साइबर हैक: फोर्टिंग मैरीटाइम, पोर्ट सिक्योरिटी

© डेनिस्मिज़िलोव / एडोब स्टॉक

युनाइटेड स्टेट्स कोस्ट गार्ड मरीन सेफ्टी अलर्ट 06-19 (USCG MSA 06-19) फरवरी 2019 की घटना को रेखांकित करता है, जिसमें एक गहरे ड्रॉफ्ट वाणिज्यिक पोत पर सवार था, जो एक महत्वपूर्ण साइबर घटना का अनुभव करने के बाद न्यूयॉर्क / न्यू जर्सी के बंदरगाह पर बुलाया गया था, जो कि उनके जहाज पर प्रभाव डालता था। नेटवर्क।

सुरक्षा चेतावनी भाग में कहा गया है:
“तटरक्षक बल के नेतृत्व में साइबर विशेषज्ञों की एक अंतर-टीम ने पोत के नेटवर्क और आवश्यक नियंत्रण प्रणालियों का विश्लेषण किया और जवाब दिया। टीम ने निष्कर्ष निकाला कि हालांकि मैलवेयर ने ऑनबोर्ड कंप्यूटर सिस्टम की कार्यक्षमता को काफी कम कर दिया था, लेकिन आवश्यक पोत नियंत्रण प्रणाली प्रभावित नहीं हुई थी। फिर भी, अंतर-प्रतिक्रिया प्रतिक्रिया में पाया गया कि पोत प्रभावी साइबर सुरक्षा उपायों के बिना काम कर रहा था, महत्वपूर्ण पोत नियंत्रण प्रणालियों को महत्वपूर्ण कमजोरियों को उजागर कर रहा था। "

यह घटना इस बात पर मूल्यवान मार्गदर्शन प्रदान करती है कि हमें टर्मिनलों, जहाजों और संबंधित बुनियादी ढांचे की सुरक्षा तत्परता का मूल्यांकन कैसे करना चाहिए। यह इस बात पर भी जोर देता है कि सुरक्षा अभ्यास और चालक दल के प्रशिक्षण को कैसे विकसित और संचालित किया जाना चाहिए। USCG MSA 06-19 की एक महत्वपूर्ण बात यह है कि तटरक्षक बल सभी पोत और सुविधा मालिकों और ऑपरेटरों को अपनी साइबर कमजोरियों की सीमा को बेहतर ढंग से समझने के लिए साइबर सुरक्षा आकलन करने के लिए दृढ़ता से प्रोत्साहित करता है। इसके लिए एक पोत और सुविधा की विशेष समीक्षा की आवश्यकता है क्योंकि प्रत्येक परिसंपत्ति में अद्वितीय जोखिम हो सकते हैं।
अच्छी खबर यह है कि इस समीक्षा को संचालित करने में मदद करने के लिए बहुत अच्छी मुफ्त संपत्ति उपलब्ध हैं। डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी साइबरस्पेस एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) वेबसाइट साइबर सिक्योरिटी संसाधनों और व्यवसायों के लिए सर्वोत्तम अभ्यास प्रदान करती है https://www.us-cert.gov/resources । अध्ययन किया जाना चाहिए कि एक संसाधन साइबर लचीलापन समीक्षा (CRR) है। CCR स्व-मूल्यांकन एक संगठन की साइबर लचीलापन क्षमताओं का एक माप प्रदान करता है और एक सहायक उपयोगकर्ता की मार्गदर्शिका प्रदान करता है जो स्व-मूल्यांकन करने, साइबर लचीलापन क्षमताओं का मूल्यांकन करने और अनुवर्ती गतिविधियों के लिए मार्गदर्शन प्रदान करने के बारे में जानकारी प्रदान करता है।

सीआरआर स्व-मूल्यांकन राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) साइबर स्पेस फ्रेमवर्क (सीएसएफ) के सापेक्ष अपनी क्षमताओं का आकलन करने के लिए एक संगठन को सक्षम बनाता है, और सीआरएस को एनआईएसटी सीएसएफ में मैप करने वाले एक क्रॉसवॉक दस्तावेज़ के एक घटक के रूप में शामिल किया गया है। सीआरआर स्व-मूल्यांकन किट।

साइबर सुरक्षा स्व-मूल्यांकन की शुरुआत है, लेकिन यह महत्वपूर्ण है कि पोर्ट और पोत सुरक्षा को बनाए रखने और बेहतर बनाने में मदद करने के लिए प्रशिक्षण और अभ्यास शामिल हैं। साइबर सुरक्षा प्रशिक्षण अमेरिका के लघु व्यवसाय प्रशासन वेबसाइट (https://www.sba.gov/course/cybersecurity-small-businesses/) पर उपलब्ध है।

साइबर सुरक्षा में सभी कर्मचारियों की भूमिका है और साइबर समग्र भौतिक सुरक्षा का एक महत्वपूर्ण घटक है। आईडी कार्ड और स्वाइप कार्ड सुविधा के उपयोग के लिए नियमित रूप से उपयोग किए जाते हैं और ये कई परिचालन प्रणालियों में से कुछ हैं जिन्हें साइबर घटना में समझौता किया जा सकता है। प्रशिक्षण को नए काम पर रखने और सभी कर्मचारियों को शामिल करने की आवश्यकता है। किसी भी व्यवसाय योजना के साथ, यह महत्वपूर्ण है कि परिचालन सुरक्षा की सफलता में ऊपरी प्रबंधन का निवेश किया जाए। यह रैंक और फ़ाइल इनपुट को हल करने और प्रतिक्रिया देने के लिए भी महत्वपूर्ण है। सबसे अच्छी प्रक्रिया वे हैं जिन्हें मजबूत भागीदारी और संचार के साथ विकसित किया जाता है, साथ ही नियमित समीक्षा और मूल्यांकन के अधीन किया जाता है। एक प्रक्रिया सिर्फ कागज पर अच्छी नहीं दिखनी चाहिए; यह भी कार्यात्मक होना चाहिए और एक वास्तविक आवश्यकता को संबोधित करना चाहिए।

रिश्तों को विकसित करने और मजबूत बनाने और ध्वनि प्रशिक्षण नींव स्थापित करने में मदद करने के लिए सुरक्षा अभ्यास में व्यावसायिक साझेदारों को शामिल करना भी महत्वपूर्ण है। एक संगठन के बाहर से प्रतिक्रिया प्राप्त करना एक मजबूत सुरक्षा मुद्रा विकसित करने और बनाए रखने के लिए महत्वपूर्ण है। एक वास्तविक घटना की स्थिति में एक पर्याप्त प्रतिक्रिया योजना महत्वपूर्ण है, और वास्तविक दुनिया की परिस्थितियों में प्रशिक्षण का संचालन करना महत्वपूर्ण है। इसका मतलब यह नहीं है कि सुरक्षा की घटना का जवाब देने के लिए केवल आईटी-आधारित प्रणालियों पर निर्भर होना चाहिए, बल्कि मैन्युअल बैकअप सिस्टम का उपयोग करना चाहिए। इसका मतलब यह भी है कि संचालन का मूल्यांकन करने की आवश्यकता है और स्वचालित सिस्टम उपलब्ध नहीं होने या उस पर निर्भर नहीं होने की स्थिति में परिचालन को कम करने के लिए बनाई गई योजनाएं।

जैसा कि हमारे एलियांज ग्लोबल कॉर्पोरेट एंड स्पेशियलिटी 2019 सेफ्टी एंड शिपिंग रिव्यू में कहा गया था, प्रौद्योगिकी अब समुद्री उद्योग में व्यापक है, और जहाजों, बंदरगाहों और रसद के संचालन के लिए महत्वपूर्ण है। समुद्री क्षेत्र में कनेक्टेड तकनीक का बढ़ता उपयोग सुरक्षा और दावों दोनों के लिए सकारात्मक होने की उम्मीद है। इलेक्ट्रॉनिक नेविगेशन टूल, शिप-टू-शोर संचार और सेंसर के अधिक उपयोग से नेविगेशन में सुधार करने और ग्राउंडिंग और टकराव से बचने में मदद करने की क्षमता है।

2017 में, अंतर्राष्ट्रीय समुद्री संगठन (IMO) ने सुरक्षा प्रबंधन प्रणालियों के संकल्प में अपने समुद्री साइबर जोखिम प्रबंधन को अपनाया, जिसके लिए जहाज मालिकों और प्रबंधकों को 2021 तक साइबर सुरक्षा प्रबंधन को जहाज सुरक्षा में शामिल करने की आवश्यकता है। हालांकि, यह एक मौजूदा खतरा है जिसकी आवश्यकता है अब तक कार्रवाई नहीं की गई, जब तक कि नियम प्रभावी नहीं हो जाते। जबकि नई तकनीक और इंटरनेट ऑफ थिंग्स ने कई नए एक्सपोजर और खतरों को पेश किया है, कई मायनों में वर्तमान सुरक्षा प्रशिक्षण उसी लक्ष्यों और उद्देश्यों को दर्शाता है जो 1980 के दशक में समुद्री जल में भापते समय हमारे पास थे; एक कठिन लक्ष्य पेश करें और एक योजना बनाएं जो मुंह में एक मुक्का मार सके।