Według danych „The State of Cyber Resilience 2022 Report” w ostatnim roku obiektem cyberataku było aż 73% organizacji na świecie, ale tylko 41% z nich angażuje się w tworzenie planów oceny ryzyka cybernetycznego działy prawne, finansowe, operacyjne i zarządzania łańcuchem dostaw. Ponadto jedynie 26% respondentów stwierdziło, że ich organizacja stosuje mierniki finansowe w zakresie oceny ryzyka cybernetycznego, zaś 53% organizacji uważa, że największą barierą w ocenie ryzyka cybernetycznego jest brak odpowiednich umiejętności, aby to zrobić.
Z kolei według „Global Cyber Risk Perception Survey Raport 2019” 79% respondentów uznało ryzyko cybernetyczne za jedno z pięciu głównych ryzyk dla firmy, w porównaniu z 62% w 2017 r. A zaufanie przedsiębiorstw do swoich możliwości ochrony cybernetycznej spadło w każdym z trzech krytycznych obszarów cyberodporności:
Jak sytuacja ta wygląda w gospodarce morskiej i logistyce? Jaki jest stan świadomości branży w tym zakresie i jaki jest stan zabezpieczeń przeciw incydentom? Właśnie na ten temat będziemy dyskutowali w trakcie konferencji „Cyberbezpieczeństwo w gospodarce morskiej”, która odbędzie się 14 marca 2023 r. w Courtyard Gdynia by Marriot. W dyskusji planujemy zająć się zarówno tematami stricte związanymi z bezpieczeństwem rozwiązań IT i OT w sektorze, szczególnie w obecnej, napiętej sytuacji geopolitycznej, jak i kwestiami prawnymi oraz bezpieczeństwem całego łańcucha dostaw.
Tym bardziej że zgodnie z przyjętą w styczniu br. nową unijną dyrektywą NIS2 regulującą kwestie cyberbezpieczeństwa na gruncie Unii Europejskiej, szczególnie dotyczące infrastruktury krytycznej, wprowadzona zostanie tzw. samoidentyfikacja podmiotów. To nie organy właściwe określać będą kryteria, na podstawie których firmy będą podlegały pod zapisy dyrektywy, jak operator usług kluczowych. Każdy podmiot operujący w danym sektorze i będący przynajmniej średnim przedsiębiorstwem będzie podlegał pod te zapisy. Państwa członkowskie mają natomiast stworzyć mechanizm, który pozwoli tym podmiotom na samonotyfikację, czyli przekazanie administracji publicznej swoich danych kontaktowych i nazwy sektora, w którym operują, oraz określenie usług, które świadczą. To podejście oznacza także rezygnację z określania tzw. usług kluczowych i nakłada na operatorów konieczność szacowania ryzyka teleinformatycznego dla całej organizacji, co będzie przedmiotem kontroli. Oznacza to, że nie tylko więcej podmiotów w sektorze będzie podlegać pod zapisy dyrektywy, ale także zapisy te obejmować będą wszystkie usługi, a nie tylko te określane dotąd jako kluczowe.
Obejmie to również sektor gospodarki morskiej, w tym porty, dla których, jak wiadomo, unijna agencja ds. cyberbezpieczeństwa ENISA przygotowała w 2019 r. zestaw tzw. dobrych cyberpraktyk, zwracając też uwagę na podatności i możliwe incydenty (Interception of emissions, Interception of sensitive data, Man-in-the-middle czy Denial of service, Targeted attacks, Malware) oraz scenariusze potencjalnych ataków wraz z ich konsekwencjami (m.in. przejęcie krytycznych danych w celu kradzieży ładunku o dużej wartości lub umożliwienia nielegalnego handlu poprzez ukierunkowany atak, rozpowszechnianie oprogramowania ransomware prowadzące do całkowitego wstrzymania operacji portowych, unieruchomienie systemów OT powodujące poważną awarię na obszarach portowych). W trakcie spotkania porozmawiamy także o tym, które z nich mogą być najgroźniejsze dla sektora i jak się przy nimi chronić.
Specjaliści zwracają też uwagę na zagrożenia APT (advanced persistent threat), w szczególności gałąź nation-state sponsored, szczególnie w obecnej sytuacji geopolitycznej. Według raportów publikowanych m.in. przez Mandiant, amerykańską firmę zajmującą się cyberbezpieczeństwem, ta forma zagrożeń jest nie tylko jedną z najpoważniejszych w skutkach, ale również najtrudniejszą w zwalczaniu. Co czyni ten rodzaj cyberataków tak niebezpiecznym? W jaki sposób branża morska może bronić się przed APT?
Dodatkowych elementem konferencji będą warsztaty i gry strategiczne, które z jednej strony będą nawiązaniem do tematyki poruszanej w trakcie konferencji, a z drugiej będą okazją do sprawdzenia w praktyce zdobytej w trakcie dyskusji wiedzy. Jedna z gier poruszać będzie temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz nowej unijnej dyrektywy NIS2. Uczestnicy wcielą się w role przedstawicieli operatorów usług kluczowych i będą budowali dojrzałość swojej organizacji w obszarze cyberbezpieczeństwa. Oprócz praktycznej wiedzy gra dostarcza wielu emocji. Nie brakuje „zdarzeń losowych”, które mogą okazać się kartami incydentów teleinformatycznych, z którymi gracze będą musieli się zmierzyć! Wygrywa gracz, który zdobędzie największą liczbę punktów cyberbezpieczeństwa, a tym samym najlepiej przygotuje swoją organizację do realiów cyberprzestrzeni.
Współorganizatorem konferencji „Cyberbezpieczeństwo w gospodarce morskiej” są „Namiary na Morze i Handel”. Partnerem strategicznym wydarzenia jest EY, partnerami głównymi Zarząd Morskiego Portu Gdańsk i Zarząd Morskiego Portu Gdynia, partnerem srebrnym Terramar, a partnerami: Polski PCS, Hutchison Ports Gdynia i Polferries. Konferencja odbędzie się ramach dwunastej edycji spotkania Transport Week, zaplanowanego na 14-15 marca br., którego organizatorem tradycyjnie jest Actia Forum (więcej informacji: www.namiary.pl, www.transportweek.eu).
