حملات سایبری؛ چالش‌ پیش روی مالکان کشتی برای دریافت پوشش بیمه‌ای

تا سال 2010 بیشتر ریسک‌های سایبری بر روی اطلاعات حساس و محرمانه شخصی و یا مالی متمرکز بوده است. امروزه، طبیعت ریسک‌های سایبری در حال تغییر است و در این میان صنایع دریایی و کشتیرانی از این خطر مصون نمانده‌اند. در حال حاضر سیستم‌های ناوبری کشتی‌ها از سیستم‌های پیشرفته و پیچیده الکترونیکی و رایانه‌ای که با دریافت داده‌های اطلاعاتی از طریق ایستگاه‌های واقع در خشکی و یا از طریق ماهواره‌های مخابراتی تغذیه می شوند استفاده می‌شود. همچنین سیستم‌های متعدد نرم‌افزاری در امر ناوبری، عملیات بندری، تخلیه‌و‌بارگیری، کنترل تردد کشتی‌ها و موارد مشابه به کار می‌روند که همگی در راه ایمن‌سازی و انجام عملیات مرتبط فعالیت می‌کنند. در چنین شرایطی فرض اینکه یک کشتی تجاری به دلیل عملکرد نادرست تجهیزات الکترونیکی و نرم‌افزاری موجود در بخش کنترل ناوبری از مسیر اصلی خود خارج و با برخورد به موانع و صخره‌های اطراف موجب بروز آلودگی‌های نفتی، از بین رفتن محمولات و همچنین خسارت کلی به کشتی شود احتمالی دور از ذهن نیست. بدیهی است حوادثی از این نوع که در نتیجه ایجاد اختلال در دستگاه‌های کنترل ناوبری کشتی به وقوع می‌پیوندند موجب بروز خسارات و تحمیل هزینه‌های عدیده به مالک و شرکت بیمه‌گر مربوطه خواهند شد.

در شرایط کنونی، به دلیل اینکه تعداد حملات سایبری ثبت و گزارش شده در صنعت کشتیرانی اندک است بنابراین شرکت‌های کشتیرانی به طور جدی به این معضل نپرداخته‌اند. اما این موضوع نافی این واقعیت نیست که اثرات مخرب ناشی از حملات سایبری می‌تواند در عین نادر بودن بسیار سنگین و فاجعه بار باشد. طبق گزارش‌های واصله از منابع مختلف، سیستم‌های کمک ناوبری کشتی‌ها اعم از GPS،AIS وECDIS در زمره وسایلی هستند که دارای امنیت سایبری نسبتاً پایینی بوده و به عنوان وسایل حساس و آسیب‌پذیر شناسایی می‌شوند، مثلاً AIS به عنوان سیستم شناسایی الکترونیکی کشتی دارای ضعف سیستمی در تشخیص سیگنال‌های اصلی از غیر اصلی است و هدفی آسان جهت انجام حملات سایبری محسوب می‌شود. GPS هم به مانند AIS به عنوان هدفی سهل الوصول در حوزه حملات سایبری محسوب می‌شود و گواه آن آزمایشی است که در سال 2013 توسط محققان دانشگاه تگزاس آمریکا انجام شد که طی آن موفق به خارج کردن یک کشتی از مسیر برنامه‌ریزی شده از طریق تداخل در سیستم GPS آن شدند. 

با در نظر گرفتن ریسک‌های سایبری، نیاز به پوشش آن بخش از ریسک که غیرقابل پیشگیری یا کاهش است ضروری به نظر می‌رسد، اما این رویه معمول در مدیریت ریسک به دلیل مستثنی شدن ریسک‌های ناشی از حملات سایبری از پوشش‌های بیمه‌ای به یک چالش جدی برای مالکان کشتی‌ها مبدل شده است.

ریسک‌های سایبری از زمان ورود رایانه و اینترنت به کشتی‌ها و صنعت کشتیرانی به وجود آمد و به طور جدی مورد توجه قرار گرفت. در این خصوص بیمه‌گران اظهار می‌کنند با وجود اینکه وجود ریسک‌های سایبری کاملاً مورد تأیید آنان است لیکن شناسایی و ارزیابی این ریسک‌ها همچنان از نظر آنان غیرقابل انجام است. این به آن معنی است که بیمه‌گران هنوز موفق به ارزیابی ریسک، محاسبه میزان احتمال وقوع و ابعاد متعدد خسارات ناشی از حملات سایبری نشده و به همین علت فاقد توانایی لازم جهت ارزیابی و قیمت‌گذاری بر روی ریسک یا به عبارتی تعیین میزان حق‌بیمه مربوطه هستند. در نتیجه این امر، بیمه‌گران کشتی به مستثنی کردن ریسک‌های سایبری از پوشش‌های بیمه‌ای اقدام کرده و در این جهت کلوز 380 یا Cyber Attack Exclusion Clause را در متن بیمه‌نامه‌ها وارد کرده‌اند. البته کلوپ‌های P&I عضو انجمن بین‌المللی، با توجه به ساختار خاص حاکمیت شرکتی در آن کلوپ‌ها، توافق کرده‌اند که خسارات ناشی از حملات سایبری را به جز مواردی که ناشی از جنگ یا حملات تروریستی باشد تحت پوشش قرار دهند، البته این کلوپ‌های بین‌المللی پوشش‌هایی تا سقف 30 میلیون دلار برای صدمات و خسارات جانی و بدنی وارده به خدمه کشتی‌ها در نتیجه ریسک‌های مستثنی شده مذکور را نیز ایجاد کرده‌اند.

ارزیابی ریسک، عاملی تعیین‌کننده در این بحث است که با محاسبه میزان احتمال وقوع و شدت تخریب حاصله اندازه‌گیری می‌شود. بر این اساس میزان احتمال وقوع حملات سایبری در شبکه الکترونیکی کشتی و همچنین شدت تخریب حاصله، نیازمند بررسی‌های دقیق است. مثلاً اتصال خط کشتی به اینترنت به عنوان یک پایانه دارای IP و یا ارتباط اینترنتی Offline تأثیر بالایی در میزان احتمالات وقوع خسارات ناشی از این ریسک را ایجاد می‌کند. همچنین بستر اینترنتی استاندارد (V-SAT, FBB, IRIDUME,…) و یا USB Modem متفرقه و یا جدایی شبکه کنترل و ناوبری از شبکه مخابراتی و اداری موجود بر روی کشتی، عوامل مهمی در تعیین میزان احتمال وقوع خسارات است. 

با وجود اینکه لوازم الکترونیکی و رایانه‌ای بر روی کشتی‌ها و همچنین تجهیزات دریایی و بندری، بر اساس نیازهای قرن بیستم طراحی شده ولی تهدیدات قرن بیست‌ویکم را مدنظر قرار نداده است و تحت این شرایط حکم دروازه‌ای باز جهت ورود بدون دغدغه حمله‌کنندگان سایبری را پیدا کرده است، به نظر می‌رسد مالکان شناورها و مدیریت‌های فنی مربوطه ‌باید تا تعیین تکلیف پوشش‌های بیمه‌ای مربوط به این نوع ریسک‌ها، تمهیداتی جهت به حداقل رساندن تهدیدات ناشی از حملات سایبری و خسارات ناشی از آن را در دستور کار قرار دهند و آمادگی لازم برای رویارویی با خطرات احتمالی را با حاکم کردن سیاست‌های مدیریت ریسک و حفظ ذخایر مالی در مجموعه‌های تحت نظارت خود کسب کنند.