​

Gemilerde; sayısallaştırma, entegrasyon ve otomasyona dayalı,  siber risk yönetimi uygulaması gerektiren sistemlerin kullanımında artış görülmektedir. Teknoloji gelişmeye devam ederken, gemilerdeki bilgi teknolojisi (BT) ve operasyonel teknolojiler (OT) birbirleriyle entegre olmakta  ve bu sistemlerle daha sık internete bağlanılmaktadır.

Bu, gemilerin sistemlerine ve ağlarına izinsiz erişimi veya kötü amaçlı saldırı riskini artırmaktadır. Riskler, gemideki personel erişim sistemlerinden de oluşabilir, örneğin harici bellek aracılığıyla kötü amaçlı yazılımlar açığa çıkabilir.

Siber bir olaya hazırlıklı olmamanın güvenlik, çevresel ve ticari sonuçları büyük olabilir. Çok sayıda paydaşın desteğiyle bir grup uluslararası deniz taşımacılığı kuruluşu, artan siber tehdidine karşılık şirketlerin siber güvenliğine esnek yaklaşımlar geliştirmelerine yardımcı olmak maksadıyla bir kılavuz geliştirdi.

Siber güvenliğe yaklaşımlar şirkete ve gemiye özel olmalı, bunun yanında uygun standartlar ve ilgili ulusal yönetmeliklerin gereklerine göre yönlendirilmelidir. Kılavuzlar siber tehditleri tanımlamak ve bunlara cevap vermek için risk temelli bir yaklaşım sunmaktadır. Önemli bir hususta, ilgili personelin siber saldırıların oluşumuna özgü işleyişin tanımlanabilmesi yönünde bir eğitime sahip olması gerektiğidir.

Uluslararası Denizcilik Örgütü (IMO), taşımacılığı mevcut ve yeni ortaya çıkan siber tehditler ve güvenlik açıklarına karşı güvence altına almak için denizcilikte siber risk yönetimi konusunda üst düzey öneriler sunan kılavuzlar[1] geliştirmiştir. "Gemide Siber Güvenlik"  Kılavuzu, IMO yönergeleriyle uyumludur ve siber güvenlik ve siber güvenliği kapsayan denizcilik siber risk yönetimi hakkında pratik öneriler sunar.

Bu belgenin amacı, gemi sahiplerine ve işletmecilerine operasyonlarını nasıl değerlendirecekleri konusunda gemilerdeki siber sistemlerin güvenliğini sağlamak için gerekli prosedürlerin ve eylemlerin hayata geçirilmesine rehberlik etmektir. Kılavuzlar, şirketler ve gemiler tarafından siber güvenliğe yönelik alınan bireysel yaklaşımın denetlenmesi için bir temel sağlamayı amaçlamamaktadır.

1)      Siber güvenlik ve güvenlik yönetimi:

Siber emniyet, siber güvenlik kadar önemlidir. Her ikisi de gemide çalışan personel, gemi ve kargo güvenliğini etkileme potansiyeline sahiptir. Siber güvenlik, BT, OT ve verilerin yetkisiz erişime, manipülasyona ve bozulmaya karşı korunmasıyla ilgilidir. Siber emniyet, güvenlik açısından kritik verilerin ve OT'nin kullanılabilirliğinin veya bütünlüğünün kaybedilmesi risklerini kapsamaktadır.

1. Plan ve prosedürler:
   
   Siber risk yönetimi için şirket planları ve prosedürleri, ISM Kod[2] ve ISPS Kod[3]'ta bulunan mevcut güvenlik ve emniyet riski yönetimi gerekliliklerini tamamlayıcı nitelikte olmalıdır. Geminin güvenli ve verimli çalışması için gerekli emniyet ve güvenlik kültürünün içsel bir parçası olarak, üst düzey yönetimden karaya tüm personele kadar şirketin tüm seviyelerinde siber güvenlik göz önünde bulundurulmalıdır.
2. Derinlik ve genişlik içerisinde savunma:
   
   Birden fazla teknik veya koruma prosedürü önlemleri kullanılması kaçınılmazdır. Kritik sistemler ve verilerin korunması için  kişisel, prosedürler ve teknolojinin rolü dikkate alınarak çok katmanlı önlemler alınmalıdır.

2)      Tehditlerin Tanımlanması:

Siber risk şirkete, gemiye, işletmeye ve / veya ticarete özeldir. Riski değerlendirirken, şirketlerin siber olaylara karşı savunmasızlıklarını artırabilecek operasyonlarının belirli yönlerinden haberdar olmaları gerekmektedir. Bu aşamada ise, siber güvenlikte mümkün olabilecek tüm tehditler ve önlemleri açıklanmaya çalışılmıştır.

3)      Güvenlik açıklarının tanımlanması:

Bir deniz taşımacılığı şirketinin başlangıçta gerçekçi olarak karşılaşılabilecek potansiyel tehditlerin bir değerlendirmesini yapması önerilmektedir. Bunu, gemideki sistemlerin ve prosedürlerin mevcut tehdit seviyelerine karşı dayanıklılığını ortaya çıkarmak için değerlendirilmesi takip etmelidir. Savunmasızlık değerlendirmeleri daha sonra üst yönetim seviyesinde bir tartışma / çalışmanın temeli olarak hizmet etmelidir. İç uzmanlar tarafından kolaylaştırılabilir ya da denizcilik endüstrisi ve kilit süreçleri hakkında bilgi sahibi olan dış uzmanlar tarafından desteklenebilir, bu da temel riskler etrafında bir strateji ortaya çıkarır.

           3.1 Gemi ve kıyı ara yüzlerinin bağlantısı:

          Dijital iletişim, iş yapmak, operasyonları yönetmek ve merkez ofisle irtibat halinde kalmak                    için kullanıldığından, gemiler kıyı operasyonları ile daha fazla bütünleşiyor. Ayrıca, seyir, güç ve kargo yönetiminin güvenliği için gerekli olan kritik gemi sistemleri, çok çeşitli yasal işlevler gerçekleştirmek için giderek daha fazla dijital hale getirilmiş ve internete bağlanmıştır.

4)      Maruz kalınan risklerin değerlendirilmesi:

Siber güvenlik değerlendirmesi için hesap verebilirlik ve sahiplik, bir şirketin üst düzey yönetim seviyesinde, gemi güvenlik görevlisine veya BT departmanının başkanına derhal teslim edilmek yerine, başlaması gerekliliği ve bunların nedenleri bu kısımda detaylı bir şekilde açıklanmıştır.

4.1 Şirket tarafından yapılan risk değerlendirmesi:

Şirketler siber güvenliği ele almak için mevcut olan teknik ve prosedürel kontrolleri anlamak için yerleşik donanım ve sistem üreticilerine ve hizmet sağlayıcılarına danışabilirler. Ayrıca, kritik bir sistemin veya bileşenin fabrika standardı yapılandırmasındaki tespit edilen herhangi bir siber güvenlik açığı, gelecekte ekipmanın daha iyi korunmasını sağlamak için açıklanmalıdır.

4.2 Üçüncü kişi risk değerlendirilmesi:

Öz değerlendirmeler iyi bir başlangıç olarak hizmet edebilir, ancak daha derinlemesine çalışmak için üçüncü bir göz tarafından yapılan risk değerlendirmeleri ile tamamlanabilir ve öz değerlendirme sırasında bulunamayan riskleri ve boşlukları belirleyebilir.

4.3 Risk değerlendirme süreci:

Bu kısımda risk değerlendirmesi sürecinin evreleri detaylı bir şekilde açıklanmıştır.

-  Ön değerlendirme faaliyetleri aşaması

-  Gemi değerlendirmesi aşaması

- Bilgilendirme ve güvenlik açığı gözden geçirme / raporlama aşaması

- Üretici bilgilendirme aşaması

5)      Koruma ve tespit tedbirlerinin geliştirilmesi:

Üst yönetimin risk değerlendirmesinin ve müteakip şirketin siber güvenlik stratejisinin sonucu, gerekirse, risk azaltma olmalıdır. Teknik düzeyde, bu, kararlaştırılan bir düzeyde siber güvenliğin tesis edilmesi ve sürdürülmesi için uygulanacak gerekli eylemleri içerecektir. Siber güvenliğin gemide nasıl yönetileceğini ve sorumluluğu üstleniciye, sorumlu görevlilere ve belki de şirket güvenlik görevlisine devretmek önemlidir. Bu kısımda, koruma ve tespitlerin en iyi şekilde nasıl geliştirilmesi ve yönetilmesi gerektiği detaylı bir şekilde anlatılmaya çalışılmıştır.

5.1 Teknik koruma önlemleri:

İnternet Güvenliği Merkezi (CIS) siber güvenlik açıklarını ele almak için kullanılabilecek önlemler hakkında rehberlik sağlar. Koruma önlemleri, şirketlerin savunmalarını değerlendirme ve iyileştirme konusunda etkili bir yaklaşım sağladıklarından emin olmak için önceliklendirilen ve denetlenen bir Kritik Güvenlik Denetimleri (CSC) listesi içerir. CSC'ler hem teknik hem de prosedürsel yönleri içerir.

5.2 Prosedürel koruma önlemleri:

Prosedürel kontroller, personelin yerleşik sistemleri nasıl kullandığı üzerine odaklanmıştır. Hassas bilgiler içeren planlar ve prosedürler gizli tutulmalı ve şirket politikalarına göre ele alınmalıdır.

6)      Acil durum planlarının oluşturulması:

Gemilerde uygulama için beklenmedik durum planları hazırlanırken, özellikle BT ve OT sistemleri için herhangi bir siber olayın öneminin anlaşılması ve buna göre müdahale eylemlerinin önceliklendirilmesi önemlidir. Bu durumların neler olduğu, nasıl önlemler alınması gerektiği ve yapılması gerekenler bu madde altında detaylı bir şekilde açıklanmıştır.

7)      Siber Güvenlik olaylarına yanıt verilmesi ve kurtarılması:

Siber olayların kendiliğinden ortadan kalkmayacağını anlamak önemlidir. Örneğin, ECDIS kötü amaçlı yazılım bulaşmışsa, yedek ECDIS'i başlatmak başka bir siber olaya neden olabilir. Bu nedenle, enfekte olmuş sistemlerin temizliğinin ve geri yüklenmesinin nasıl gerçekleştirileceğini planlaması tavsiye edilir. Bu planlar ve alınması gereken önlemler bu başlık altındaki maddelerde açıklanmıştır.

7.1 Etkili yanıtlar:

Geminin normal operasyonlarına devam edebilmesi için IT ve / veya OT sistemlerini geri yüklemek için gerekli önlemleri almak üzere, yerleşik ve kıyıya dayalı personelin ve / veya dış uzmanların bir kombinasyonunu içerebilen bir ekip oluşturulmalıdır. Ekip, müdahalenin tüm yönlerini yerine getirebilmelidir. Var olması gereken en etkili önlem ve cevaplar madde madde bu başlığın altında incelenmiştir

7.2 Kurtarma planı:

Kurtarma planları gemide ve karada basılı kopyalarda bulunmalıdır. Planın amacı, BT ve OT'yi operasyonel duruma geri getirmek için gerekli sistemlerin ve verilerin kurtarılmasını desteklemektir. Gemideki personelin güvenliğini sağlamak için, gemide operasyon ve navigasyona öncelik verilmelidir. Kurtarma planı, siber güvenliğinden sorumlu personel tarafından anlaşılmalıdır. Bir kurtarma planının detayı ve karmaşıklığı, geminin türüne ve gemide kurulu olan IT, OT ve diğer sistemlere bağlı olacaktır. Kurtarma planının nasıl olması gerektiği ve örnekleri kılavuzun bu maddesinde açıklanmıştır.

7.3 Siber vakaların araştırılması:

Siber bir olayı araştırmak, bir güvenlik açığının kullanım şekli hakkında değerli bilgiler sağlayabilir. Şirketler, mümkün olan yerlerde, şirket prosedürlerine uygun olarak BT ve OT'yi etkileyen siber olayları araştırmalıdır. Detaylı bir araştırma harici uzman desteği gerektirebilir. Araştırmanın nasıl sonuçlanması maddeler halinde kılavuzun bu başlığında açıklanmıştır.

7.4 Siber bir olaydan kaynaklanan kayıplar:

Sigortacılar için "siber" terimi birçok farklı yönü kapsamaktadır ve bunlar ile sigorta kapsamı üzerindeki etkilerini ayırt etmek önemlidir. Ayrıca, sigorta şirketlerinin genel anlayışına göre, siber bir olaydan kaynaklanan gemiler için sistemik bir risk bulunmadığının ve bir olayın büyük olasılıkla tek bir gemiyle sınırlı olması beklenen bir etkinin olacağı unutulmamalıdır. Şirketler, belirli deniz dışı sigorta kapsamının, veri kaybını ve sonuçta ortaya çıkan para cezalarını ve donanım arızasından kaynaklanan cezaları kapsayacak şekilde mevcut olabileceğini bileceklerdir. Şirketler siber riskin yönetilmesi ve geminin siber bir olaydan kaynaklanabilecek herhangi bir zarardan korunması için yaklaşımlarında makul özen gösterdiklerini gösterebilmelidir. Bu kısımda görülebilecek olaylar ve örnekleri verilmiştir.

Serbest çeviri ve özet olarak hazırlanmış olan bu yazının "Kılavuz" olarak yayımlanmış tamamına aşağıdaki  kaynak linkinden ulaşılabilmektedir.

Kaynak:http://www.ics-shipping.org/docs/default-source/resources/safety-security-and operations/guidelines-on-cyber-security-onboard-ships.pdf?sfvrsn=16

[1] MSC-FAL.1/Circ.3 on Guidelines on Maritime Cyber Risk Management (Denizcilikte Siber Risk Yönetimi Kılavuzu)

[2] International Management Code for the Safe Operation of Ships and for Pollution Prevention (ISM Code)     Gemilerin Emniyetli İşletimi ve Kirliliğin Önlenmesine İlişkin Uluslararası Yönetim Kodu

[3] International Ship and Port Facility Security Code (ISPS Code) (Uluslararası Gemi ve Liman Tesisleri Güvenlik Kodu)