مدیریت خطرات حملات سایبری در صنعت کشتیرانی

به گزارش گروه بین الملل مانا با توجه به این واقعیت که هوشمندسازی برای مالکان یک گزارۀ جذاب است و کارایی و ایمنی را در چرخۀ حیات دارایی های صنعت کشتیرانی افزایش می دهد، پیچیده گی هایی را نیز به ویژه درزمینۀ حملات سایبری به همراه دارد زیرا معرفی آن مستلزم جایگزینی ساختارهای سیستم های قدیمی است.
بر اساس این گزارش، ساختارگرایی مدرن نیازمند تلفیق سیستم ها و قابلیت همکاری نظام ها با مشتریان است که این امر سطوحی غیرقابل پیش بینی از ارتباط و عوامل خطرآفرین جدید در خصوص سیستم های تلفیقیِ شناورها را نیز به دنبال دارد.
هر پیشرفت کارکردی از جمله پیشرفت های حاصل از به روزرسانیِ نرم افزارهای روتین، یک دریچۀ ورود جدید به سیستم ها و پتانسیل جدید برای نقص های عملیاتی را معرفی می کند. بر اساس اطلاعات منتشر شده از سوی شرکت های بیمه، اگرچه هوشمندسازی به طورفزاینده ای با کنترل خطر و پیچیدگی در ارتباط است، ایجاد انعطاف پذیریِ سایبری فقط یک چالش فنی نیست بلکه یک چالش شخصی است. چرا؟ به دلیل آنکه کارمندان نخستین مدافع در برابر خطرات دیجیتالی هستند اما آنها خود می توانند دلیل اصلیِ حملات سایبری باشند. بی دقتی و بداندیشی آنان مانند گم گردن لپ تاپ، افشای اتفاقی اطلاعات و کارمندان افشاگر خود دو سوم حملات سایبری را موجب می شوند.
کلید مقابله با حملات سایبری در سیستم های ارزیابی ریسک و مدیریت در گرو ایجاد سیستم آگاهی افراد نسبت به کارایی این سیستم هاست. این موضوع چالشی است که می تواند از ترکیب روش های اخیر با مهندسی صنعتی و منابع انسانی مطرح شود. در همین راستا، باید به خاطر داشت پیچیده گی های عملیاتی در طراحی سیستم ها، وضع قوانین، سیاست ها، فرآیندها و غیره وجود دارد که تمایل دارد آگاهی موقعیتی فرد را کاهش و احتمال خطاهای انسانی را افزایش دهد. بنابراین، با افزایش سطح پیچیده گی در سیستم ها باید تلاش ها برای کاهش خطاهای بالقوۀ انسانی افزایش یابد و دو برابر شود. این امر، از طریق طراحی و سازماندهی و نظم در یک سیستم ایجاد می شود برای مثال، ساخت ایستگاه های کامپیوتری بدون درگاه USB یا ایجاد سیستم های بسته که اتصال در آنها برقرار نیست و یا ایجاد نوعی امنیت شبکه به گونه ای که شبکۀ اصلی از دیگر شبکه های محلی و اینترنت جدا نگه داشته می شود و ضمن نظارت بر امنیت، آن را کامل تر می کند.
خطرات نیروی انسانی می تواند با تقویت سیاست هایی که دسترسی به سیستم های خاص، شبکه های مجزا، فیلتر ایمیل ها و نصب بلاک های سرچ را محدود می کنند، کاهش یابد.
ایجاد سیاست (بروزرسانی دائم آن) و رویه هایی برای پشتیبانی از آن از اهداف مهندسی منابع انسانی است. افزایش آگاهی سایبری در بین نیروها مستلزم سیستم مدیریتی است که یک نقشه راه مفصل و با جرئیات و ویژه شرکت را در اختیار بگذارد.
به محض آنکه طرح شرکت ایجاد و ویراستاری شد کارمندان برای دستیابی به اهداف تعبیه شده باید مهارت های لازم را کسب کنند و مانند سیاست ها و رویه ها باید این مهارت ها به روز شوند تا ماهیت ریسک و خطرات را به خوبی منعکس کنند. همانطور که فضای تجاری روز به روز بیشتر به فناوری و تکنولوژی وابسته می شود، آموزش امنیت که رفتارها و نگرش های درست را ایجاد می کند بیش از پیش باید مورد ملاحظه واقع شود. مفاد آموزش نیز کافی نیست. توانایی ها باید به طور مستمر نشان داده شوند و مورد ارزیابی قرار بگیرند. آگاهی سایبری خود نیز باید به رفتاری انتقادی بدل شود.
از نقطه نظر مهندسی، تکامل سیستم ها معنادار هستند، سیستم های مدرن با هدف بهبود تلفیق نقش ها و ساختارها ایجاد می شوند. سازندگان آنها، لینک های شبکه را ایجاد می کنند تا در سیستم مفهومی به وجود آید و بتوانند از این ارتباط بهره مند شوند و اتصال و برقراری ارتباط با نظام های دیگر را تامین کنند که این امر خود بخشی از جذابیت های هوشمندسازی است.
اما، ارتباطات درون-سیستمی می تواند راه های ارتباطی غیرمنتظره را معرفی کند که موجبات پیچیده گی در بسیاری از سطوح از سیستم های امنیتی گرفته تا آموزش کارمندان را به همراه دارد.
در همین راستا، خدمه و اپراتورها طبق روش ها و کارکردهای سیستم های طراحی و ساخته شده آموزش می بینند. ویژگی ها و عملکرد های هر سیستم به طور انفرادی از سوی طراحان سندسازی می شود و درک رفتارهای سیستم که ارتباط را برقرار می کنند سخت تر می شود. توان بالقوه برای ایجاد اختلال نیز در این راستا درنظر گرفته و بررسی می شود. سیستمها مانند آنهایی که در دارایی های دریایی مدرن یافت می شوند به طور فزاینده ای از شبکه ها برای ایجاد ارتباط و اتصال به سیستم های IT و تکنولوژی عملیاتی OT بهره مند می شوند.
هر چه میزان پیچیده گی بیشتر باشد، کمتر احتمال آن می رود که تمام شرایط ریسک آفزین یا عملیاتی تشخیص داده شوند، سندسازی شوند و مورد آزمایش قرار بگیرند. از یک سو، تقاضای بالا برای کارایی عملیاتی و اقتصاد سیستم ها سازندگان را وادار به تلفیق سیستم ها می کند و از سوی دیگر، خدمه نیاز دارند تا فضای عملیاتیِ را که در آن مشغول هستند، شکست ها و مقاومت مشخصه هایی برای امنیت سیستم ها، کاربران، شناورها و محیط زیست های طبیعی را درک کنند.
این موضوع خود یک معما را به وجود می آورد: مالکان چگونه ضمن مخاطب قرار دادن پیچیده گی روزافزون در دنیای مرتبط اطمینان حاصل کنند که کارآمدی عملیاتی، امنیت و ایمنی دارایی ها و سیستم های آنان تامین می شود؟ سیستم ها به طور ساده و مانند بلوک ساختمان یک اسباب بازی کودک به یکدیگر متصل نیستند اما می توانند پاسخی قابل درک در دو طرف چرخه حیاط دارایی های صنعت کشتیرانی باشند.
در سمت راست شکل گسترش، فازهای عملیات و تعمیر و نگهداری را مشاهده می کنید که اپراتورها با سیستم تلفیق می شوند و دانش مرتبط ودرک برای کارایی بیشتر با یکدیگر ترکیب می شوند.
دانش سازمانی شامل اپراتورها و مقررات خدمات رسانی، فرآیندهای آزمایش و نتایج، نقص ها و شاخص ها است. در این میان، حادثه یا تشخیص غیرمتعارف و پروسه های پاسخ ثبت و در یک سند کارکردی توصیف می شوند. در این اسناد، می توان به اطلاعاتی درخصوص معماری، طراحی سیستم، دیاگرام اصلاح شده، نتایج آزمون ها و دیگر اطلاعات مرتبط و آموزش های وابسته که باید درک شوند، دسترسی داشت.
توسعه فرهنگ سازمانی سایبری شبیه توسعه فرهنگ ایمنی است که در آن یک ساختار تعریف شده مهندسی بتواند خطرات ناشی از خطاهای انسانی و صنعتی را به حداقل برساند.
از دیدگاه مهندسی منابع انسانی، اصول فرهنگ سازمانی سایبری سالم شامل و نه محدود به موارد زیر است:
• برنامه های خاص شرکت برای درک بهتر خطرات سایبری
• استراتژی هایی برای مداخله کارمندان (ارتقا دانش و آگاهی از موقعیت و اجتناب از خوشنودیِ بازدارنده)
• ایجاد یک فرهنگ درست که در آن با کارمندان منصفانه رفتار شود (این مورد با فرهنگ بدون سرزنش متفاوت که در آن جوابگویی کارمندان مدنظر قرار می گیرد، است)
• تعهد به قدرت کارمندان (با هدف کمک به آنان برای انجام تمام و کمال مسئولیت ها)
• ارتقا کمال شخصی (تا کارمندان کار درست را انجام دهند حتی زمانی که کسی آنان را زیر نظر ندارند)
• تعهد نمایان به وجود حملات سایبری از سوی رهبران سازمان
• روش های موثر ارتباطی ( بازخوردهای مثبت و منفی باید هر دو لحاظ شوند)
سیاست ها، روش ها و آموزش باید بازنگری شوند، همانطور که موانع سیستم مدیریت برای ِپیشگیری و محدود کردن گسترۀ حوادث غیرخوشایند طراحی می شوند. اما این موانع نمی توانند پس از آنکه شناسایی شدند فراموش شوند باید سلامت آنها با توجه به حل شدن خطرات و بروزرسانی سیستم ها اندازه گیری و تعدیل شود.
سال هاست که ایجاد آگاهی در حوزۀ ایمنیِ دریا مورد توجه قرار گرفته و روش های مهندسی صنعتی و منابع انسانی در این زمینه به کار گرفته شده است. تمامی این روش ها باید انعطاف پذیری سایبری را نیز تحت تاثیر قرار دهد به گونه ای که درطراحی سیستم های مدرن ارتباطی شاهد آن باشیم.
با پیچیده تر شدن سیستم ها و امکان بیشتر حملات سایبری، بسیاری از راه حل ها برای ظهور خطرات می توانند بررسی و شناسایی شوند.