F akturabedrägerier är vanligast. Ett klassiskt händelseförlopp är att en kriminell aktör hackar en anställds Office 365-konto (eller annat administrativt system).

– Säg att du och jag har haft en korrespondens om betalningar. De får tillgång till mejlhistoriken, hoppar in i samma tråd och skickar ett nytt mejl med ”hej, nu har vi bytt kontonummer”. Detta är ett typiskt bedrägeri som vi ser många exempel på, berättar Lars Benjamin Vold, vd för Oslobaserade Norma Cyber, för Sjöfartstidningen.

Norma Cyber ser dagligen exempel på angrepp från cyberkriminella mot maritima verksamheter. Merparten riktas mot landbaserad infrastruktur. 

– Vi ser angrepp mot fartyg också, men det är nästan bara mot IT-system och inte mot fartygens operationella styrsystem. Angrepp på kritiska OT-system  är ovanligt, men den potentiella konsekvensen är väldigt stor. 

Läs också: Stort intresse hos rederierna

Bedömer risken för angrepp

Norma Cyber följer kontinuerligt hotlandskapet för den maritima näringen. De tittar på vilka system som används och vilka sårbarheter de har, och värderar risken för att kända hotaktörer ska hitta och utnyttja dem. 

Organisationen bildades 2021 av Norges Rederi-förbund och Den Norske Krigsförsäkring. Redan 2017 såg man att cybersäkerhet för maritima verksamheter började bli en het potatis. Eftersom rederiförbundet och DNK samarbetade kring säkerhet och beredskap blev det naturligt att jobba ihop även här.

– Det började som ett sidoprojekt. 2019 insåg man att det behövdes en större satsning och 2021 etablerades Norma Cyber som en icke-vinstdrivande förening.

De första åren kunde bara norska företag bli medlemmar, men 2024 öppnade Norma Cyber upp för alla företag som har verksamhet inom nordisk sjöfartsnäring. Samtidigt bytte föreningen namn.

Olika typer av cyberhot

Lars Benjamin Vold talar om två typer av cyberhot: kriminella som är ute efter pengar, och statliga aktörer som vill sabotera eller spionera. De förra är inte riktade specifikt mot sjöfarten utan fiskar med stor håv efter alla som kan luras att betala. De senare har utvalda mål och kan drabba verksamheter som har speciell teknologi eller konkurrerar med företag i framför allt Asien. 

– Det här är rena spionage-angrepp där man önskar få tillgång till information. De är mycket mindre synliga eftersom målet är att inte bli upptäckt. 

Detta, menar Lars Benjamin Vold, behöver maritima verksamheter generellt bli mer medvetna om. 

– Många nordiska företag ligger långt fram inom teknikutveckling. Man bör fundera igenom vilka ens kronjuveler är. Vad har ni som ni verkligen måste skydda?

Låg risk för riktade sjöfartsangrepp

Risken för cyberangrepp specifikt mot maritim verksamhet är fortsatt låg – men det kan ändra sig fort. 

– Ryssland, Kina och Iran har kapacitet och tekniska resurser och har genomfört angrepp mot andra näringar med liknande system. Vi vet att de kan. Frågan är om de vill, och det är svårare att värdera, säger han.

Två segment sticker ut riskmässigt.

– Vi ser ett något förhöjt hot mot operatörer inom kritisk nationell infrastruktur som olja-, gas- och LNG-transport och mot logistikoperationer till stöd för Ukraina.

Ökat intresse generellt

För cyberkriminalitet bedöms hotet vara moderat till högt. Här handlar det om fakturabedrägerier, kapade konton, krav på lösensummor och dataläckor.

– Det här är angrepp vi ser varje dag, men där konsekvensen av ett angrepp blir mycket mindre. Det här är något som företag numera behöver planera för.

Han upplever att den nya säkerhetspolitiska situationen i världen har skapat ett ökat intresse för cyber-säkerhet hos föreningens medlemmar.

När maritima verksamheter angrips i större grad, eller vid riktade angrepp mot sjöfarten, ska Norma Cyber plocka upp det så fort som möjligt och rapportera till sina medlemmar. Helst  ska de också tipsa om hur hotet kan undvikas eller mildras. De försöker tidigt snappa upp trender, både vilka hotaktörer som är aktiva och ur tekniskt perspektiv vilka system som är sårbara. 

Uppmanar till transparens

Norma Cyber uppmanar sina medlemmar att dela med sig av händelser och försök till angrepp.

– Det enklaste sättet att skapa medvetenhet är att prata om konkreta fall. Ofta frågar vi den som drabbats ”skulle du ha velat veta om det hände någon annan”. Då tycker de flesta att det är smart att dela informationen.

Ser ni några särskilda brister när det gäller hantering av data och cybersäkerhet hos företag? 

– Vi tipsar ofta om att verifiera att flerfaktors-autentisering är fullt implementerat för alla system, även ombord på fartyg. Det finns metoder som inte kräver mobiltäckning och som dessutom är mer phishing-resistenta än en app. Ett annat basalt tips är att välja bra lösenord och att implementera så kallad villkorsstyrd åtkomst, säger Lars Benjamin Vold.

Ha koll på kritiska system

Han uppmanar maritima verksamheter att definiera vilka system som är mest kritiska för verksamheten.

– Vi ser ofta att företag inte har koll på vilka system som, om de inte är tillgängliga, leder till att verksamheten måste stoppas. Identifiera vilka system ni verkligen behöver och var de finns (i molnet eller i en databas) och se hur hotaktörer angriper den typen av system. 

För ett kryssningsrederi kan ett krypterat eller otillgängligt passagerarmanifest göra att fartyget inte får avgå. För andra företag kan ett helt annat system vara nödvändigt för att klara operationen. 

Hur upptäcker Norma Cyber angrepp som sker? 

– Vi får mycket information genom att våra medlemmar rapporterar manuellt till oss. I tillägg har vi en tjänst där vi erbjuder övervakning av medlemmars IT-system från vårt center. Sker det ett större angrepp mot maritima verksamheter så kommer vi att upptäcka det. 

Leker hackare själva

De gör även säkerhetstester av medlemmars system.

– Då leker mina anställda hackare och försöker angripa systemen. Sedan gör vi en rapport med vilka sårbarheter vi hittar, säger Lars Benjamin Vold.

Lyckas ni?

– I stort sett varje gång. Det beror egentligen bara på hur länge man försöker och vilka tekniker man använder. Har vi två dagar ombord på ett fartyg kanske vi inte klarar att komma in, men vi ser att vi hade gjort det om vi haft mer tid. Sedan är det lite olika hur kritiska system man lyckas få tillgång till. Att få tillgång till e-postsystemet är dumt eftersom det strider mot GDPR, men det skulle inte leda till att fartyget kraschar. 

För att Norma Cyber ska göra dessa tester krävs att det finns synergieffekter av värde för fler medlemmar.

Periodvis märker de att maritima företag inom ett visst segment eller geografiskt område är överrepresenterade i statistiken över cyberangrepp. Men Lars Benjamin Vold är försiktig med att dra slutsatser.

 – Vi försöker se vad orsaken till angreppen är. En kriminell aktör som hackat en leverantörs e-postkonto kan ibland skicka ut phishing-mejl till alla kontakter. Då kan vi se en plötslig topp inom ett visst segment men det räknas ändå inte som målinriktat, förklarar han.

Låtsas vara port state control

Det finns dock angrepp som är tydligt riktade. Han berättar om en cyberkriminell grupp som Norma Cyber har följt i flera år. De använder Inmarsat för att ta kontakt med fartyg och utger sig för att vara port state control. De ber om viss information, till synes oskyldig sådan, och efter lite dialog ber de att få ett last- eller passagerarmanifest med befälhavarens stämpel och signatur. Den kopierar de och skickar falska fakturor till rederiets ekonomiavdelning för hamntjänster som sophantering och liknande.

– Fakturorna ser väldigt autentiska ut och är på ganska små belopp, så de går oftast igenom. Det här leder inte till fysisk skada eller att fartyg kraschar. Det är rätt och slätt fakturabedrägeri riktat mot en väldigt specifik målgrupp, säger Lars Benjamin Vold.