弾力性のある組織のサイバーインシデント対応

（ファイル写真：APM端末）

NotPetya以前では、規制当局、保険会社、P＆Iクラブ、港湾当局、その他の海事業界のセグメントでは、業界のサイバー攻撃への曝露を最小限に抑えるための措置が採られ始めました。

海洋産業は目を覚ましています。私たちは、デジタル化が業界全体にその糸を織り込んでいるという事実に目を覚まし、相互接続されたサイバー環境で動作することから大きな利益を得ています。同様に、船舶の機械診断情報を陸側オペレーションセンターに送信することができ、宇宙から発信される位置データおよびナビゲーションデータを使用して制限された水域をナビゲートする能力を有し、また、ウェブからビデオをストリーミングする贅沢を提供することができる。海は全体的な産業と経済の相互接続部に大きなリスクをもたらします。 2017年のNotPetya攻撃は、業界にサイバーセキュリティの姿勢を評価させようとする大きな瞬間でした。明らかに、Maerskのようなグローバル企業が大きな影響を受ける場合、他のすべての海事会社が攻撃される可能性があります。最高で攻撃は財政的損失をもたらし、悪化すると、企業は無期限に業務を中断する可能性があります。

NotPetya以前では、規制当局、保険会社、P＆Iクラブ、港湾当局、その他の海事業界のセグメントでは、業界のサイバー攻撃への曝露を最小限に抑えるための措置が採られ始めました。米国沿岸警備隊は、海上輸送セキュリティ法（MTSA）規制施設におけるサイバーリスクに対処するためのガイドラインドラフトおよび船舶検査Circular 05-17のドラフトを発表し、Nationalに基づいて海洋産業のサイバーリスクの枠組みを作成する考えを紹介した標準化協会（NIST）サイバーセキュリティフレームワーク。 BIMCOやABSなどの海運協会は独自のサイバーセキュリティガイドラインを発表しており、海洋産業におけるサイバーリスクを軽減するためのベストプラクティスを無数の組織や団体が発表しています。業界は一般的に「何かをする必要がある」ことを認識していますが、業界内のサイバーリスクを緩和するための進展は、業界が多様であるほど多様です。業界におけるサイバーリスク軽減の多様性は、ある組織から別の組織に利用できるさまざまなレベルのリソース、使用されているシステムとテクノロジー、組織と企業間のリスク管理ガバナンスモデルの違いに基づいています。さらに、「海運業界」を構成する船舶業界、港湾オペレータ、港湾当局、その他の機関、企業、組織間のサイバーセキュリティ要件と規制機関における微妙で重要な違いは、業界全体の包括的なサイバーリスク管理計画の採用。

投稿後のサイバー攻撃海洋産業は、被害を制限し、システムをサイバー攻撃から守るために何をしなければならないのかを即座に理解する必要があることを踏まえ、「サイバー攻撃を経験した後、何をすべきか」という質問に答える必要があります。 「サイバー攻撃の準備のために私たちは何をしますか？」という質問をする必要があります。この場合、海事産業はこの問題に取り組むための血統を持ち、物理的な事件に対応して得た既存の規制、ベストプラクティス、油流出、捜索救助救助、テロ脅威、大暴風やその他の身体的脅威による操業の継続性を確保するために必要な措置。

サイバーインシデントレスポンスとインシデントハンドリング（IR / IH）は、海事および港湾業務の被害を最小限に抑えるために、事前に決定された行動計画、卓上運動、IR / IH資源が事前に準備されていることを意味します。これらの活動は、商業、環境、および海上または水上での生活の安全への悪影響を最小限にすることを目指しています。さらに、主要な環境災害対応と変わらず、業界は、よく考えられた一般市民、利害関係者、およびIR関係計画の策定を含むサイバーインシデント対応のすべての側面に対処する用意ができていなければなりません。

あらかじめ決められた行動計画。他の災害、災害、緊急事態と同様に、慎重な組織は、サイバーインシデントが発生したときに、事前に決められた行動計画を立てるためのサイバーインシデント対応計画を立てます。残念ながら、Ponemon InstituteとIBMの最近の調査によると、回答者の77％が組織全体で一貫して適用される正式なサイバーインシデント対応計画を持っていないことがわかりました。レスポンスプランには、少なくとも、トランスクリプト、DDOS（Distributed Denial of Service）攻撃、ネットワークの侵入、および組織のネットワークへのマルウェアの導入に対応するアクションプランを含める必要があります。進行中またはモバイル資産には、GPS（全地球測位システム）やその他の位置、航行、およびタイミング（PNT）システムの喪失、船舶のステアリングまたは機械制御システムへの影響、紛失または操作の喪失などの他のシナリオを考慮するアクションも含まれていなければなりません電子航法システムのこれらの進行中のシナリオの大部分では、他の手段によって引き起こされたこれらのシナリオでは、緊急時対応計画がすでに実行されていますが、攻撃の性質に対する追加の対応要件が存在する可能性があります。

いったん開発されると、これらの行動計画は定期的に行使されなければならない。これは他の必要な訓練と変わりありません。多くの組織では、卓上練習にサイバーインシデントを組み込んだり、サイバーインシデントに特化した卓上運動を作成して、自分たちの行動計画がどれほどうまくいっているかを確認しました

進行中の 攻撃 。攻撃が進行中であることを特定し理解することができれば、組織のトレーニングプログラムに組み込む必要があります。同様に、サイバー攻撃が発生しているかどうかを従業員や乗組員が判断できるように、ハードウェアやソフトウェアのソリューションを設定または取得する必要があります。攻撃のタイプに応じて、攻撃の特性は明白かもしれませんが、必ずしもそうではありません。

組織が攻撃の性質をどのように伝え、どのように外部からサイバーインシデントに対応するかは、組織のシステム内で内部的に攻撃を管理する技術的およびエンジニアリング的な行動と同じくらい重要です。組織は、顧客、投資家、パートナー、その他の利害関係者、および一般の人々の間で、組織がサイバーインシデントに効果的に対応しながら業務や商取引の混乱を最小限に抑えることができるように、コミュニケーションと広報の行動計画を策定する必要があります。

ポストインシデント 分析。攻撃の性質に応じて、組織はサイバーインシデントを犯罪として扱い、それによって攻撃されたシステムとネットワークを犯罪現場にすることを法執行機関が期待できます。したがって、攻撃の起点を特定するために、組織は攻撃中および攻撃後に証拠を保存する手順も実装する必要があります。これには、一連の保管手続、デジタル証拠処理手続き、潜在的に内部デジタル・フォレンジック活動の実施、および調査中にバックアップ・システムの使用を含む継続事業計画の作成が必要です。

ポストインシデント分析では、同様の攻撃を未然に防ぐ方法を決定するために剖検を含める必要があります。サイバー攻撃から学んだ教訓を特定し、行動を取ることは、上から下に向かって推進されなければならない。

再構成。ほとんどの場合、組織は操作を再構成するための体系的なプロセスを持っています。これらのプロセスは、サイバー攻撃後のインシデントを含むように拡張する必要があります。企業はどのように迅速に完全な運用能力に戻ることができるかを判断する必要があります。組織のリーダーシップは、完全な運用ステータスに戻るためにどのような措置が取られているのか、すべてのステークホルダーとのコミュニケーションを継続しなければなりません。

サイバー攻撃の準備は、海洋組織が環境、商業、および安全の影響を最小限に抑えるための重要な要素です。幸いにも、業界には、サイバー攻撃の準備と対応のモデルとして使用できる他のタイプの致命的なイベントに対する既存の対応計画があります。


（ Maritime Reporter＆Engineering Newsの 2018年4月版に掲載されているように）