Thời điểm ngày 01/01/2021 đang đến rất gần, các tổ chức công nghiệp hàng hải và ngoài khơi đang gấp rút thực hiện các biện pháp an ninh mạng cần thiết theo quy định của Tổ chức Hàng hải quốc tế (IMO).
Các tổ chức hàng hải từ lâu đã tập trung vào vấn đề an toàn và quản lý rủi ro; tuy nhiên, việc đưa các mối đe dọa mạng vào hoạt động hàng ngày có thể là một thách thức vì chúng thường khó định lượng, khó hiểu và khó xác định được mối liên hệ với thế giới vật chất. Một số bài học được rút ra từ thực tiễn của ngành hàng hải và các lĩnh vực công nghiệp khác, bao gồm cả kinh nghiệm của Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) Hoa Kỳ, có thể rất hữu ích trong việc điều chỉnh tư duy và thực hành đối với các rủi ro mạng. Nhưng có những cân nhắc duy nhất cần được tính đến khi áp dụng quy trình quản lý rủi ro mạnh mẽ đối với rủi ro mạng trong các tổ chức công nghiệp hàng hải và ngoài khơi.
Năm 2017, IMO đã ban hành Thông tư MSC-FAL. 1/Circ.3 “Hướng dẫn về quản lý rủi ro mạng hàng hải”. Hướng dẫn này cung cấp các khuyến nghị cấp cao để bảo vệ vận tải biển tránh các mối đe dọa và tính dễ bị tổn thương mạng mới nổi hiện thời, bao gồm các yếu tố chức năng hỗ trợ quản lý rủi ro mạng một cách hiệu quả. Tiếp theo, Ủy ban An toàn hàng hải (MSC) của IMO đã thông qua hướng dẫn này bằng Nghị quyết MSC.428(98) với tiêu đề “Quản lý rủi ro mạng hàng hải trong hệ thống quản lý an toàn”. Nghị quyết MSC.428(98) khuyến khích các chính quyền hàng hải đảm bảo rằng các rủi ro mạng được giải quyết một cách thích hợp trong hệ thống quản lý an toàn hiện có (như được định nghĩa trong Bộ luật Quản lý an toàn quốc tế (ISM)) không muộn hơn đợt thẩm tra hàng năm đầu tiên đối với Giấy chứng nhận phù hợp (DOC) của công ty sau ngày 01/01/2021.
Năm điểm sau đây mô tả tóm tắt mục tiêu và cách tiếp cận quản lý rủi ro mạng hàng hải của IMO:
1. Quản lý rủi ro mạng hiệu quả nên bắt đầu từ cấp quản lý cấp cao và nên đưa văn hóa nhận thức về rủi ro mạng vào tất cả các cấp của tổ chức.
2. Phương pháp tiếp cận dựa trên rủi ro nên được áp dụng với đánh giá toàn diện để so sánh bố trí quản lý rủi ro mạng hiện tại và mong muốn của tổ chức. So sánh như vậy có thể cho thấy những lỗ hổng có thể được giải quyết để đạt được các mục tiêu quản lý rủi ro thông qua một kế hoạch quản lý rủi ro mạng được ưu tiên.
3. Năm chức năng của khung an ninh mạng (Xác định, Bảo vệ, Phát hiện, Phản hồi và Phục hồi) của NIST cần được xem là một phần của phản ứng đối với việc xem xét quản lý rủi ro.
4. Tất cả các hệ thống hoạt động cần được bao trùm trong quản lý rủi ro mạng; và quá trình cũng như tính hiệu quả cần phải được xem xét thường xuyên.
5. Cần thực hiện kế hoạch truyền đạt nhận thức trong toàn bộ tổ chức.
Nghị quyết MSC.428(98) không chỉ là hoàn thành việc xác định rủi ro hoặc kế hoạch quản lý rủi ro. Các tổ chức sẽ cần chứng minh theo thời gian là mình có thể thực hiện kế hoạch đó và giải quyết các rủi ro theo cách tăng cường an ninh cho hoạt động của họ. Hiện tại, các chủ tàu và người khai thác tàu đang tìm kiếm sự đảm bảo rằng những gì họ đang làm sẽ đáp ứng mục tiêu do IMO đặt ra và được chấp nhận khi đến thời điểm đánh giá. Do hướng dẫn của IMO cho phép các tổ chức có nhiều cách để đáp ứng mục tiêu, nên có thể khó biết những gì sẽ được chấp nhận tại một cuộc đánh giá. Về vấn đề này, sự nhất quán trong quản trị theo thời gian sẽ là rất quan trọng.
Có một số hành động mang tính chiến thuật được yêu cầu trước ngày 01/01/2021, đó là:
1. Chuẩn bị và đảm bảo các rủi ro mạng được xác định và hiểu rõ trong hoạt động của công ty. Ví dụ, một cuộc tấn công của phần mềm gián điệp vào hoạt động kinh doanh sẽ gây ra những gì đối với công ty? Làm thế nào công ty sẽ phục hồi sau cuộc tấn công? Điều này sẽ gây ra những tác động kinh doanh nào? Hoặc, việc đưa phần mềm độc hại trong USB của nhà thầu vào thiết bị công nghệ vận hành quan trọng trên tàu sẽ ảnh hưởng gì đến khả năng hoạt động của tàu hoặc đội tàu của công ty?
2. Lập hồ sơ kế hoạch xử lý và quản lý rủi ro cho những rủi ro này. Hiểu những rủi ro mà sự kiện mạng có thể gây ra cho hoạt động kinh doanh của công ty. Điều này sẽ cho phép công ty triển khai và ưu tiên các hành động và kiểm soát ảnh hưởng trực tiếp đến các rủi ro mạng quan trọng nhất mà công ty đang phải đối mặt.
3. Chuẩn bị và chứng minh điều này tại cuộc đánh giá ISM DOC tiếp theo (sau ngày 01/01/2021). Hướng dẫn của IMO mang tính toàn diện; do đó, phản hồi của bạn cần phải tương ứng với quy mô công ty, quy mô hoạt động của công ty và các rủi ro mạng mà công ty của bạn phải đối mặt. Cuộc đánh giá đầu tiên này sẽ là bước khởi đầu của một hành trình, trong đó rủi ro mạng được biết đến nhiều hơn và các hành động cùng với biện pháp kiểm soát thích hợp được hoàn thiện theo thời gian.
Có thể kết luận, việc tuân thủ các quy định về an ninh mạng năm 2021 của IMO không chỉ là xác định một kế hoạch quản lý ban đầu – các tổ chức sẽ cần đảm bảo rằng kế hoạch đó được thực hiện, các rủi ro được giải quyết và chiến lược quản trị của tổ chức được phát triển.
Bạn có thể làm gì để giúp bảo vệ khỏi các cuộc tấn công mạng?
Các cuộc tấn công mạng gần đây nhằm vào hãng tàu CMA CGM và ngay chính website của IMO là lời nhắc nhở nghiêm túc đối với ngành vận tải biển rằng việc bảo vệ chống lại các vi phạm, chẳng hạn như các cuộc tấn công của phần mềm gián điệp, phải là một thành phần cơ bản trong chiến lược an ninh mạng của tổ chức. Chúng ta xem xét một số lý do tại sao các cuộc tấn công xảy ra và những gì có thể được thực hiện để khắc phục rủi ro:
Có những trường hợp nào mà các cuộc tấn công của phần mềm gián điệp dễ xảy ra hơn không?
Các cuộc tấn công của phần mềm gián điệp có nhiều khả năng xảy ra hơn khi có sự kết hợp của mục tiêu hấp dẫn với khả năng phòng thủ yếu. Các tổ chức có lượng lớn dữ liệu cá nhân, thông tin thanh toán, chuỗi cung ứng lớn hoặc có các hoạt động quan trọng (chẳng hạn như nhà cung cấp cơ sở hạ tầng) là mục tiêu hấp dẫn vì tác động lớn hơn của một cuộc tấn công có nghĩa là công ty có nhiều khả năng phải trả tiền hơn. Các nhóm phần mềm gián điệp luôn cần một “đường vào” tổ chức mà họ đang nhắm mục tiêu, chẳng hạn như thông qua email lừa đảo hoặc bằng cách nhắm mục tiêu vào các điểm yếu trong cơ sở hạ tầng của công ty. Do đó, các tổ chức không có cách tránh khỏi các rủi ro an ninh mạng mới nhất có nhiều khả năng trở thành mục tiêu hoặc dễ bị tấn công không xác định mục tiêu.
Các chủ tàu và người khai thác tàu có thể thực hiện các bước nào để giảm thiểu nguy cơ bị tấn công bởi phần mềm gián điệp?
Bước quan trọng là đảm bảo rằng có một chiến lược an ninh mạng rõ ràng với sự phân quyền cho phép mọi người cùng làm việc hướng tới mục tiêu chung. Điều này cần tính đến toàn bộ tổ chức, các bên thứ ba và các dịch vụ liên quan, đặc biệt là chuỗi cung ứng của tổ chức – không chỉ riêng các tàu. Một khía cạnh quan trọng của chiến lược này là dự kiến, lập kế hoạch và kiểm tra các cuộc tấn công như vậy. Biết cách bạn sẽ quản lý và phục hồi sau một cuộc tấn công của phần mềm gián điệp là rất quan trọng để chuẩn bị sẵn sàng khi nó xảy ra.
Điều này cần phải được thực hiện – có nghĩa là có những nhân viên lành nghề được trao quyền để thực hiện thay đổi cách thức thực hiện công việc. Các hành động chính xác sẽ phụ thuộc vào các rủi ro được xác định nhưng có thể bao gồm việc có kế hoạch phát hiện và khôi phục sự cố rõ ràng, quy trình quản lý lỗ hổng bảo mật, truy cập từ xa an toàn, cũng như đào tạo và nhận thức về an ninh mạng cho nhân viên và người vận hành.
Cuối cùng, các yếu tố phụ thuộc của bên thứ ba trong chuỗi cung ứng cần được hiểu và kiểm tra rõ ràng để đảm bảo rằng họ không cung cấp cách thức dễ dàng hơn vào tổ chức mục tiêu để tạo ra sự gián đoạn.
VR