Nya regelverk såväl som krav från kunder och finansiärer kommer ge helt nya aspekter för sjöfartssektorn att hantera. Såväl rederier som utrustningsleverantörer har utmaningar framöver vad gäller hantering av it- och marina system, och inte minst kompetens som kan hantera dessa frågor i en sjöfartskontext.
Under 2024 kommer såväl de harmoniserade reglerna kring cybersäkerhet från sjöfartens klassningssällskap, som EUs NIS(Network & Information Security)2 direktiv med krav på digital säkerhet. Vidare blir frågan kring digital förståelse och digital säkerhet ett fokusområde för sjöfartens kunder.
Vår erfarenhet är att det är ett stort spann i industrin där vissa aktörer har kommit långt, medan andra knappt börjat jobba med dessa frågor på ett strukturerat sätt, och har dessutom inte resurser som kan dessa frågor vilket såklart blir bekymmer. Det gäller såväl aspekter kring digital säkerhet som att börja se på vilka effektiviseringsmöjligheter en mer datadriven operation kan ge.
Så vad skall då ett rederi, varv eller en utrustningsleverantör göra för att komma ifatt och hantera dessa utmaningar på ett rationellt och effektivt sätt, i linje med förväntningar från regelmakare såväl som kunder?
Cybersäkerhet kan verka skrämmande och fullt av utmaningar, men det är nödvändigt att adressera.
Baserat på DNVs erfarenhet finns det några hållpunkter att börja tänka kring:
- Har vi policyer på plats som adresserar cybersäkerhet?
- Har vi gjort en riskanalys som inkluderar datasäkerhet och IT för vår verksamhet?
- Har vi processer på plats för att hantera cybersäkerhet och digital säkerhet? (Man måste inte vara certifierad men att ha riktlinjer på plats kommer vara instrumentellt).
- Har vi en översikt över de system vi använder?
- Vem är ansvarig för de system vi använder?
- Vem har tillgång till våra system?
- Har vi kontroll på vår data, och har vi delat in detta i säkerhetsnivåer?
- Följer vi upp, tränar för, och har en plan för datasäkerhetsincidenter?
- Har vi en plan för hur utbildning av organisationen kring datasäkerhet?
I tillägg till rederiernas överordnande ansvar får nu utrustningsleverantörer och varv ansvariga för design och upprätthållande av de tekniska systemen inklusive datasäkerhet över hela livscykeln. Dessutom kommer krav på övervakning av system och bättre möjlighet att upptäcka, reagera och återställa system om eller när något händer. Som vi på DNV ser det är dessa knytpunkter mellan olika aktörer och ansvarsfördelning som är en stor utmaning i nuläget.
Det finns såklart många olika angreppssätt för att hantera dessa frågor och detta skall inte ses som en kokbok som man måste följa. Det viktiga är att komma igång med detta arbete och ta steg framåt.
Cybersäkerhet kan verka skrämmande och fullt av utmaningar, men det är nödvändigt att adressera. Vi måste inse att det inte är ett alternativ att stå utanför digitaliseringen eller att inte utveckla den ytterligare. Ju mer sjöfarten blir digitalt uppkopplad och IT en central del av verksamheten, ju mer kommer cyber- och datasäkerhet vara högt på agendan och påverka såväl säkerhetsarbete som själva affärsverksamheten. Det blir därför viktigt att utveckla organisationen och de människor som arbetar med det som en del av normal verksamhet. Mycket av cybersäkerheten handlar om grundläggande saker som korrekt identitetshantering, regelbundna uppdateringar av programvara och operativsystem, samt att ständigt utvärdera och förbättra system för att undvika att bli sittande med föråldrade riskfyllda system.
Det finns ingen enkel lösning på cybersäkerhetsproblem. Det kräver ett ständigt engagemang och en kultur av ihärdigt arbete. Tiden för oss att ta tag i detta är nu, i morgon kommer vara för sent!