サイバーリスク管理を既存の安全管理システムに組み入れるためのIMO 2021年1月の船積みの期限は、急速に近づいています。関係者が彼らの脆弱性を理解することは重要です。 IMOは、海洋業務における多くの脆弱なシステムの概要を説明するのに有効な、海洋サイバーリスク管理に関するMSC-FAL.1 / Circ.3ガイドラインを発行しました。
1.ブリッジシステム
荷役管理システム。
推進と機械管理および電力制御システム。
アクセス制御システム。
旅客サービスおよび管理システム。
公共のネットワークに直面している乗客。
7.行政および乗組員福祉システム。そして
通信システム。
IMOガイドラインはまた、情報技術(IT)と運用技術システム(OT)の違いを理解する上で重要なポイントを提起しています。つまり、ITは情報としてのデータの使用に焦点を当てており、OTは物理プロセスを制御または監視するためのデータの使用に焦点を当てています。
これらの区別は、運用のリスク評価を実施するときが来たときに重要になります。
あなたの会社、ターミナル、または船舶のサイバーエクスポージャーを調べる際には、リスクアセスメントが最初のステップとなります。コンピュータシステムによって制御またはサポートされているビジネスのすべての部分を特定する必要があります。おそらく、あなたが認識している以上のものがあります。
米国沿岸警備隊は、サイバーセキュリティのエクスポージャーを理解し、特定する方法について、非常に優れたガイダンスを提供しています( https://homeport.uscg.mil )。
このガイダンスには、国土安全保障省の産業用制御システムサイバー緊急対応チーム(ICSCERT)からの情報が含まれています。これは、企業のセキュリティ評価、推奨プラクティスの特定、およびサイバーセキュリティの向上に役立つさまざまな情報、ツール、およびサービスを提供します。 。 ( http://ics-cert.us-cert.gov/ )
これは、サイバーと海洋環境に関して非常に重要なポイントをもたらします。私たちはしばしば海事分野でのユニークなリスクに直面しています、そして海でのサイバー脅威はいくつかのユニークな特徴を持っていますが、ほとんどの脅威は海岸側の企業が直面するものと同じです。サイバー脅威はあなたが港にいるのか海にいるのかを気にしません。インターネットに接続している限り、あなたは危険にさらされています。国土安全保障省には、乗組員や沿岸支援スタッフの教育に役立つ、サイバーに関するヒントや資料が多数あります。これには停止も含まれます。と思う接続してください。キャンペーン。このような単純な情報は、乗務員訓練の定期的な一部として含まれるべきです。
より包括的なプログラムは、国家サイバーセキュリティおよび通信統合センター産業用制御システム(NCCIC)によって開発されました。その産業用制御システム(ICS)チームは、サイバーインシデントを処理および分析するために、所有者が彼らのビジネスおよびネットワークを準備するのを支援するためのガイダンスを開発しました。 ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf )このような手引きは、安全管理システムのサイバーリスク管理のセクションに組み込まれるべきです。 IMO
サイバーインシデントを防止または最小限に抑えるための準備が最優先の防衛線ですが、サイバーインシデントが発生した場合の対応方法を概説した対応計画を立てる必要があります。この計画の重要な部分は、適切な保険の適用範囲であなたのリスクを適切に管理する方法を理解するためにあなたの保険ブローカーと保険業者と協力することです。
ここで重要なのは、現在何がカバーされているのか、現在カバーされていないのかを識別することです。大きな未知数は、サイバーがまだ大きなリスクになっていないときに設計され、明示的に考慮していない、いわゆる「サイレント」サイバーエクスポージャーです。これは、どの損失シナリオがカバーされるかについて、企業、ブローカー、および保険会社にとって不確実性を生み出す可能性があります。グループ全体で、アリアンツは、商業保険、企業保険、および特殊保険の各セグメントにおける損害保険(P / C)ポリシーにおけるサイバーリスクを検討し、「サイレント」サイバーエクスポージャーに対処するための新しい引受戦略を策定しました。サイバーリスクに関して更新され、明確にされるでしょう。私達は私達のビジネス顧客のための適用範囲の不確実性を取り除きたいです。
私はクライアントにサイバーセキュリティは終わりのない競争であるとよく言います。 IMOは、海運業界に2021年1月までにサイバーリスクプラクティスを順守させる期限を与えました。作業がそれで終わらないことは明らかです。サイバー脅威は、テクノロジーへの依存度が高まるにつれて、その頻度と深刻度はますます高まっています。この技術は、船舶の安全性の向上とリスクの低減の両方にプラスになりますが、新たな脅威や新たな脅威に対する警戒を続ける必要があります。この警戒は業界の将来にとって不可欠です。なぜなら、自己満足は選択肢ではないからです。
著者について:アリアンツグローバルコーポレート&スペシャリティ、シニアマリンリスクコンサルタント、キャプテンアンドリューキンゼイ