MARITIM

Kva gjer du om nokon tek kontroll over skipet ditt?

Risikoen for cyberangrep mot eit skip er reell. Operative mannskap om bord må få øve realistisk. No kan dei det.

Skipet oppfører seg ikkje slik det skal. Kva skjer? Kaptein Odd Sveinung Hareide forklarer dei andre på brua kva han har gjort, kva han prioriterer akkurat no og neste trekk.
Skipet oppfører seg ikkje slik det skal. Kva skjer? Kaptein Odd Sveinung Hareide forklarer dei andre på brua kva han har gjort, kva han prioriterer akkurat no og neste trekk. Foto: Eli Anne Tvergrov/NTNU
Eli Anne Tvergrov, Gemini.no
4. apr. 2023 - 16:19

Seksjonen Fra forskning består av saker som er skrevet av ansatte i Sintef, NTNU, Universitetet i Oslo, Oslo Met, Universitetet i Agder, UiT Norges arktiske universitet, Universitetet i Sørøst-Norge og NMBU.

Du står på brua og kursen er sett digitalt. Likevel, kvifor held skipet fram med å dreie mot vest?

På dataskjermane i det mørke styrhuset ser alt normalt ut – men utanfor vindauget kjem landsida faretruande nært! Kva er det som skjer?

Nede frå maskinrommet melder dei via radio at alt er normalt, men dei lurer på kvifor brua har sett ny kurs? Motorane rusar og skipet set fart. Det er ikkje maskinisten som gjer dette. Kva no?

Cybersikkerheit er eit heitt tema for heile den maritime bransjen, også i akademia. Nyleg gjennomførte dei eit heilt nytt cybersikkerheitskurs ved NTNU i Ålesund.

Truleg det fyrste i sitt slag

NTNU i Ålesund har gjennom bransjeprogrammet sitt for maritim næring i år gitt tilbod i form av det nye kurset «Maritim digital sikkerheit».

Gjennom to månadar har kursdeltakarane sett på det digitale trusselbiletet. Dei har risikovurdert aktuelle digitale truslar og øvd realistisk på eit cyberangrep på eit skip under segling. Stikkord er risikohandtering av cyberangrep og å bygge motstandsdyktigheit.

Stipendiat Marie Haugli-Sandvik gjer dei siste førebuingane saman med studieprogramleiar Arnt Myrheim Holm ved Institutt for havromsoperasjonar og byggteknikk før øvinga startar i skipssimulatorane. <i>Foto:  Eli Anne Tvergrov/NTNU</i>
Stipendiat Marie Haugli-Sandvik gjer dei siste førebuingane saman med studieprogramleiar Arnt Myrheim Holm ved Institutt for havromsoperasjonar og byggteknikk før øvinga startar i skipssimulatorane. Foto:  Eli Anne Tvergrov/NTNU

– Der det er informasjonsteknologi og menneske, er det rom for digital sårbarheit. Brot på sikkerheita kan kome i skipssystema, og dei kan kome i hamnesystema og gjennom menneska som driv eller overvakar desse, forklarer Marie Haugli-Sandvik og Erlend Erstad.

Begge er doktorgradsstipendiatar ved Institutt for havromsoperasjonar og byggteknikk ved NTNU. Dei forskar på korleis den maritime næringa kan verte betre rusta for handtering av cyberangrep.

Stipendiatane har utvikla og no halde det maritime digitale sikkerheitskurset, truleg det fyrste i sitt slag her i landet.

Kurset inngår som ein del av doktoravhandlingane dei er i ferd med å gjere ferdig.

Utvikla saman med næringa

– Kurset vi har utvikla, har kome til i eit tett samarbeid med industrien. Vi har høyrt på kva dei ynskjer, sett objektivt på kva behov dei har, for så å teste den beste løysinga vi kan kome opp med, forklarer Erlend Erstad.

– Det er alltid betre med breidde i perspektivet og fleire innfallsvinklar i nye prosjekt og metodar. Også etablerte verksemder kan ha godt av friske auge. NTNU er ein god og rimeleg arena for å prøve ut nye idear. Som forskarar kan vi være med på å dekke næringa sitt akutte behov og samstundes ha god dialog om løysingar for framtida, seier Marie Haugli-Sandvik.

Har ikkje nok opplæring i cybersikkerheit

Haugli-Sandvik gjennomførte i vinter ei spørjeundersøking blant 293 seglande dekksoffiserar frå 11 større offshore-reiarlag i Noreg.

  • 83 prosent av desse svarte at dei hadde vore med på ei eller anna form for opplæring i cybersikkerheit.
  • 15 prosent svarte at det aldri hadde fått opplæring.
  • 2 prosent visste ikkje om dei hadde hatt opplæring. 

– 82 prosent av dei seglande dekksoffiserane svarte at dei hadde fått opplæringa som e-læring og/eller at dei hadde delteke i digitale sikkerheitskampanjar sendt frå arbeidsgivar, seier ho.

Artikkelen fortsetter etter annonsen
annonse
NITO
Sagt opp ulovlig i verneperioden
Sagt opp ulovlig i verneperioden

I stor utstrekning var det arbeidsgivarane som hadde stått for opplæringa i form av kurs. Dette viser at bransjen ynskjer å ta ansvar, meiner Haugli-Sandvik. Men det er mykje standardiserte og generelle IT-sikkerheitskurs.

– I liten grad hadde dei fått opplæring som var direkte maritimt operativt innretta og/eller tilpassa, seier ho.

Det vises i at 66 prosent av de spurte dekksoffiserane seier at dei er usikre eller usamde i at dei har nok opplæring til å handtere ei cyberhending om bord.

Store konsekvensar

Digitale IT-hendingar har konsekvensar for skipsoperasjonar. Dei slår ut administrative system for lastepapir, passasjerlister, digitale sertifikat og seglingsløyver og liknande. Drifta vert forsinka eller hindra.

Store økonomiske konsekvensar følgjer saman med tap av omdømet for utsette aktørar. Går skipet på land, er det snakk om store miljømessige katastrofar.

Krengar skipet? Kaptein Odd Sveinung Hareide tek kontakt med maskinrommet. <i>Foto:  Eli Anne Tvergrov/NTNU</i>
Krengar skipet? Kaptein Odd Sveinung Hareide tek kontakt med maskinrommet. Foto:  Eli Anne Tvergrov/NTNU

Nasjonalt tryggingsorgan (NSM) viser til at aktiviteten i cyberdomenet kan vere så avansert at vi ikkje registrerer den, og fordekt aktivitet kan halde seg skjult i lang tid. Korleis skal mannskap om bord reagere for å avdekke skjulte truslar?

Korleis kan mannskap om bord ta dei rette vurderingane i forkant eller dei konkrete avgjerslene i tidsvindauget få minutt før eit skip går på grunn?  

Det er viktig å skaffe kunnskap, forebygge og øve på dette som kan skje.

Dekksoffiserane og cybersikkerheit

Stipendiat Marie Haugli-Sandvik ser i sitt doktorgradsarbeid på korleis dekksoffiserar opplever cyberrisiko på sjøen.

– Prosjektet mitt inngår som del av arbeidet i eit av NTNU sine 12 senter for forskingsdriven innovasjon. Dette senteret, SFI Move (Marine Operations in Virtual Environments), arbeider med korleis framtidas maritime operasjonar kan sjå ut gjennom bruk av digitale tvillingar, maskinlæring og kontrollsenter på land, seier ho.

–  Eg forskar på korleis det kan utviklast målretta retningsliner, opplæring og risikokommunikasjon innanfor maritim cybersikkerheit. Eg undersøker også kva verktøy vi bør utvikle for å handtere ny cyberrisiko vi har fått til sjøs.

Å vere motstandsdyktig

– Mitt prosjekt er innan maritim cyber-resiliens, fortel Erlend Erstad. – Eg  ser på korleis navigatørar best mogleg kan vere motstandsdyktige, ruste seg mot, og overkome, cyberangrep mot integrerte navigasjonssystem om bord på skipet.

Stipendiat Erlend Erstad saman med figurant Einar Johan Lukkassen frå NTNU vurderer responsen frå brua. Stipendiat Marie Haugli-Sandvik saman med andre deltakarar og observatørar gjer klar for spelet vidare. <i>Foto:  Eli Anne Tvergrov/NTNU</i>
Stipendiat Erlend Erstad saman med figurant Einar Johan Lukkassen frå NTNU vurderer responsen frå brua. Stipendiat Marie Haugli-Sandvik saman med andre deltakarar og observatørar gjer klar for spelet vidare. Foto:  Eli Anne Tvergrov/NTNU

Erstad fortel om gjensidig nytte gjennom den gode kontakta med forskarar ved Cyber SHIP-lab ved University of Plymouth i England. Der forskar dei også på maritim cybersikkerheit.

– For å øve på realistiske handlingar og situasjonar i eit trygt miljø har dei opna ein større Cyber Range, spesielt utvikla for maritim sektor. Arenaen gjer dei som øver og dei som forskar i stand til å avdekke sårbarheiter i maritime navigasjon- og kontrollsystem for skip.

Simulerte hending

Ein av kursdeltakarane var Jetmund Fure Grøtting, som har yrkestittel Vessel Manager Subsea Construction og jobber i Solstad Offshore ASA. Han var godt fornøgd med utbyttet han fekk. <i>Foto:  Eli Anne Tvergrov/NTNU</i>
Ein av kursdeltakarane var Jetmund Fure Grøtting, som har yrkestittel Vessel Manager Subsea Construction og jobber i Solstad Offshore ASA. Han var godt fornøgd med utbyttet han fekk. Foto:  Eli Anne Tvergrov/NTNU

Til den større øvinga i kurset tok dei skipssimulatorane på NTNU i Ålesund i bruk. Også dei er unike i utforminga når det gjeld realisme. Deltakarane tok plass i skipssimulatorar, utforma som ei skipsbru slik som på eit større skip under fart ute i Nordsjøen.

– Simulatorscenarioet la vi tett opp til det som faktisk skjer på eit skip, samt heilt inntil det som skjer i kommunikasjonen mellom skipet og landsida. Men sjølv om scenarioet nytta fullskala maritime brusimulatorar, vart fokuset mest lagt på å få til god diskusjon, forklarer Erstad.

Med i øvinga var også deltakarar frå DNV, Norwegian Hull Club, Norma Cyber, Solstad, offentlege instansar som Kystverket og Høgskolen i  Innlandet, samt frå University of Plymouth. Desse var invitert inn som observatørar og som ressurspersonar i simuleringa.  

– Vi hentar mest læring i dialogen mellom aktørane i øvinga og i gjennomgangen etterpå, ikkje minst ved at ein då kan sjå det som vart øvd på og sjølve hendinga frå andre sin ståstad, seier Erstad.

Styrke dei som kan handtere situasjonen

– Det er store verdiar som står på spel. Det svake ledet er mennesket og det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon, seier professor Kevin Jones ved Universitetet i Plymouth. <i>Foto:  Børge Sandnes/NTNU</i>
– Det er store verdiar som står på spel. Det svake ledet er mennesket og det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon, seier professor Kevin Jones ved Universitetet i Plymouth. Foto:  Børge Sandnes/NTNU

Professor Kevin Jones leiar Maritime Cyber Threats Research Group og Cyber SHIP-lab ved Universitetet i Plymouth. Han viser til dei enorme verdiane som står på spel i verdsøkonomi og handel.

– Då det svære containerskipet «Ever Given» grunnstøytte i Suezkanalen, vart det peika på vêr og vind som årsak. Sjølv om dette ikkje var cyberangrep, illustrerer hendinga konsekvensar som rammar eit sårbart globalt system, seier Jones.

Snart 90 prosent av verdshandelen skjer i transport over havet gjennom maritime forsyningskjeder. Det er realistisk at ei liknande hending kan oppstå på grunn av digitale sårbarheiter og etter uautorisert tilgang til datamaskiner og kontrollsystem.

– Det svake ledet er mennesket, og det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon!

Tilpassa kompetanseheving

Øvingane og det konkrete kurset med deltakarane, figurantar og observatørar har styrka dei to stipendiatane sitt syn på at det er viktig med tilpassa kompetanseheving.

Kurset har fått ei tydeleg praktisk tilnærming til risikohandtering i eit digitalt perspektiv. Dette er også lagt inn som del av master i operativ maritim leiing.  

– Det er viktig at verksemdene i maritim sektor gjer seg kjent med sine verdiar, dei digitale trugslane og sårbarheitene dei har. Leiarane må kjenne sine tilsette som skal handtere dei digitale trugslane, og forstå kompetansebehovet dei har innan digital sikkerheit.

Medan halve gruppa var i skipssimulatorane hadde dei andre skrivebordsøving før felles refleksjon, gjennomgang og oppsummering. Mange læringspunkt vart henta ut. <i>Foto:  Eli Anne Tvergrov/NTNU</i>
Medan halve gruppa var i skipssimulatorane hadde dei andre skrivebordsøving før felles refleksjon, gjennomgang og oppsummering. Mange læringspunkt vart henta ut. Foto:  Eli Anne Tvergrov/NTNU

Neste kurs i maritim digital sikkerheit er planlagt til hausten i år. Då vert tilbodet i endå større grad skreddarsydd til leiarar, mellomleiarar, operative (seglande) og administrativt personell i det maritime, men vil også være svært nyttig for andre bransjar.

Artikkelen ble først publisert på Gemini.no

Sverre Holm testar ut MR-elastografi av hjernen i 2015. Sjølv om det ser skummelt ut, var det ikkje verre enn at han sovna i pausane.
Les også

Kan snart måle effekten av kreftbehandling uten inngrep

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.