W poprzedniej edycji Forum Gospodarki Morskiej Gdynia temat cyberbezpieczeństwa w branży morskiej został poruszony po raz pierwszy. Wtedy Rafał Cichocki, kierownik Centrum Cyberbezpieczeństwa Morskiego Uniwersytetu Morskiego w Gdyni poprowadził poświęcone temu tematowi seminarium. W tym roku Cichocki miał możliwość poruszyć kolejne wątki, już w formule panelu dyskusyjnego.
We wstępie do rozmowy poświęconej cyberbezpieczeństwu oraz żegludze autonomicznej, Rafał Cichocki wyjaśnił dokładnie czym są cyberataki i jaki jest ich standardowy przebieg. Zwrócił uwagę, iż walka jest zawsze nierówna – zaatakowana instytucja nigdy nie ma takich cybermożliwości, jak atakujący.
– W cybezbezpieczeństwie nie chodzi więc o to, żeby nie nastąpiło do włamania, bo to i tak nastąpi, ale o to, żeby jak najszybciej je wykryć i zminimalizować szkody – mówił Cichocki.
Nie zabrakło przykładów: w kwietniu miał miejsce zmasowany atak na systemy morskie na całym świecie, celem stały się m.in. CMA CGM i Maersk, a także porty w Rotterdamie (w wyniku ataku nastąpiło tam wyłączenie systemów) i Singapurze (operacje zostały wstrzymane na 9 dni). Łączne straty szacowane są na ok. 500 mln dolarów, zaś średnia wartość okupu, jakiej żądali przestępcy wynosiła 3,2 mln dolarów.
Cichocki zwracał też uwagę, iż w praktycznie wszystkich wypadkach w systemach informatycznych wykrywano podatności, które umożliwiały całkowite przejęcie systemu, a miały ponad 5 lat, co oznacza, iż firma o nich wiedziała i miała dużo czasu w ich unieszkodliwienie.
W podsumowaniu Rafał Cichocki przedstawił ogólne statystyki, z których wprost wynika, iż ilość ataków ransomeware'owych rośnie, bo to po prostu dobry biznes.
Następnie na scenę zaproszeni zostali rozmówcy
Cichockiego: kmdr ppor. (rez.) dr inż. Karolina Zwolak – K2Sea,
nauczyciel akademicki Akademii Marynarki Wojennej oraz Politechniki
Gdańskiej, Zenon Kozłowski – Z-ca Dyrektora ds. Oznakowania
Nawigacyjnego, Urząd Morski w Szczecinie, Adam Danieluk – Prezes Zarządu
ISSA Polska, Michał Domachowski – Dyrektor ds. Bezpieczeństwa Naftoport
Sp. z o.o, dr inż. Krzysztof Wróbel – Z-ca Kierownika Katedry
Nawigacji, Uniwersytet Morski w Gdyni.
Podstawowe pytanie,
jakie Rafał Cichocki postawił przed rozmówcami w pierwszej części
dyskusji, brzmiało: czy jesteśmy gotowi na żeglugę autonomiczną,
oczywiście biorąc pod uwagę wszystkie możliwe jej aspekty, w tym kwestie
cyberbezpieczeństwa. Paneliści byli w swojej odpowiedzi zgodni.
Stwierdzili, iż nie jesteśmy na nią gotowi, ale jednocześnie ona na to
nie czeka i rozwija się tak czy inaczej. Karolina Zwolak stwierdziła, że
w dyskusji o żegludze autonomicznej trzeba doprecyzować, co dokładnie
rozumiemy pod tym pojęciem, ponieważ jest znacząca różnica między małym
kieszonkowym dronem, a potężną maszyną bezzałogową. Jej zdaniem nie
jesteśmy gotowi na duże jednostki, ale dziedzina ta rozwija się w tej chwili w
postaci mniejszych pojazdów. Zenon Kozłowski potwierdził, iż w
powijakach jest prawo dotyczące tego typu technologii. Między innymi z
powodu braku regulacji i procedur jednostek autonomicznych do Naftoportu
w tym momencie nie wpuściłby Michał Domachowski. Adam Danieluk
wskazywał natomiast, iż w w tej chwili rozwijanej technologii jednostek
autonomicznych jest wiele luk cybernetycznych – te jednostki mogą
funkcjonować już teraz, jednak są zagrożone. Jedną z takich luk są
systemy do określania położenia. Krzysztof Wróbel opowiedział natomiast o
poszukiwaniu odpowiedniego balansu między autonomicznością jednostki i
jej bezpieczeństwem. Mówił, iż być może statek mógłby być autonomiczny
na pełnym morzu, ale przed wejściem do portu powinna się na nim pojawić
załoga. Być może jakaś szkieletowa załoga powinna być na statku podczas
całej podróży.
Tym samym w rozmowie zaistniał temat poziomów
autonomiczności. Jak tłumaczyła Karolina Zwolak, statek zdalnie
sterowany to 1-2 poziom. W przypadku kompletnej utraty łączności są inne
kanały, choć mogą się różnić poziomem informacji osiągalnych dla
operatora.
Co jednak jeżeli operator straci kompletnie łączność z jednostką?
–
Musimy to przewidzieć. jeżeli mamy załogę na statku, to nie musimy, bo
zawsze możemy liczyć, iż załoga na coś wpadnie. Bez załogi – nie wiadomo
co zrobić. Zatrzymać jednostkę? A może nie zatrzymać, bo nic się nie
dzieje i zaraz wpłynie ona bezpiecznie w obszar, gdzie komunikacja
zostanie przywrócona? Jakie są warunki w pobliżu statku? Jednostka
autonomiczna zatem to nie tylko statek, ale też wiedza o tym, co się
wokół niego dzieje – mówiła Karolina Zwolak.
Michał Domachowski opowiedział o skutkach ataku na grupę kapitałową, do której należy Naftoport.
–
W zeszłym roku w grupie kapitałowej odnotowano atak na służbę ochrony,
firmę Naftor. Atak był przeprowadzony na inne spółki z grupy
kapitałowej, Naftor okazał się najsłabszym ogniwem. Od lutego firma
pracowała na kredkach, ołówkach, Poczcie Polskiej i papierowych
przelewach bankowych przez cztery miesiące – mówił Domachowski. Dodał,
że od kilku miesięcy wszystkim w basenie Morza Bałtyckiego przeszkadza
tzw. Krasucha (niekiedy określana mianem Baltic Jammer) – rosyjski
system zakłócający sygnał GPS.
Zenon Kozłowski uściślił z
kolei kilka problemów, jakie napotykają obecne próby stworzenia prawa
dotyczącego jednostek autonomicznych lub sterowanych zdalnie.
Wprowadzenie takich praw wymaga zmian w mnóstwie regulacji, treści
konwencji itp. Wszędzie bowiem uwzględniana jest rola kapitana, w
przypadku jednostki autonomicznej lub zdalnie sterowanej jego rola
tudzież sama obecność nie jest doprecyzowana. Czy operator na lądzie
jest kapitanem? Przed jakim prawem odpowiada? Jednocześnie Kozłowski
zaznaczył, iż niektóre administracje już wydały wytyczne dla statków
autonomicznych. Dodał jeszcze, iż w Polsce przy próbie rejestracji
jednostki bezzałogowej w żegludze śródlądowej w karcie bezpieczeństwa
statku wpisany jest wymóg posiadania 1 marynarza na pokładzie.
Adam
Danieluk streścił na prośbę Rafała Cichockiego najważniejsze zmiany w
nowej dyrektywie NIS2. Pośród najważniejszych różnic wymienił
wykreślenie odwołania do standardów międzynarodowych ISO (choć zakres
wymagań się z nimi pokrywa), wprowadzenie obowiązku oceny ryzyka oraz
zgłoszenia nie tylko wystąpienia, ale choćby samego podejrzenia
wystąpienia incydentu. Ciekawym elementem jest też tzw. polecenie
zabezpieczające – minister będzie mógł polecić podmiotom zainstalowanie
odpowiednich aktualizacji i będą one zobowiązane do zrobienia tego.
Michał
Domachowski został poproszony o ocenę nowych regulacji i funkcjonowania
Krajowego Systemu Cyberbezpieczeństwa. Stwierdził, iż im więcej
regulacji, tym lepiej.
– Im więcej aktów normatywnych i
instrukcji dla organizacji szczebla decyzyjnego i operacyjnego, tym
łatwiej na szczeblu przedsiębiorstwa można wytwarzać wewnętrzne
procedury – mówił. Przyznał, iż Naftoport działa w trybie „ciągłego
audytu wewnętrznego”. Dodał, iż po atakach radiotelegraficznych z
Kaliningradu Naftoport pozbył się wszystkich systemów pozycjonowania
satelitarnego. – Było to możliwe, bo port się nie rusza. Kaliningrad nas
zaudytował, ale teraz jesteśmy niepodatni na problemy z GPS.
Najprostsze rozwiązania są najskuteczniejsze, nie trzeba nadużywać
technologii – są systemy, które zapewniają bezpieczne, zgodne z prawem
funkcjonowanie – mówił.
Do kwestii luk prawnych odniosła się
Karolina Zwolak. Opowiedziała, iż borykają się z nimi nabywcy
reprezentowanych przez nią produktów – 2-metrowych jednostek
autonomicznych. Są to głównie instytucje zajmujące się hydrografią, ich
jednostki realizują przeważnie kilkugodzinne projekty polegające na
akwizycji danych z danego, zamkniętego i znanego obszaru, czasami w
asyście innej jednostki. Często są to operacje w zasięgu wzroku
operatora. Nie są więc obarczone wielkim ryzykiem. Jej zdaniem w takich
przypadkach nie powinno być dużym problemem usystematyzowanie
przynajmniej części przepisów.
Wygląda jednak na to, iż w
najbliższym czasie nie można się tego spodziewać. Krzysztof Wróbel
opowiadał, iż Międzynarodowa Organizacja Morska (IMO) próbowała uniknąć
tematu tak długo, jak było to możliwe. W końcu ugięła się przed
naciskiem przemysłu, ale prace nad regulacjami idą bardzo powoli.
Kolejny
poziom prawodawstwa to poszczególne państwa, które mogą dogadywać się
między sobą, jak dzieje się w żegludze śródlądowej, na przykład na
rzekach granicznych. Potem jest już poziom krajowy – w niektórych
istnieją już pewne wytyczne, w Polsce różne organizacje branżowe
próbowały naciskać na odpowiednie resorty, iż już czas się tym zająć,
ale bezskutecznie.
Wróbel dodał jeszcze, iż IMO w dalszym
ciągu nie podchodzi do tematu w sposób kompleksowy – organizacja
odłożyła na przykład prace dotyczące kwalifikacji operatorów jednostek
bezzałogowych. Nie wiadomo, jak ta legislacja miałaby wyglądać, ale nie
wiadomo także kto tak naprawdę powinien o tym decydować – politycy,
naukowcy, projektanci systemów, czy może praktycy morscy.
–
Przy próbach rozwiązania kwestii bezzałogowości pojawia się problem
braku komunikacji między operatorami, producentami i legislacją.
Marynarze obsługujący jakieś systemy na statkach często pytają „co za
głupek to projektował?”, podobnie będzie z systemami autonomicznymi czy
bezzałogowymi – wskazywał Wróbel.
Tym samym dyskusja zeszła
na temat kadr, które miałyby zajmować się systemami bezzałogowymi w
żegludze. Rozmówcy wskazywali, iż branża nie morska nie jest
wystarczająco „sexy”, żeby przyciągać fachowców. Projektanci takich
rozwiązań w pierwszej kolejności wybierają lotnictwo, następnie
motoryzację. istotną kwestię poruszyła Karolina Zwolak – czy można
wykształcić operatora jednostki autonomicznej bez wysyłania go na morze?
Czy ktoś, kto nigdy nie pływał, będzie w stanie odpowiednio zareagować
na losowe sytuacje na morzu? Opisała także doświadczenia wyniesione z
jednego z projektów, w którym uczestniczyła, kiedy operatorzy
bezzałogowców – byli lub obecni marynarze – oceniali pracę w centrum
operacyjnym jako trudniejszą niż na morzu.
– Nie odrywają oczu od monitorów, nie czują ruchu statku, nie słyszą silników, tylko patrzą na cyfry na monitorze – mówiła.
Zapytana przez Rafała Cichockiego o sytuacje, w których żegluga autonomiczna może być bezpieczniejsza lub mieć większe zastosowanie niż żegluga konwencjonalna, opowiedziała o sytuacji w Tonga w 2022 roku. Wybuchł tam wtedy wulkan, doszło m.in. do zerwania podmorskiego kabla kluczowego dla stolicy wyspiarskiego kraju, jednak biegł on przez obszar aktywności wulkanu. Dno morskie w tym miejscu zmieniło się znacznie, wypiętrzyły się m.in. nowe wyspy – wysłanie jednostki załogowej było niebezpieczne i groziło katastrofą. Użyto więc bezzałogowca, którego operator znajdował się zresztą po drugiej stronie świata, bo w Wielkiej Brytanii.
