समुद्री साइबर सुरक्षा: एक नया दृष्टिकोण की आवश्यकता है

रिक स्कॉट द्वारा8 मई 2018
© stepheng101 / एडोब स्टॉक
© stepheng101 / एडोब स्टॉक

यह एक मात्रात्मक दृष्टिकोण की ओर बढ़ने का समय है जो समुद्री ऑपरेटिंग सिस्टम में देखे गए व्यक्तिगत जोखिम तत्वों की गहरी समझ प्रदान करता है।

जटिल समुद्री ऑपरेटिंग सिस्टम में बढ़ती कनेक्टिविटी साइबर से संबंधित घटनाओं के संभावित प्रभाव को बढ़ा रही है और उनके खिलाफ बचाव के कार्य को जटिल बना रही है। साइबर जोखिम का आकलन करने के लिए पारंपरिक तरीके सीमित सुरक्षा संसाधनों को लागू करने के लिए अपर्याप्त मार्गदर्शन प्रदान करते हैं।

वर्तमान में, उपलब्ध जोखिम मूल्यांकन विधियां काफी हद तक गुणात्मक हैं। फिर भी, ये विधियां जोखिम प्रबंधन योजनाओं के लिए वर्तमान नींव प्रदान करती हैं, जिन पर मालिकों और ऑपरेटरों को साइबर सुरक्षा प्रथाओं की पहचान, रक्षा, पता लगाने और पुनर्प्राप्त करने के लिए आधार कार्यक्रम होते हैं। उस मॉडल पर बिल्डिंग, यह एक मात्रात्मक दृष्टिकोण की ओर बढ़ने का समय है जो समुद्री ऑपरेटिंग सिस्टम में देखे गए व्यक्तिगत जोखिम तत्वों की गहरी समझ प्रदान करता है, और उन्हें कम करने के लिए इंजीनियरिंग "knobs to turn" के साथ मालिकों को प्रदान करता है।

साइबर जोखिम का प्रतिनिधित्व करने के लिए उपयोग किया जाने वाला सबसे आम समीकरण है: जोखिम = धमकी x भेद्यता x परिणाम। यह समीकरण चिकित्सकों के लिए उपयोगी साबित हुआ है क्योंकि विश्लेषकों ने सहजता से यह समझने में मदद की है कि जोखिम में तीन घटक तत्व हैं, और इन तत्वों में से किसी एक को हटाकर, जोखिम को कम किया जा सकता है। लेकिन साइबर सुरक्षा जोखिम की प्रकृति को समझने के लिए संदर्भ मॉडल की तुलना में, यह सूत्र गणितीय अर्थ में एक समीकरण कम है। इसके तीन तत्वों को बड़े पैमाने पर मापना मुश्किल होता है और एक साइबर सुरक्षा समाधान का अभियंता और / या गणना करने की कोशिश करते समय समस्याग्रस्त होते हैं। आधुनिक समुद्री जोखिम प्रैक्टिशनर के लिए, मूल चुनौती एक ऐसा मॉडल बनाना है जो साइबर जोखिम को परिभाषित करता है ताकि इसे समुद्री ऑपरेटिंग सिस्टम के लिए गिना जा सके, मापा जा सके, गणना और मॉडलिंग किया जा सके।

एबीएस ने हाल ही में समुद्री क्षेत्र के लिए इस समस्या का शोध करने के लिए स्टीवंस संस्थान के साथ सहयोग किया और समीकरणों को फिर से परिभाषित किया जो कि गणनीय, देखने योग्य और आसानी से समझा जा सके। Stevens संस्थान के साथ हमारे शोध की खोज में से एक यह था कि cybersecurity के भीतर समुद्री जोखिम की प्रकृति अच्छी तरह से परिभाषित या समझ में नहीं आता है। न ही यह विशेष रूप से अच्छी तरह से प्रबंधित है।

नतीजा एक नया मॉडल है जो मालिकों को साइबर सुरक्षा जोखिम पर नियंत्रण प्राप्त करने में मदद करता है।

इन जोखिमों को ड्राइव विशिष्ट आवश्यकताओं, इंजीनियरिंग निर्णयों और संसाधन प्रतिबद्धताओं को चालू करने में मदद करता है। मॉडल उन समाधानों की पहचान करने पर केंद्रित है जो कम्प्यूटेशनल रूप से इंजीनियर हैं, अत्यधिक विस्तृत और प्रबंधित किए जाने वाले जोखिमों के संदर्भ में।

प्रभावी रूप से, यह संपत्ति मालिक के हाथों में साइबर जोखिमों का जवाब देने के लिए नियंत्रण रखता है।

उद्योग के साइबर जोखिम प्रथाओं को अधिक पारंपरिक रक्षात्मक तरीकों से दूर करने के लिए एक मापनीय प्रक्रिया में स्थानांतरित करने के लिए उद्योग को वार्तालाप को बदलने की आवश्यकता होगी, लेकिन सबसे महत्वपूर्ण बात यह भी है कि जोखिम प्रैक्टिसर्स जोखिम के बारे में क्या सोचते हैं, इसमें बदलाव की आवश्यकता होगी।

ऑपरेटिंग टेक्नोलॉजी के लिए जोखिम समीकरण के गणना योग्य तत्वों के रूप में 'परिणाम, भेद्यता, और धमकी' का प्रतिनिधित्व करने के लिए, हमने उन्हें क्रमशः 'कार्य, कनेक्शन और पहचान' (एफसीआई) की अवधारणाओं के साथ बदल दिया।

'कार्य' चालक दल को जहाज को घुमाने या अपने मिशन को करने की अनुमति देता है, जो तेल ड्रिलिंग से कुछ भी हो सकता है, लोगों और माल ले जाने के लिए, या प्रत्येक के संयोजन। एफसीआई जोखिम समीकरण में, वे सिस्टम का प्रतिनिधित्व करते हैं कि एक साइबर हमलावर नियंत्रण या हारने की कोशिश करेगा: स्टीयरिंग, स्थान मॉनीटर, प्रणोदन प्रणाली, संचार, उनके उद्देश्य को पूरा करने के लिए कुछ भी।

समुद्री कनेक्शन के संबंध में 'कनेक्शन' का प्रतिनिधित्व करता है, कैसे कार्यों एक दूसरे के साथ संवाद, उपग्रहों, उपग्रहों, इंटरनेट आदि के साथ संवाद करते हैं।

प्रत्येक कनेक्शन के भीतर एक 'नोड' होता है, जिस बिंदु से साइबर घुसपैठ का लाभ होता है।

'पहचान' या तो एक मानव, या एक डिजिटल डिवाइस हैं। पहचान के साथ खतरे को बदलने से धमकी की गणना की जा सकती है, समुद्री जोखिम गणना को आगे बढ़ाने के लिए एक महत्वपूर्ण अवधारणा।

एफसीआई मॉडल के संदर्भ में, एक खतरे में एजेंडा होना चाहिए। ये अनजाने व्यवहारों के लिए साइबर जोखिमों के प्रति जागरूकता की कमी से हो सकते हैं - "मैं कंपनी के नियमों का पालन नहीं कर रहा हूं और अपने कर्तव्यों को सुरक्षित तरीके से निष्पादित नहीं कर रहा हूं" - या नौसेना के सिस्टम को अपहरण जैसे कार्यों को चोरी या नष्ट करने के लिए , या अन्य कार्य सामान्य संचालन के लिए विघटनकारी, आमतौर पर मौद्रिक लाभ के लिए।

कार्यों, कनेक्शन और पहचान से मात्रात्मक डेटा को तब गिना जाता है और एक वर्कशीट को पॉप्युलेट करने के लिए उपयोग किया जाता है जो एक जोखिम सूचकांक बनाता है ताकि यह प्रदर्शित किया जा सके कि विशिष्ट एफसीआई परिवर्तन प्रत्येक सिस्टम की कॉन्फ़िगरेशन के सापेक्ष जोखिम को कैसे बदलेंगे।

यहां वर्णित प्रक्रिया सरल है, लेकिन जोखिम सूचकांक अंततः पोत पर अलग-अलग प्रणालियों के स्थापत्य डिजाइन से जुड़े सापेक्ष जोखिम का मात्रात्मक दृश्य प्रदान करता है। यह ऐसा कुछ है जो समुद्री साइबर सुरक्षा स्थान में गायब है।

एफसीआई विधि निर्धारित करती है कि कनेक्शन नोड्स (एक्सेस पॉइंट) पर्याप्त रूप से संरक्षित हैं या नहीं, और संपत्ति मालिक ने उन लोगों की पहचान नियंत्रित की है जिन्हें पोत नियंत्रण प्रणाली वास्तुकला के भीतर नोड्स और प्रतिबंधित क्षेत्रों तक पहुंच प्रदान की गई है या नहीं।

सूचकांक समग्र घटक में प्रत्येक घटक के योगदान को दर्शाता है। उदाहरण के लिए, व्यक्तिगत जोखिम योगदान के आधार पर, मालिक मानव-मशीन इंटरफेस, सेल फोन, अंगूठे ड्राइव या इंटरनेट से कनेक्शन के माध्यम से, सिस्टम को कैसे पहुंचा जा रहा है, फिर से इंजीनियर करने के लिए नेटवर्क आर्किटेक्चर को फिर से डिजाइन कर सकते हैं।

यह नया दृष्टिकोण मालिक को प्रत्येक जहाज के साथ जुड़े रिश्तेदार जोखिम को निर्धारित करने के लिए बेड़े के व्यापक दृश्य को लेने की अनुमति देता है जिस तरह से इसकी डिजिटल प्रणाली डिज़ाइन की जाती है, जिस तरह से लोगों को इसे एक्सेस करने की अनुमति होती है, और नोड्स या एक्सेस पॉइंट्स , संरक्षित हैं।

एबीएस एफसीआई दृष्टिकोण के माध्यम से गणना की गई जोखिम सूचकांक प्रदान करता है, जो कि एक संख्या है जो जहाज पर डिजिटल सिस्टम के डिजाइन और संचालन में अंतर्निहित जोखिम के सापेक्ष स्तर का प्रतिनिधित्व करती है। यह मालिकों को यह तय करने में सहायता करता है कि उनके अक्सर सीमित साइबर-रक्षा संसाधनों को कहां तैनात किया जाए।

उद्योग में पुरानी कहावत है: आप जो प्रबंधित नहीं करते हैं उसका प्रबंधन नहीं कर सकते हैं। चूंकि समुद्री उद्योग ऑटोमेशन की ओर अपने मार्च को जारी रखता है, इसलिए कंपनियां साइबर जोखिम को मापने और प्रबंधित करने के लिए नए डिजिटल युग में चुनौतियों से निपटने के लिए बेहतर स्थिति में रहेंगी।

एक उद्योग के रूप में, साइबर जोखिम को मापने की क्षमता परिचालन दक्षता और सुरक्षा के लिए मूल आधार बन जाएगी।


( समुद्री रिपोर्टर और इंजीनियरिंग समाचार के अप्रैल 2018 संस्करण में प्रकाशित)

श्रेणियाँ: प्रौद्योगिकी, वर्गीकरण सोसाइटीज, वर्गीकरण सोसाइटीज, समुद्री सुरक्षा, समुद्री सुरक्षा, सॉफ़्टवेयर समाधान, सॉफ़्टवेयर समाधान