Η κυβερνοασφάλεια και οι κίνδυνοι που ελλοχεύουν αφορούν στο σύνολο της εταιρικής δομής και λειτουργίας και δεν περιορίζονται στα τμήματα τεχνολογίας
Η PwC Ελλάδας ανέδειξε το σημαντικό θέμα της κυβερνοασφάλειας για την ναυτιλία, καλώντας σε συνάντηση ανοιχτού διαλόγου COO, CIO και Εσωτερικούς Ελεγκτές ναυτιλιακών εταιρειών.
Μέσα από την έκφραση διαφορετικών απόψεων και εμπειριών, η συνάντηση είχε στόχο την ευαισθητοποίηση των ναυτιλιακών εταιρειών και των στελεχών τους αναφορικά με τις προκλήσεις στον τομέα της κυβερνοασφάλειας και την ανάδειξη του θέματος σε επίπεδο Πλοιοκτητών και Διοικητικών Συμβουλίων καθώς και την παροχή υποστήριξης στον πρωταρχικό τους ρόλο που είναι η προστασία των εταιρειών τους από τις κυβερνοεπιθέσεις
Η Santos Equitz, Shipping Industry Leader, PwC Ελλάδας και ο Γιώργος Κολλιδάς, Director, Technology Consulting, PwC Ελλάδας, ανέπτυξαν την ατζέντα της συζήτησης, ενώ ο Nicholas Karlsen, Senior Security Advisor, PwC Δανίας, μοιράστηκε με τους συμμετέχοντες παραδείγματα από πραγματικά περιστατικά στον χώρο της ναυτιλίας και συζήτησε μαζί τους τις αλυσιδωτές επιπτώσεις που μπορεί να έχουν οι κυβερνοεπιθέσεις στις εταιρείες.
Η συζήτηση ανοιχτού διαλόγου οδήγησε σε μία σειρά από σημαντικά συμπεράσματα, τοποθετώντας ψηλά στη λίστα των προτεραιοτήτων την υιοθέτηση μιας ολιστικής προσέγγισης για την διαχείριση της κυβερνοασφάλειας ως επιχειρηματικού ρίσκου. Κρίσιμης σημασίας είναι και η έγκαιρη επικοινωνία προς τους πλοιοκτήτες και τα Διοικητικά Συμβούλια των αναδυόμενων κινδύνων και απειλών, ανά περίπτωση, έτσι ώστε να τους δοθεί η απαραίτητη βαρύτητα και ο κατάλληλος χειρισμός. Όπως προέκυψε, υπάρχει ένα αρκετά μεγάλο κενό μεταξύ των υψηλόβαθμων στελεχών των ναυτιλιακών εταιρειών και των στελεχών τεχνολογίας αναφορικά με την κατανόηση των κινδύνων που σχετίζονται με την κυβερνοασφάλεια. Η γεφύρωση αυτού του κενού είναι υψίστης σημασίας ώστε να διασφαλιστεί η ορθή εκτίμηση των επιχειρηματικών κινδύνων από τη διοίκηση και η υλοποίηση άμεσων και αποτελεσματικών δράσεων για την αντιμετώπιση τους.
Κατά την διάρκεια της συζήτησης, επισημάνθηκε επίσης το γεγονός ότι όσο πιο “ψηφιακά” γίνονται τα πλοία και όσο λιγότερο επανδρωμένα είναι, οι απαιτήσεις για κυβερνοασφάλεια και ασφάλεια των δεδομένων αυξάνονται δραστικά και γίνονται ολοένα και πιο πολύπλοκες. Ως εκ τούτου, η αντιμετώπιση θεμάτων που σχετίζονται με την κυβερνοασφάλεια είναι σημαντικό να αποτελούν μία κοινή εταιρική προσπάθεια με την εμπλοκή από τα πιο υψηλόβαθμα στελέχη εώς τα πιο χαμηλοβαθμα, οι νομικές υπηρεσίες, οι υπηρεσίες επιχειρηματικής λειτουργίας, συμμόρφωσης, ρίσκου, τεχνολογίας και ελέγχου.
Επιπλέον, τα συστήματα πληροφοριών και επιχειρησιακών λειτουργιών των πλοίων (Operational Technology - OT) αποτελούν μία από τις μεγαλύτερες προκλήσεις τις οποίες καλούνται να αντιμετωπίσουν οι ναυτιλιακές εταιρείες. Λόγω της ψηφιοποίησης των πλοίων, τα συστήματα τεχνολογίας και λειτουργιών που βρίσκονται εγκατεστημένα σε αυτά έχουν αρχίσει να συγκλίνουν και να επικοινωνούν μεταξύ τους. Αυτή η σύγκλιση αυξάνει την έκθεση των πλοίων σε κυβερνοεπιθέσεις οι οποίες μπορεί να έχουν σημαντικές επιπτώσεις σε βασικές υποδομές τους. Σε γενικές γραμμές, υπάρχει αφθονία τέτοιων συστημάτων χωρίς όμως να υπάρχει πλάνο διαχείρησής τους σε περίπτωση κυβερνοεπιθέσεων, κάτι το οποίο χρειάζεται να γίνει άμεσα αντιληπτό και να αντιμετωπιστεί κατάλληλα από τις εταιρείες.
Τα στελέχη της PwC επισήμαναν επίσης, την σημασία της “ανθεκτικότητας” των λογισμικών που χρησιμοποιούνται για την διαχείριση των σχετικών κινδύνων απέναντι σε κυβερνοεπιθέσεις. Οι εταιρείες που παράγουν λογισμικό και εφαρμογές για τα πλοία αποτελούν ένα πολύ σημαντικό μέρος του οικοσυστήματος της ναυτιλίας και είναι σημαντικό να έχουν μία σωστά δομημένη και ξεκάθαρη προσέγγιση όσον αφορά στην κυβερνοασφάλεια. Αντίστοιχα, σημαντικός είναι και ο ρόλος των ρυθμιστικών αρχών και των φορέων χάραξης σχετικών πολιτικών στην όλη διαδικασία.
Τέλος, είναι χρήσιμο οι εταιρείες να λάβουν υπόψη τους τα διαθέσιμα εκπαιδευτικά προγράμματα για την ενημέρωση των ναυτικών σχετικά με τις κυβερνοεπιθέσεις, έτσι ώστε να είναι σε θέση και εκείνοι να υποστηρίξουν τις προσπάθειες αποτροπής των πλοίων ως σημεία εισόδου τυχόν κυβερνοεπιθέσεων που στοχεύουν τα εταιρικά δίκτυα. Σημαντική είναι επίσης η πραγματοποίηση περιοδικών ανεξάρτητων διαγνωστικών ελέγχων των συστημάτων τους έτσι ώστε να γίνει η κατάλληλη εκτίμηση των μέτρων που έχουν ληφθεί συγκριτικά με τις διεθνείς καλές πρακτικές.
Η κα Santos Equitz, Shipping Industry Leader, PwC Ελλάδας σχολίασε:
“Το εξαιρετικά σημαντικό θέμα της κυβερνοασφάλειας για τις ναυτιλιακές εταιρείες αναδείχθηκε ως προτεραιότητα από τους Προέδρους των Ελεγκτικών Επιτροπών ναυτιλιακών εταιρειών εισηγμένων στο χρηματιστήριο των ΗΠΑ, κατά την διάρκεια εκδήλωσης της PwC με τίτλο “Audit Committee Effectiveness: Going from Good to Great” η οποία πραγματοποιήθηκε στην Αθήνα, στις αρχές του Ιουνίου 2019. Πλέον, η PwC Ελλάδας προχωράει ακόμα ένα βήμα όσον αφορά την ανάδειξη της σημασίας της κυβερνοασφάλειας για τις ναυτιλιακές εταιρείες. Η συνάντηση ανοιχτού διαλόγου που διοργανώσαμε, απέδειξε έμπρακτα ότι η κυβερνοασφάλεια είναι ένα από τα πιο σημαντικά θέματα που καλούνται να αντιμετωπίσουν άμεσα οι ναυτιλιακές τόσο σε εταιρικό επίπεδο όσο και σε επιπεδο των ίδιων των πλοίων τους”.
Ο κος Γιώργος Κολλιδάς, Director, Technology Consulting, PwC Ελλάδας πρόσθεσε:
“Στην PwC, πιστεύουμε ότι τα θέματα κυβερνοασφάλειας πρέπει να είναι πρώτη προτεραιότητα για τις ναυτιλιακές εταιρείες και πολύ υψηλά στην ατζέντα εκείνων που παίρνουν τις αποφάσεις σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν. Η ευαισθητοποίηση και ενημέρωση των ναυτιλιακών εταιρειών και των στελεχών τους, η προτροπή να ελέγξουν την ετοιμότητά των συστημάτων τους σε περίπτωση κυβερνοεπίθεσης καθώς και η επισήμανση για την ανάγκη άμεσης δημιουργίας αποτελεσματικών προγραμμάτων κυβερνοασφάλειας, είναι όλα μέρος του ρόλου μας και της προσπάθειά μας να βοηθήσουμε τις ναυτιλιακές εταιρείες να αντιμετωπίσουν αυτό το τόσο σημαντικό θέμα. Οι ρυθμιστικές αρχές θα πρέπει επίσης να παρέχουν ξεκάθαρες οδηγίες για την διαχείριση των κινδύνων σε όλο το εύρος του οικοσυστήματος της ναυτιλίας, από τις ναυτιλιακές εταιρείες έως τις αρχές των λιμένων και τις εταιρείες που παράγουν σχετικό λογισμικό”.
www.worldenergynews.gr
Μέσα από την έκφραση διαφορετικών απόψεων και εμπειριών, η συνάντηση είχε στόχο την ευαισθητοποίηση των ναυτιλιακών εταιρειών και των στελεχών τους αναφορικά με τις προκλήσεις στον τομέα της κυβερνοασφάλειας και την ανάδειξη του θέματος σε επίπεδο Πλοιοκτητών και Διοικητικών Συμβουλίων καθώς και την παροχή υποστήριξης στον πρωταρχικό τους ρόλο που είναι η προστασία των εταιρειών τους από τις κυβερνοεπιθέσεις
Η Santos Equitz, Shipping Industry Leader, PwC Ελλάδας και ο Γιώργος Κολλιδάς, Director, Technology Consulting, PwC Ελλάδας, ανέπτυξαν την ατζέντα της συζήτησης, ενώ ο Nicholas Karlsen, Senior Security Advisor, PwC Δανίας, μοιράστηκε με τους συμμετέχοντες παραδείγματα από πραγματικά περιστατικά στον χώρο της ναυτιλίας και συζήτησε μαζί τους τις αλυσιδωτές επιπτώσεις που μπορεί να έχουν οι κυβερνοεπιθέσεις στις εταιρείες.
Η συζήτηση ανοιχτού διαλόγου οδήγησε σε μία σειρά από σημαντικά συμπεράσματα, τοποθετώντας ψηλά στη λίστα των προτεραιοτήτων την υιοθέτηση μιας ολιστικής προσέγγισης για την διαχείριση της κυβερνοασφάλειας ως επιχειρηματικού ρίσκου. Κρίσιμης σημασίας είναι και η έγκαιρη επικοινωνία προς τους πλοιοκτήτες και τα Διοικητικά Συμβούλια των αναδυόμενων κινδύνων και απειλών, ανά περίπτωση, έτσι ώστε να τους δοθεί η απαραίτητη βαρύτητα και ο κατάλληλος χειρισμός. Όπως προέκυψε, υπάρχει ένα αρκετά μεγάλο κενό μεταξύ των υψηλόβαθμων στελεχών των ναυτιλιακών εταιρειών και των στελεχών τεχνολογίας αναφορικά με την κατανόηση των κινδύνων που σχετίζονται με την κυβερνοασφάλεια. Η γεφύρωση αυτού του κενού είναι υψίστης σημασίας ώστε να διασφαλιστεί η ορθή εκτίμηση των επιχειρηματικών κινδύνων από τη διοίκηση και η υλοποίηση άμεσων και αποτελεσματικών δράσεων για την αντιμετώπιση τους.
Κατά την διάρκεια της συζήτησης, επισημάνθηκε επίσης το γεγονός ότι όσο πιο “ψηφιακά” γίνονται τα πλοία και όσο λιγότερο επανδρωμένα είναι, οι απαιτήσεις για κυβερνοασφάλεια και ασφάλεια των δεδομένων αυξάνονται δραστικά και γίνονται ολοένα και πιο πολύπλοκες. Ως εκ τούτου, η αντιμετώπιση θεμάτων που σχετίζονται με την κυβερνοασφάλεια είναι σημαντικό να αποτελούν μία κοινή εταιρική προσπάθεια με την εμπλοκή από τα πιο υψηλόβαθμα στελέχη εώς τα πιο χαμηλοβαθμα, οι νομικές υπηρεσίες, οι υπηρεσίες επιχειρηματικής λειτουργίας, συμμόρφωσης, ρίσκου, τεχνολογίας και ελέγχου.
Επιπλέον, τα συστήματα πληροφοριών και επιχειρησιακών λειτουργιών των πλοίων (Operational Technology - OT) αποτελούν μία από τις μεγαλύτερες προκλήσεις τις οποίες καλούνται να αντιμετωπίσουν οι ναυτιλιακές εταιρείες. Λόγω της ψηφιοποίησης των πλοίων, τα συστήματα τεχνολογίας και λειτουργιών που βρίσκονται εγκατεστημένα σε αυτά έχουν αρχίσει να συγκλίνουν και να επικοινωνούν μεταξύ τους. Αυτή η σύγκλιση αυξάνει την έκθεση των πλοίων σε κυβερνοεπιθέσεις οι οποίες μπορεί να έχουν σημαντικές επιπτώσεις σε βασικές υποδομές τους. Σε γενικές γραμμές, υπάρχει αφθονία τέτοιων συστημάτων χωρίς όμως να υπάρχει πλάνο διαχείρησής τους σε περίπτωση κυβερνοεπιθέσεων, κάτι το οποίο χρειάζεται να γίνει άμεσα αντιληπτό και να αντιμετωπιστεί κατάλληλα από τις εταιρείες.
Τα στελέχη της PwC επισήμαναν επίσης, την σημασία της “ανθεκτικότητας” των λογισμικών που χρησιμοποιούνται για την διαχείριση των σχετικών κινδύνων απέναντι σε κυβερνοεπιθέσεις. Οι εταιρείες που παράγουν λογισμικό και εφαρμογές για τα πλοία αποτελούν ένα πολύ σημαντικό μέρος του οικοσυστήματος της ναυτιλίας και είναι σημαντικό να έχουν μία σωστά δομημένη και ξεκάθαρη προσέγγιση όσον αφορά στην κυβερνοασφάλεια. Αντίστοιχα, σημαντικός είναι και ο ρόλος των ρυθμιστικών αρχών και των φορέων χάραξης σχετικών πολιτικών στην όλη διαδικασία.
Τέλος, είναι χρήσιμο οι εταιρείες να λάβουν υπόψη τους τα διαθέσιμα εκπαιδευτικά προγράμματα για την ενημέρωση των ναυτικών σχετικά με τις κυβερνοεπιθέσεις, έτσι ώστε να είναι σε θέση και εκείνοι να υποστηρίξουν τις προσπάθειες αποτροπής των πλοίων ως σημεία εισόδου τυχόν κυβερνοεπιθέσεων που στοχεύουν τα εταιρικά δίκτυα. Σημαντική είναι επίσης η πραγματοποίηση περιοδικών ανεξάρτητων διαγνωστικών ελέγχων των συστημάτων τους έτσι ώστε να γίνει η κατάλληλη εκτίμηση των μέτρων που έχουν ληφθεί συγκριτικά με τις διεθνείς καλές πρακτικές.
Η κα Santos Equitz, Shipping Industry Leader, PwC Ελλάδας σχολίασε:
“Το εξαιρετικά σημαντικό θέμα της κυβερνοασφάλειας για τις ναυτιλιακές εταιρείες αναδείχθηκε ως προτεραιότητα από τους Προέδρους των Ελεγκτικών Επιτροπών ναυτιλιακών εταιρειών εισηγμένων στο χρηματιστήριο των ΗΠΑ, κατά την διάρκεια εκδήλωσης της PwC με τίτλο “Audit Committee Effectiveness: Going from Good to Great” η οποία πραγματοποιήθηκε στην Αθήνα, στις αρχές του Ιουνίου 2019. Πλέον, η PwC Ελλάδας προχωράει ακόμα ένα βήμα όσον αφορά την ανάδειξη της σημασίας της κυβερνοασφάλειας για τις ναυτιλιακές εταιρείες. Η συνάντηση ανοιχτού διαλόγου που διοργανώσαμε, απέδειξε έμπρακτα ότι η κυβερνοασφάλεια είναι ένα από τα πιο σημαντικά θέματα που καλούνται να αντιμετωπίσουν άμεσα οι ναυτιλιακές τόσο σε εταιρικό επίπεδο όσο και σε επιπεδο των ίδιων των πλοίων τους”.
Ο κος Γιώργος Κολλιδάς, Director, Technology Consulting, PwC Ελλάδας πρόσθεσε:
“Στην PwC, πιστεύουμε ότι τα θέματα κυβερνοασφάλειας πρέπει να είναι πρώτη προτεραιότητα για τις ναυτιλιακές εταιρείες και πολύ υψηλά στην ατζέντα εκείνων που παίρνουν τις αποφάσεις σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν. Η ευαισθητοποίηση και ενημέρωση των ναυτιλιακών εταιρειών και των στελεχών τους, η προτροπή να ελέγξουν την ετοιμότητά των συστημάτων τους σε περίπτωση κυβερνοεπίθεσης καθώς και η επισήμανση για την ανάγκη άμεσης δημιουργίας αποτελεσματικών προγραμμάτων κυβερνοασφάλειας, είναι όλα μέρος του ρόλου μας και της προσπάθειά μας να βοηθήσουμε τις ναυτιλιακές εταιρείες να αντιμετωπίσουν αυτό το τόσο σημαντικό θέμα. Οι ρυθμιστικές αρχές θα πρέπει επίσης να παρέχουν ξεκάθαρες οδηγίες για την διαχείριση των κινδύνων σε όλο το εύρος του οικοσυστήματος της ναυτιλίας, από τις ναυτιλιακές εταιρείες έως τις αρχές των λιμένων και τις εταιρείες που παράγουν σχετικό λογισμικό”.
www.worldenergynews.gr
