Cybersikkerheit. BIletet er frå brua i simulatoren.
Skipet oppfører seg ikkje slik det skal. Kva skjer? Kaptein Odd Sveinung Hareide forklarer dei andre på brua kva han har gjort, kva han prioriterer akkurat no og neste trekk. Foto: Eli Anne Tvergrov, NTNU.

Kva gjer du om nokon tek kontroll over skipet ditt?

Risikoen for cyberangrep mot eit skip er reell. Operative mannskap om bord må få øve realistisk. No kan dei det.

Du står på brua og kursen er sett digitalt. Likevel, kvifor held skipet fram med å dreie mot vest?

På dataskjermane i det mørke styrhuset ser alt normalt ut – men utanfor vindauget kjem landsida faretruande nært! Kva er det som skjer?

Nede frå maskinrommet melder dei via radio at alt er normalt, men dei lurer på kvifor brua har sett ny kurs? Motorane rusar og skipet set fart. Det er ikkje maskinisten som gjer dette. Kva no?

Cybersikkerheit er eit heitt tema for heile den maritime bransjen, også i akademia. Nyleg gjennomførte dei eit heilt nytt cybersikkerheitskurs ved NTNU i Ålesund.

Truleg det fyrste i sitt slag

NTNU i Ålesund har gjennom Bransjeprogrammet sitt for maritim næring i år gitt tilbod i form av det nye kurset «Maritim digital sikkerheit».

Cybersikkerheit. Biletet er frå brua i simulatoren.

Stipendiat Marie Haugli-Sandvik gjer dei siste førebuingane saman med studieprogramleiar Arnt Myrheim Holm ved Institutt for havromsoperasjonar og byggteknikk før øvinga startar i skipssimulatorane. Foto: Eli Anne Tvergrov, NTNU.

Gjennom to månadar har kursdeltakarane sett på det digitale trusselbiletet. Dei har  risikovurdert aktuelle digitale truslar og øvd realistisk på eit cyberangrep på eit skip under segling. Stikkord er risikohandtering av cyberangrep og å bygge motstandsdyktigheit.

– Der det er informasjonsteknologi og menneske, er det rom for digital sårbarheit. Brot på sikkerheita kan kome i skipssystema og dei kan kome i hamnesystema og gjennom menneska som driv eller overvakar desse, forklarer Marie Haugli-Sandvik og Erlend Erstad.

Begge er doktorgradsstipendiatar ved Institutt for havromsoperasjonar og byggteknikk ved NTNU. Dei forskar på korleis den maritime næringa kan verte betre rusta for handtering av cyberangrep.

Stipendiatane har utvikla og no halde det maritime digitale sikkerheitskurset, truleg det fyrste i sitt slag her i landet.

Kurset inngår som ein del av doktoravhandlingane dei er i ferd med å gjere ferdig.

Internasjonale krav

  • Sjøfartsdirektoratet og Kystverket har eit strategimål om at sjøfolk og personell skal ha tilbod om naudsynt digital sikkerheitskompetanse. Utgangspunktet er internasjonale krav gitt av IMO (International Maritime Organization).
  • Dei internasjonale bransjeforeiningane og skipsfartsorganisasjonane har derfor fokus på dette temaet.
  • Innan dei grunnleggande krava for sjøfart kjem det snart endå strengare minimumskrav for cybersikkerheit. Strengare krav om trening, øving og opplæring kjem alt neste år. 

Utvikla saman med næringa

– Kurset vi har utvikla har kome til i eit tett samarbeid med industrien. Vi har høyrt på kva dei ynskjer, sett objektivt på kva behov dei har, for så å teste den beste løysinga vi kan kome opp med, forklarer Erlend Erstad.

Biletet viser Marie Haugli-Sandvik og Erlend Erstad.

Stipendiat Marie Haugli-Sandvik og Erlend Erstad forskar og har parallelt bygd opp eit maritimt digitalt sikkerheitskurs. Truleg er dette det fyrste av sitt slag her landet. Kurset er gjennomført som eit resultat av NTNUs samarbeid med den maritime industrien og andre universitet og høgskular. Foto: Eli Anne Tvergrov, NTNU

– Det er alltid betre med breidde i perspektivet og fleire innfallsvinklar i nye prosjekt og metodar. Også etablerte verksemder kan ha godt av friske auger. NTNU er ein god og rimeleg arena for å prøve ut nye idear. Som forskarar kan vi være med på å dekke næringa sitt akutte behov og samstundes ha god dialog om løysingar for framtida, seier Marie Haugli-Sandvik.

Har ikkje nok opplæring i cybersikkerheit

Haugli-Sandvik gjennomførte i vinter ei spørjeundersøking blant 293 seglande dekksoffiserar frå 11 større offshore-reiarlag i Noreg.

  • 83 % av desse svarte at dei hadde vore med på ei eller anna form for opplæring i cybersikkerheit.
  • 15 % svarte at det aldri hadde fått opplæring.
  • 2 % visste ikkje om dei hadde hatt opplæring. 

– 82 % av dei seglande dekksoffiserane svarte at dei hadde fått opplæringa som e-læring og/eller at dei hadde delteke i digitale sikkerheitskampanjar sendt frå arbeidsgivar, seier ho.

I stor utstrekning var det arbeidsgivarane som hadde stått for opplæringa i form av kurs. Dette viser at bransjen ynskjer å ta ansvar, meiner Haugli Sandvik. Men det er mykje standardiserte og generelle IT-sikkerheitskurs.

– I liten grad hadde dei fått opplæring som var direkte maritimt operativt innretta og/eller tilpassa, seier Haugli-Sandvik.

Det vises i at 66 % av de spurte dekksoffiserane seier at dei er usikre eller usamde i at dei har nok opplæring til å handtere ei cyberhending om bord.

Utfordringar frå Risikorapport 2022

  • Sjøfartsdirektoratet og Kystverket peika på fleire utfordringar i Rapport om strategi for maritim digital sikkerheit 2020.
  • I Risikorapport 2022 viser Nasjonalt tryggingsorgan (NSM) til ei tredobling i talet på alvorlege hendingar og cyberoperasjonar frå 2019 til 2021. Tilsvarande rapport for 2023 tek blant anna opp at det er mange sårbarheiter i uoversiktlege leverandørkjeder og at med meir uforutsigbarheit må ein ha betre beredskap.
  • Digitaliseringa i den maritime næringa skjer både i tradisjonelle system for informasjonsteknologi (IT-system) og i operasjonell teknologi i system for automatisering, framdrift, styring og andre kontrollsystem. Til meir bruk av fjerntilkopling, integrering og digitalisering i den operasjonelle teknologien, til meir sårbar kan drifta verte.
  • Samstundes er driftstida generelt for større skip mellom 25 og 35 år, og oppgraderingar innan det digitale i heile den internasjonale flåten skjer vanlegvis stegvis og over tid. Det er stor variasjon i datautstyr om bord både for administrative funksjonar og styringssystem.
  • Situasjonen kan overførast til mykje av det som også skjer i hamnene, der stadig fleire operasjonar automatiserast. Innan hamnetrafikken er det avdekka hendingar som viser angrep på IT og administrative system. Desse fører til driftsstans, informasjonstjuveri og manipulasjon knytt til smugling av gods.   

Store konsekvensar

Digitale IT-hendingar har konsekvensar for skipsoperasjonar. Dei slår ut administrative system for lastepapir, passasjerlister, digitale sertifikat og seglingsløyver og liknande. Drifta vert forsinka eller hindra.

Store økonomiske konsekvensar følgjer saman med tap av omdømet for utsette aktørar. Går skipet på land er det snakk om store miljømessige katastrofar.

Nasjonalt tryggingsorgan (NSM) viser til at aktiviteten i cyberdomenet kan vere så avansert at vi ikkje registrerer den, og fordekt aktivitet kan halde seg skjult i lang tid. Korleis skal mannskap om bord reagere for å avdekke skjulte truslar?

Korleis kan mannskap om bord ta dei rette vurderingane i forkant eller dei konkrete avgjerslene i tidsvindauget få minutt før eit skip går på grunn?  

Det er viktig å skaffe kunnskap, forebygge og øve på dette som kan skje.

Cybersikkerheit. Biletet er frå brua i simulatoren.

Krengar skipet? Kaptein Odd Sveinung Hareide tek kontakt med maskinrommet. Foto: Eli Anne Tvergrov, NTNU.

Dekksoffiserane og cybersikkerheit

Stipendiat Marie Haugli-Sandvik ser i sitt doktorgradsarbeid på korleis dekksoffiserar opplever cyberrisiko på sjøen.

Biletet viser Jetmund Fure Grøtting.

Ein av kursdeltakarane var Jetmund Fure Grøtting, Vessel Manager Subsea Construction frå Solstad Offshore ASA. Han var godt fornøgd med utbyttet han fekk. Foto: Eli Anne Tvergrov, NTNU

– Prosjektet mitt inngår som del av arbeidet i eit av NTNU sine 12 senter for forskingsdriven innovasjon. Dette senteret, SFI MOVE (Marine Operations in Virtual Environments), arbeider med korleis framtidas maritime operasjonar kan sjå ut gjennom bruk av digitale tvillingar, maskinlæring og kontrollsenter på land, seier ho.

–  Eg forskar på korleis det kan utviklast målretta retningsliner, opplæring og risikokommunikasjon innanfor maritim cybersikkerheit. Eg undersøker også kva verktøy vi bør utvikle for å handtere ny cyberrisiko vi har fått til sjøs.

Å vere motstandsdyktig

– Mitt prosjekt er innan maritim cyber-resiliens, fortel Erlend Erstad. – Eg  ser på korleis navigatørar best mogleg kan vere motstandsdyktige, ruste seg mot, og overkome, cyberangrep mot integrerte navigasjonssystem om bord på skipet.

Maritime Cyber Resilience (MarCy )

  • Forskingsprosjektet er eit samarbeid mellom NTNU, Forsvarets høgskole (FHS) med Sjøkrigsskolen (SKSK) og Cyberingeniørskolen (CiS), Kongsberg Defence and Aerospace (KDA), Norwegian Hull Club (NHC) og DNV.
  • Under namnet MarCy (Maritime Cyber Resilience) er dette finansiert gjennom Norges Forskningsråd og industripartnarane som deltek.

Erstad fortel om gjensidig nytte gjennom den gode kontakta med forskarar ved Cyber SHIP-lab ved University of Plymouth i England. Der forskar dei også på maritim cybersikkerheit.

– For å øve på realistiske handlingar og situasjonar i eit trygt miljø har dei opna ein større Cyber Range, spesielt utvikla for maritim sektor. Arenaen gjer dei som øver og dei som forskar i stand til å avdekke sårbarheiter i maritime navigasjon- og kontrollsystem for skip.

Biletet viser Erlend Erstad og Einar Johan Lukkassen under øvinga.

Stipendiat Erlend Erstad saman med figurant Einar Johan Lukkassen frå NTNU vurderer responsen frå brua. Stipendiat Marie Haugli-Sandvik saman med andre deltakarar og observatørar gjer klar for spelet vidare. Foto: Eli Anne Tvergrov, NTNU

Simulerte hending

Til den større øvinga i kurset tok dei skipssimulatorane på NTNU i Ålesund i bruk. Også dei er unike i utforminga når det gjeld realisme. Deltakarane tok plass i skipssimulatorar, utforma som ei skipsbru slik som på eit større skip under fart ute i Nordsjøen.

Biletet er frå ei øving rundt bordet.

Medan halve gruppa var i skipssimulatorane hadde dei andre skrivebordsøving før felles refleksjon, gjennomgang og oppsummering. Mange læringspunkt vart henta ut. Foto: Eli Anne Tvergrov, NTNU

– Simulatorscenarioet la vi tett opp til det som faktisk skjer på eit skip, samt heilt inntil det som skjer i kommunikasjonen mellom skipet og landsida. Men sjølv om scenarioet nytta fullskala maritime brusimulatorar, vart fokuset mest lagt på å få til god diskusjon, forklarer Erstad.

Med i øvinga var også deltakarar frå DNV, Norwegian Hull Club, NORMA Cyber, Solstad, offentlege instansar som Kystverket og Høgskolen i  Innlandet, samt frå University of Plymouth. Desse var invitert inn som observatørar og som ressurspersonar i simuleringa.  

– Vi hentar mest læring i dialogen mellom aktørane i øvinga og i gjennomgangen etterpå, ikkje minst ved at ein då kan sjå det som vart øvd på og sjølve hendinga frå andre sin ståstad, seier Erstad.

Styrke dei som kan handtere situasjonen

Professor Kevin Jones leiar Maritime Cyber Threats Research Group og Cyber SHIP-lab ved Universitetet i Plymouth. Han viser til dei enorme verdiane som står på spel i verdsøkonomi og handel.

– Då det svære containerskipet «Ever Given» grunnstøytte i Suezkanalen, vart det peika på vêr og vind som årsak. Sjølv om dette ikkje var cyberangrep, illustrerer hendinga konsekvensar som rammar eit sårbart globalt system, seier Jones.

Snart 90% av verdshandelen skjer i transport over havet gjennom maritime forsyningskjeder. Det er realistisk at ei liknande hending kan oppstå på grunn av digitale sårbarheiter, og etter uautorisert tilgang til datamaskiner og kontrollsystem.

– Det svake ledet er mennesket, og det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon!

Tilpassa kompetanseheving

Øvingane og det konkrete kurset med deltakarane, figurantar og observatørar har styrka dei to stipendiatane sitt syn på at det er  viktig med tilpassa kompetanseheving.

Cybersikkerheit. Biletet viser Kevin Jones.

– Det er store verdiar som står på spel. Det svake ledet er mennesket og det er dette leddet som må styrkast. Mennesket er ressursen om bord som kan handtere ein slik situasjon: Professor Kevin Jones leiar av «Maritime Cyber Threats Research Group» og Cyber SHIP-lab ved Universitetet i Plymouth. Foto: Børge Sandnes, NTNU

Det truleg unike kurset i norsk samanheng ved NTNU i Ålesund, har fått ei tydeleg praktisk tilnærming til risikohandtering i eit digitalt perspektiv. Dette er også lagt inn som del av master i operativ maritim leiing.  

– Det er viktig at verksemdene i maritim sektor gjer seg kjent med sine verdiar, dei digitale trugslane og sårbarheitene dei har. Leiarane må kjenne sine tilsette som skal handtere dei digitale trugslane, og forstå kompetansebehovet dei har innan digital sikkerheit.

Neste kurs i Maritim Digital Sikkerheit er planlagt til hausten i år. Då vert tilbodet i endå større grad skreddarsydd til leiarar, mellomleiarar, operative (seglande) og administrativt personell i det maritime, men vil også være svært nyttig for andre bransjar.

Referanse: Erstad, E., Hopcraft, R., Vineetha Harish, A. et al. A human-centred design approach for the development and conducting of maritime cyber resilience training. WMU J Marit Affairs (2023). https://doi.org/10.1007/s13437-023-00304-7

Sikkerheitsråd til sjøs

Den maritime næringa må heve merksemda på kva ein risikerer ved å ikkje forebygge. Her er nokre generelle råd:

Sjekkliste på individnivå om bord:

  1. Installere sikkerheitsoppdateringar så snart dei kjem og mest mogleg automatisk.
  2. Ikkje tildel administratorrettigheiter til sluttbrukarar.
  3. Ikkje tillat bruk av svake passord. Innfør, der det er mogleg, at brukar beviser identiteten sin gjennom fleirledda sikkerheits- og godkjenningsprosedyrar (multifaktorautentisering).
  4. Fas ut eldre IKT-produkt.
  5. Ikkje tillat anna enn programvare som er godkjent av verksemda eller einingsleverandør.

Sjekkliste på systemnivå om bord og på land:

  1. Innfør system for autentisering og autorisasjon av brukarar til nødvendig informasjon.
  2. Innfør vern av alle data på rett nivå ut frå sensitiviteten til informasjonen.
  3. Innfør styrt tilgang for IT-brukarane om bord og på land, slik at kvar einskild berre har tilgang og rettigheiter til informasjonen dei er autorisert for.
  4. Innfør styrt kommunikasjon mellom skip og landsida med sikkerheit i fokus.
  5. Innfør responsplan for cyberhendingar basert på grundige  risikovurderingar.

Kilde: NSM og The Guidelines on Cyber Security Onboard Ships – version 4 2020)