海洋オペレーティングシステムで観察される個々のリスク要素の深い理解を提供する定量的アプローチに移行する時が来ました。
複雑な海上オペレーティングシステムでの接続性の向上は、サイバー関連のインシデントの潜在的な影響を拡大し、それらに対する防御作業を複雑にしています。サイバー・リスクを評価する従来の方法では、限られたセキュリティ・リソースを適用するためのガイダンスが不十分です。
現在、利用可能なリスク評価方法は主に定性的である。それでも、これらの方法は、所有者と事業者がサイバーセキュリティの違反を特定、保護、検出、およびリカバリするための基盤となるリスク管理計画の現在の基盤を提供します。そのモデルを基にして、海洋オペレーティングシステムで観察される個々のリスク要素の深い理解を提供する定量的アプローチに移行し、所有者にエンジニアリング「回すつまみ」を提供して削減します。
サイバーリスクを表す最も一般的な式は、リスク=脅威x脆弱性x結果です。この方程式は、分析者がリスクに3つの構成要素があることを直感的に理解する助けとなり、これらの要素の1つを削除することによってリスクを低減できると考えている限り、実践者にとって有用であることが証明されています。しかし、この数式は、サイバーセキュリティリスクの性質を理解するための参照モデルよりも、数学的な意味での方程式ではありません。その3つの要素は主に測定が難しく、サイバーセキュリティソリューションを設計したり計算したりするときに問題になります。現代の海洋リスク実施者にとっては、サイバーリスクを定義するモデルを作成し、海洋オペレーティングシステムのために数え、測定し、計算し、モデル化することが最も重要な課題です。
ABSは最近、スティーブンス・インスティチュートと協力して、海事部門のこの問題を研究し、数えることができ、観察可能であり、理解しやすいという観点から方程式を再定義しました。スティーブンス・インスティテュート(Stevens Institute)の調査で発見された事柄の1つは、サイバーセキュリティにおける海上リスクの性質が明確に定義されていないか理解されていないことでした。それは特によく管理されていません。
その結果、所有者がサイバーセキュリティリスクを積極的にコントロールできる新しいモデルが生まれました。
これらのリスクは、特定の要件、設計上の決定、およびリソースのコミットメントを推進します。このモデルは、計算的に設計され、高度に詳細に、また管理されるリスクとの関連で、ソリューションを特定することに重点を置いています。
効果的に、サイバーリスクに対応するコントロールをアセット所有者の手元に戻します。
より伝統的な防御方法から測定可能なプロセスへの業界のサイバーリスクの慣習を変えるには、業界が会話を変更する必要がありますが、最も重要なことは、リスクの実践者がリスクについてどのように考えるかを変更することです。
運用技術のリスク方程式の計算上の要素として「結果、脆弱性、脅威」を表現するために、「機能、接続、識別」(FCI)の概念に置き換えました。
「機能」は、乗組員が船舶を操縦したり、ミッションを遂行したりすることを可能にします。掘削油から持ち運びの人や貨物、あるいはそれぞれの組み合わせまで、あらゆるものが可能です。 FCIのリスク方程式では、サイバー攻撃者が制御や敗北を求めるシステムを表しています。ステアリング、位置モニター、推進システム、通信、その目的に役立つものです。
「接続」は、海上運営技術に関連して、機能が相互に、海岸に、衛星に、インターネットにどのように通信するかを表す
各接続内には、サイバー侵入がアクセスするポイントである「ノード」があります。
「アイデンティティ」は人間でもデジタル装置でもあります。脅威をアイデンティティに置き換えることで、脅威をカウントすることができ、海上リスク計算を進化させる画期的なコンセプトです。
FCIモデルの文脈では、脅威にはアジェンダが必要です。これらは、サイバー・リスクに対する意識の欠如から、意図しない行動への意義まで - 「私は会社のルールに従わず、安全な方法で自分の任務を遂行しません」 - 船舶を盗んだり破壊するためのナビゲーションシステムのハイジャック、または通常は金銭的利益のために通常の操作に混乱する他の行為。
次に、機能、接続およびIDからの定量的データを数え、特定のFCI変更がどのように各システムの構成の相対的リスクをどのように変更するかを示すリスク指標を作成するワークシートを作成するために使用されます。
ここで説明するプロセスは簡素化されていますが、リスク指数は最終的に船舶に搭載された個々のシステムのアーキテクチャ設計に関連する相対リスクの定量的な見通しを提供します。これは、海上サイバーセキュリティ分野では欠けているものです。
FCIメソッドは、Connectionノード(アクセスポイント)が適切に保護されているかどうか、および資産管理者が船舶制御システムアーキテクチャ内のノードおよび制限された領域にアクセスできるようになった人物のIDを制御しているかどうかを判断します。
インデックスは、全体的なリスクに対する各コンポーネントの貢献を示しています。たとえば、個人のリスク貢献度に基づいて、所有者は、ヒューマンマシンインターフェイス、携帯電話、サムドライブ、またはインターネットへの接続を通じて、システムにアクセスする方法を再設計するためにネットワークアーキテクチャを再設計できます。
この新しいアプローチにより、所有者は、デジタルシステムの設計方法、人々のアクセス方法、ノードまたはアクセスポイントの方法に基づいて、各船舶に関連する相対リスクを決定するための車両全体の視点を取ることができます保護されています。
ABSは、FCIアプローチで計算されたリスク指標を提供します。これは、船上のデジタルシステムの設計と運用に内在するリスクの相対的な水準を表します。所有者は、しばしば限られたサイバー防衛リソースをどこに配置するかを決定するのに役立ちます。
業界では古い格言があります。測定しないものは管理できません。海洋産業が自動化に向かって進んでいく中で、サイバーリスクを測定し管理できる企業は、新しいデジタル時代の課題に取り組むうえでより適切な立場に置かれます。
業界として、サイバーリスクを測定する能力は、業務の効率性と安全性の基盤となるでしょう。
( Maritime Reporter&Engineering Newsの 2018年4月版に掲載されているように)