfartsdirektoratet har som oppgave å føre tilsyn med at kravene blir fulgt opp.

Utsatt for cyberangrep, uavhengig av størrelse

Mange bedrifter tenker de er for små til bli utsatt for dataangrep, at deres bedrift ikke har noe som er av verdi for hackerne. Men de tar som oftest feil.

For hackerne er selv den minste lille kontaktinformasjon verdifull, og kan lede dem videre på veien til å kunne angripe andre selskap. Det sies at lavthengende frukt er lettest å nå, og slik er det også for hackerne. De jobber seg oppover til et overordnet mål, et steg av gangen. Hvem vet, kanskje kan din bedrift være et av stegene på veien?

Les også: 5 ting du bør gjøre for å beskytte deg mot hacking

Gjennomføring av ISM-krav i praksis

For å innfri ISM-kravene gjelder det først og fremst å identifisere trusler og sårbarheter, før bedriften gjør en risikovurdering. Denne risikovurderingen danner så grunnlaget for implementering av beskyttelse, beredskapsplaner og håndtering av hendelser.

En av Ålesund Data sine kunder som har tatt denne trusselen på alvor, er verdens største brønnbåtrederi, Sølvtrans AS.

De har inngått en avtale som inneholder moderne skyløsninger som gjør dataene tilgjengelig verden over på en trygg måte. I tillegg er de tilknyttet vår døgnbemannede alarmsentral som automatisk varsler om og tar grep om potensielle trusler og dataangrep.

Vil du vite mer?