Stadig flere kontrollsystemer på skip kan være kontinuerlig tilkoblet internett, og er dermed svært sårbare for dataangrep.
Datamaskiner på broen og i maskinrom, containere med tempreaturregulerende systemer eller spesialisert last som kan spores, navigasjonsinstrumenter og dynamiske posisjoneringssystemer (DP).
Alle er eksempler på instrumenter som gjerne er kontinuerlig koblet til internett og dermed særlig sårbare for angrep. Nå som autonome skip gjør sitt inntog i maritim industri blir frykten for hackere stadig større.
– Autonome skip kan brukes i terrorangrep ved å ta kontroll over skipet og kjøre i høy hastighet inn i andre skip eller byer langs kysten. En annen vanlig måte pirater opererer på er å gjemme skipet for deretter å kreve løsepenger.
Det skriver den gang Rolls-Royce Marine, nå Kongsberg Maritime, i en patentsøknad som de tidligere i år fikk godkjent i Norge. Patentet skal forhindre at autonome fartøy overtas av pirater og hackere.
Hardkoding
Konseptet er kort fortalt et kontrollsystem som samarbeider med et sikkerhetssystem. I kontrollsystemet er de ulike seilingsrutene skipet har lov til å gjennomføre hardkodet inn i kildekoden. De skal altså ikke kunne endres av sluttbrukeren.
Sikkerhetssystemet er konfigurert til å motta nye styringssignaler fra land eller hvor enn det autonome skipet styres fra. Systemet leser signalet og sjekker om det er innenfor de hardkodede seilingsrutene.
Hvis signalet sier at skipet skal gjennomføre en seilas utenfor området som systemet gir den lov til, sendes ikke signalet videre til det dynamiske posisjoneringssystemet om bord.
Da skal det altså være svært vanskelig å bruke skipet til å utføre farlige manøvre, eller endre kurs utenfor skipets vanlige ruter, selv om man klarer å hacke seg inn i kontrollsystemet og gi skipet nye retningssignaler.
Ifølge kommunikasjonssjef Anette Bonnevie Wollebæk i Kongsberg Maritime er ikke systemet satt i drift ennå.
– Patentet er kort sagt tatt ut for å beskytte en god idé som kan ha kommersiell verdi, skriver hun i en e-post til TU.
Her kan du lese hele beskrivelsen av patentet.
Forbudt for kongeskipet – tillater store cruiseskip
Maersk utsatt for omfattende løsepengevirus
Det siste store kjente dataangrepet i maritim sektor rammet den danske shippingkjempen Maersk i 2017. I kvartalsrapporten anslår selskapet at angrepet ville koste opp mot 300 millioner dollar, tilsvarende 2,4 milliarder kroner.
Maersk var en av mange bedrifter, hovedsakelig i Europa, som ble rammet av et stort krypto- og utpressingsangrep, kalt NotPetya.
Ifølge forsikringsselskapet Gard er noen av de vanligste svakhetene på både nye og gamle skip i dag følgende:
- Operativsystemer som ikke lenger støttes.
- Utdatert antivirus-software.
- Bruk av opprinnelige passord og administrasjonskontoer som kom med systemet.
- For dårlig kontroll med hvem som har tilgang på systemene, for eksempel serviceleverandører.
Hacking er generelt sett blitt et større problem i Norge. I Nasjonal sikkerhetsmyndighets siste vurdering i 2018, slår de fast at risikobildet har blitt verre som følge av norske selskapers sårbarhet for dataangrep.
«Nye cybersårbarheter, kombinert med en negativ utvikling av trusselbildet, øker risikoen for å bli rammet av sikkerhetstruende hendelser», heter det i rapporten.
To av fem: Bare flaks at sikkerhetsbrudd ble oppdaget
Næringslivets sikkerhetsråd (NSR) kartlegger hvert år sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor hvert år. Den såkalte Mørketallsundersøkelsen 2018 viser at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av dataangrep.
De som har klart å tallfeste det økonomiske tapet som følge av en hendelse har i snitt har mistet 54.000 kroner hver, ifølge NSR. Til sammen utgjør det 30 millioner kroner bare for de som har svart på undersøkelsen.
Opinion, som har gjennomført undersøkelsen, beregner at det vil si et totalt tap for næringslivet på 1,3 milliarder kroner.
Under presentasjonen av funnene i fjor beskrev direktør i NSR, Jack Fischer Eriksen, dette som et ekstremt forsiktig estimat.
– Vi tror at dette bare er kostnader for å rette opp forstyrrelsene man er utsatt for, altså få gjenopprettet tilstanden på dataene sine. Så 1,3 milliarder mener vi er et svært stort beløp bare i forbindelse med forstyrrelser i det daglige hos næringslivet, sa han.
To av tre virksomheter svarte at tilfeldigheter og uflaks var blant årsakene til at de ble utsatt for sikkerhetsbrudd. Samtidig sa to av fem at det var tilfeldig at de oppdaget sikkerhetsbruddet i det hele tatt.
Havila Polaris: Settes i drift på lørdag