"साइबर सुरक्षा एक धोखा है" और अन्य समुद्री गलतफहमियाँ

ग्रेग ट्राउथवेन9 अक्तूबर 2024
कॉपीराइट लैलाबी/एडोबस्टॉक
कॉपीराइट लैलाबी/एडोबस्टॉक

अमेरिकी तट रक्षक बल द्वारा साइबर सुरक्षा पर नए नियम जारी किए जाने के साथ, एबीएस की साइबर सुरक्षा निदेशक एंजेलिकी ज़िसिमातौ, समुद्री साइबर सुरक्षा पर विस्तार से चर्चा करने के लिए अद्वितीय स्थिति में हैं, जिसमें उन्होंने मसौदा नियमों से जो देखा और सुना है, उसके बारे में अंतर्दृष्टि के साथ, जहाज मालिकों के लिए इसका क्या अर्थ हो सकता है, इस पर सलाह भी शामिल है।

साइबर सुरक्षा और उससे संबंधित सभी चीजें समुद्री क्षेत्र में तेजी से प्राथमिकता की सीढ़ी चढ़ रही हैं, क्योंकि कनेक्टिविटी पर बढ़ती निर्भरता एक दोधारी तलवार है, जो खतरे और खतरे दोनों को दर्शाती है।

जबकि साइबर सुरक्षा की तैयारी का स्तर सभी उद्योगों में व्यापक रूप से भिन्न होता है, शायद सबसे बड़ी चिंता यह है कि कुछ लोग जोखिम को स्वीकार भी नहीं करते हैं। "पिछले आठ वर्षों में मैंने कई बार सुना है 'साइबर सुरक्षा एक धोखा है'; मैंने इसे बार-बार क्रू, ऑपरेटरों, मालिकों से सुना है," एबीएस के साइबर सुरक्षा निदेशक एंजेलिकी ज़िसिमातौ ने कहा, क्योंकि उनका मानना है कि उनके ऑनबोर्ड सिस्टम ऑनबोर्ड कनेक्टिविटी से 'एयर-गैप' हैं, जिससे सुरक्षा की झूठी भावना पैदा होती है।

ABS के लिए पहला कदम यह बताना, शिक्षित करना और यह दर्शाना है कि हाँ, खतरा वास्तविक है। दुनिया की सबसे बड़ी शिपिंग कंपनियों में से एक AP Moller-Maersk Group से पूछिए, जिस पर 2017 में NotPetya हमला हुआ था, जिससे 10 दिनों तक परिचालन बाधित रहा और राजस्व में करोड़ों का नुकसान हुआ।

जबकि समुद्री क्षेत्र में सामूहिक रूप से साइबर सुरक्षा को लेकर धीमी गति रही है, ज़िसिमातौ ने कहा कि बड़े बेड़े के मालिक और संचालक जोखिम को गंभीरता से ले रहे हैं - अपने स्वयं के सुरक्षित संचालन केंद्रों में भारी निवेश कर रहे हैं - और उन्हें उद्योग में दृष्टिकोण में बदलाव दिखाई देने लगा है, खासकर जब नॉटपेट्या जैसी हाई प्रोफाइल घटनाएँ सुर्खियाँ बटोरती हैं और समस्या के संभावित दायरे को दर्शाती हैं। एक ड्राइवर भी, हमेशा की तरह, अंतर्राष्ट्रीय समुद्री संगठन और अमेरिकी तट रक्षक से उभरते नियम हैं।

"छोटे और मध्यम आकार के ऑपरेटरों और मालिकों के लिए, मेरा मानना है कि विनियमन ही उनकी गतिविधियों को संचालित करता है, इसलिए वे न्यूनतम कार्य करने का प्रयास करते हैं, तथा वही करते हैं जो अनिवार्य या अनुशंसित है," जिसिमातोउ ने कहा।



नए USCG साइबर सुरक्षा नियम

13 नवंबर, 2024 को न्यू ऑरलियन्स के मोरियल कन्वेंशन सेंटर में "साइबर सिक्योरिटी लंच एंड लर्न" में शामिल हों। यह कार्यक्रम नए USCG साइबर सुरक्षा नियमों और पोत मालिक ऑपरेटरों पर उनके संभावित प्रभाव पर एक मॉडरेटेड चर्चा है। निःशुल्क पंजीकरण के लिए यहाँ क्लिक करें।




अंतराल को भरना

जैसे-जैसे नए, कनेक्टेड जहाज़ तेज़ी से लाइन पर आ रहे हैं, और नाविकों की नई पीढ़ी - ऑनलाइन मूल निवासी - समुद्री क्षेत्र की कमान तेज़ी से संभाल रहे हैं, साइबर सुरक्षा जागरूकता और कार्रवाई भी कदम-दर-कदम आगे बढ़ेगी। तब तक, बहुत काम बाकी है।

"विषय पर ज्ञान की कमी, [साथ ही] प्रशिक्षण और जागरूकता की कमी; जो चालक दल और तटवर्ती कर्मियों पर लागू होती है," यकीनन आज सबसे बड़ा अंतर है, जिसिमातोउ ने कहा। "यहां तक कि शिपिंग कंपनियां जो जानती हैं कि उन्हें कार्रवाई करने की आवश्यकता है, वे अपने आईटी विभाग को कार्य सौंप सकती हैं, और आमतौर पर, आईटी कर्मियों को जहाज पर मौजूद प्रणालियों के बारे में [बहुत कम या कोई] ज्ञान नहीं होता है," यह एक चुनौती पेश करता है कि कहां से शुरुआत करें।

विंडोज एनटी और अन्य पुराने सॉफ्टवेयर सहित मौजूदा सिस्टम पर चलने वाली पुरानी प्रणालियों की प्राचीनता, भेद्यता के संदर्भ में समान रूप से बड़ी चुनौती पेश करती है।

समुद्री आपूर्ति श्रृंखला में एक और संभावित समस्या ऑनबोर्ड सिस्टम के रखरखाव और उन्नयन पर पर्याप्त दृश्यता का न होना है, क्योंकि आमतौर पर जहाज के मालिक और प्रबंधक सिस्टम तक पहुँचने और उसे अपग्रेड करने के लिए विक्रेताओं को जहाज पर शारीरिक रूप से बुलाते हैं, जिससे जहाज पर वास्तव में क्या अपडेट और इंस्टॉल किया गया है, इस पर बहुत कम या कोई दृश्यता नहीं मिलती है। महत्वपूर्ण सिस्टम अपडेट और रखरखाव पर पूर्ण नियंत्रण और दृश्यता प्राप्त करना जहाज के मालिक/प्रबंधक की 'करने के लिए' सूची में एक और प्राथमिकता वाला आइटम है।

यद्यपि अंतराल और समस्याएं संभावित रूप से बड़ी हैं, फिर भी समाधान आसान हो सकते हैं, कम से कम शुरुआत में तो।

"मैं स्पष्ट बात से शुरू करूँगा," ज़िसिमातौ ने कहा। "सबसे पहले, इसे गंभीरता से लें। इसे अपने संचालन और अपने व्यवसाय के लिए एक वास्तविक जोखिम मानें। जो अनिवार्य है, या जो IMO द्वारा अनुशंसित है, जो NIST, साइबर सुरक्षा ढांचे द्वारा अनुशंसित है, उसका पालन करें। चरणों का पालन करें। बहुत मजबूत जोखिम मूल्यांकन के साथ शुरू करें, और कमरे में सही लोगों को रखें; संचालन से लोग और आईटी पक्ष से लोग। विचार-मंथन करें; वास्तव में जोखिमों के बारे में सोचें और उन्हें कैसे कम किया जाए। यदि जोखिम की आपकी पहचान खराब है, तो लागू किए जाने वाले नियंत्रण भी खराब होंगे।"

"इसके अलावा अन्य चीजें भी हैं, जैसे कि हर तीन महीने में साइबर सुरक्षा अभ्यास जो विनियमन के अंतर्गत आवश्यक है, जो हमें लगता है कि थोड़ा ज़्यादा बार-बार होता है। फिर कोई विशेष जानकारी नहीं है; इसका क्या मतलब है, किस चीज़ का परीक्षण करने की आवश्यकता है?"
एंजेलिकी ज़िसिमातौ, निदेशक साइबर सुरक्षा, एबीएस


नये तटरक्षक नियम

इस वर्ष की शुरुआत में, तटरक्षक बल ने संघीय रजिस्टर में एक प्रस्तावित नियम प्रकाशित किया था, जिसमें यू.एस. ध्वज वाले जहाजों, बाहरी महाद्वीपीय शेल्फ पर सुविधाओं और 2002 के समुद्री परिवहन सुरक्षा अधिनियम के तहत विनियमों के अधीन अमेरिकी सुविधाओं के लिए न्यूनतम साइबर सुरक्षा आवश्यकताओं की स्थापना पर विशेष रूप से ध्यान केंद्रित करके समुद्री सुरक्षा नियमों को अद्यतन करने का प्रस्ताव था। नए नियमों को इस वर्ष के अंत में अंतिम रूप दिए जाने की उम्मीद है, और कई सवाल बने हुए हैं कि वे क्या अनिवार्य करेंगे, और यह अंततः जहाज के मालिक / ऑपरेटर की प्रक्रिया और लागत को कैसे प्रभावित करेगा।

ज़िसिमातौ ने कहा, "हमने तटरक्षक बल को इस बारे में कुछ फीडबैक दिया है कि संभावित रूप से क्या कमी है या ऑपरेटरों के लिए क्या चुनौतीपूर्ण होने जा रहा है।" "[इस समय] हम वास्तव में नहीं जानते कि नया विनियमन नए निर्माण जहाजों पर लागू होगा या मौजूदा जहाजों पर भी। इसका अमेरिकी ध्वज वाले जहाजों पर बहुत बड़ा प्रभाव पड़ेगा।" उन्होंने कहा कि प्रस्तावित नियम के भीतर कुछ आवश्यकताएं हैं जो नेटवर्क के विभाजन के बारे में बात करती हैं, उदाहरण के लिए, और विशेष रूप से मौजूदा जहाजों में, जहां नेटवर्क आमतौर पर सपाट होते हैं, "इसके लिए कुछ अतिरिक्त प्रयास की आवश्यकता होगी।"

लेकिन बात यहीं ख़त्म नहीं होती।

ज़िसिमातौ ने कहा, "इसके अलावा अन्य चीज़ें भी हैं, जैसे कि हर तीन महीने में साइबर सुरक्षा अभ्यास जो विनियमन के अंतर्गत आवश्यक है, जो हमें लगता है कि थोड़ा ज़्यादा बार-बार होता है।" "फिर कोई विशेष जानकारी नहीं है; इसका क्या मतलब है, किस चीज़ का परीक्षण करने की ज़रूरत है?"

उन्होंने कहा कि वर्गीकरण सोसायटी ने सिफारिश की है कि तटरक्षक बल नए निर्माण जहाजों के संबंध में आईएसीएस द्वारा प्रस्तावित बातों पर विचार करे, कि जहाज के डिजाइन, कमीशनिंग, निर्माण और परिचालन जीवन से लेकर पूरी आपूर्ति श्रृंखला को कैसे संबोधित किया जाए, लेकिन यह भी कि उसने विशिष्ट नियंत्रणों को कैसे अपनाया है, जिससे इस बात पर थोड़ी अधिक स्पष्टता मिले कि किस वर्ग को क्या करने की आवश्यकता है, मालिक को क्या करने की आवश्यकता है, शिपयार्ड को क्या करने की आवश्यकता है।

"मैं विनियमन के आने का इंतज़ार कर रहा हूँ, और मुझे यकीन है कि तटरक्षक बल को बहुत सारी टिप्पणियाँ मिली हैं, जिन पर वे अभी काम कर रहे हैं," ज़िसिमातौ ने कहा। "मैं इसे देखने के लिए उत्सुक हूँ, और फिर मुझे लगता है कि इसका बहुत बड़ा प्रभाव पड़ने वाला है, खासकर [बाद में] जब तटरक्षक बल द्वारा निर्धारित किए गए नियमों के आधार पर अन्य ध्वज प्रशासनों से और अधिक विनियमन सामने आएंगे।"


मैरीटाइम रिपोर्टर टीवी पर एबीएस की साइबर सुरक्षा निदेशक एंजेलिकी ज़िसिमातौ के साथ पूरा साक्षात्कार देखें:




श्रेणियाँ: कानूनी, सरकारी अपडेट