ΟΛΟΣ Ο ΚΟΣΜΟΣ ΤΩΝ LOGISTICS

Πώς μπορούν να προβλεφθούν απειλές αποσυντονισμού της Εφοδιαστικής Αλυσίδας που ελλοχεύουν κινδύνους οικονομικής καταστροφής, καταστροφής φήμης, κίνδυνο ζωής, περιουσίας ή και περιβαλλοντικής καταστροφής!

ΤΡΟΠΟΙ ΑΝΤΙΜΕΤΩΠΙΣΗΣ «ΚΥΒΕΡΝΟΕΠΙΘΕΣΗΣ»

Ημερομηνία Δημοσίευσης: 23/04/2018

 

Άρθρο του κ. Άρη Κτενά,

HSQE Superintendent, Quality Assurance

στη Euronav Ship Management Hellas

 

Στο προηγούμενο άρθρο, «Κυβερνοεπιθέσεις και περιβάλλον ασφαλείας» δώσαμε τις βασικές μόνο αρχές της τεχνολογικής απειλής στην ναυτιλιακή «βιομηχανία». Στο παρόν κείμενο, θα δούμε πολύ επιγραμματικά και συνοπτικά πως εμείς οι ίδιοι, οι υπάλληλοι μίας ναυτιλιακής εταιρίας ή οι ναυτικοί της, μπορούμε αρχικά να προστατεύσουμε τους εαυτούς μας και κατ’ επέκταση να προστατεύσουμε την ίδια την εταιρία που εργαζόμαστε, από μια κυβερνο-απειλή.

Αρχικά θα πρέπει να ξεκαθαρίσουμε στον μέσο χρήστη ότι τα συστήματα που μπορούν να χακαριστούν σε ένα πλοίο δεν είναι μόνο τα συστήματα που έχουν να κάνουν με την πληροφοριακή τεχνολογία (ΙΤ systems). Είναι λογικό ότι ο μέσος χρήστης θα θεωρήσει πως ο στόχος των κυβερνοεπιθέσεων θα είναι τα e-mail της εταιρίας, τα accounts, το planned maintenance στο pc του καραβιού, η διαχείριση των ανταλλακτικών, τα ηλεκτρονικά manuals, τα ηλεκτρονικά πιστοποιητικά αλλά και ναυλοσύμφωνα, notices of readiness, bill of landings.

Όλα δηλαδή τα προαναφερόμενα που όντως αποτελούν κομμάτι της πληροφοριακής τεχνολογίας (IT) και μπορούν να έχουν κυρίως οικονομικό αντίκτυπο ή αντίκτυπο στη φήμη της εταιρίας.

Δεν είναι όμως τα μόνα συστήματα που μπορούν να πέσουν θύματα επίθεσης!

Οι χάκερς πλέον, κυνηγούν τα ακόμα πιο ευπαθή επιχειρησιακά συστήματα (OT), όπως PLCs, SCADAs, πληροφοριακοί τρόποι μετρήσεων και ελέγχου, το ECDIS, το GPS, την απομακρυσμένη συντήρηση των μηχανών, το σύστημα ελέγχου των μηχανών και του φορτίου, τα ραντάρς, ακόμα και κάθε είδους σύστημα επικοινωνίας (LRIT, Inmarsat, FBB, SSAS κ.α.). Αυτή τη φορά, δεν μιλάμε για οικονομική καταστροφή ή καταστροφή φήμης, αλλά για κίνδυνο ζωής, περιουσίας ή και περιβαλλοντικής καταστροφής!

Ήδη από το 2010, γνωστή εταιρία με εξέδρες εξόρυξης πετρελαίου είχε μολυνθεί με κακόβουλα λογισμικά στα επιχειρησιακά της συστήματα. Ήδη το 2012 είχαμε χτυπήματα σε GPS (jamming/spoofing) με απώλεια σήματος και το 2013 χακαρίσματα σε συστήματα εντοπισμού εμπορευματοκιβωτίων. Όλα τα περιστατικά εμπεριείχαν ανθρώπινη αμέλεια, ναυτικού υπάλληλου ή ναυτικού προσωπικού.

 

Οι τρόποι

 

Ποιους τρόπους χρησιμοποιούν για να σε κάνουν «αντλία» εισόδου στα συστήματα της εταιρίας:

1.       Τακτικές κοινωνικής μηχανικής (social engineering tactics):Αυτές οι τακτικές έχουν σκοπό να ξεγελάσουν τους ανθρώπους και να αντλήσουν ευαίσθητες πληροφορίες. Επαφίενται κυρίως στην ανθρώπινη αδυναμία, την καλοπιστία ή την θέληση των ανθρώπων να παράσχουν βοήθεια. Βασίζονται συνήθως στην πίεση του χρόνου (σου ζητούν να βοηθήσεις τώρα / άμεσα) ή στο φόβο της εξουσίας (παρουσιάζονται ως αρχή ή ανώτερο στέλεχος). -Μη θεωρήσετε ότι κάποιος που φαίνεται να ξέρει πολλά για σας ή για το καράβι σας είναι αληθινός συνάδελφος. Μπορεί να είναι κάποιος κυβερνοαπατεώνας που έχει κάνει καλό «διάβασμα» πριν σας στοχοποιήσει-.

2.      «Ψάρεμα»: Προσποιούνται σε πολλαπλούς χρήστες ότι είναι η τράπεζά τους, ή κάποιος συνάδελφος ή ότι προσωπικά κερδίσατε κάτι και πρέπει να απαντήσετε για το παραλάβετε. «Είστε ο υπερτυχερός που κέρδισε ένα δισεκατομμύριο δολάρια από κλήρωση e-mail», Όχι δεν είστε. Συνήθως το ψάρεμα γίνεται μέσω e-mails που φαίνονται προσωποποιημένα και περιέχουν συνδέσμους ή συνημμένα αρχεία με σκοπό να τα πατήσετε.

3.      Επίθεση με κακόβουλα λογισμικά: Τέτοιου είδους κινητά ου μεταφέρονται με τα κινητά, τους υπολογιστές ή τα usb σας μέσα στο καράβι ή στην εταιρία. Μπορεί να είναι ιοί, worms, spyware ή ακόμα και KeyLoggers που διαβάζουν οτιδήποτε πληκτρολογείτε και μπορούν να απομονώσουν κωδικούς που σας έχει παράσχει η εταιρία για εταιρική χρήση.

4.      Επίθεση με Ransomware: Μπλοκάρουν το PC σας ή το μηχάνημα στο οποίο δουλεύετε και ζητούν λύτρα. Εκεί θα πρέπει απλά να φωτογραφίσετε το μήνυμα, να κλείσετε αμέσως τη συσκευή και να επικοινωνήσετε με το τμήμα IT της εταιρίας.

5.      Ψεύτικες ιστοσελίδες: Δημιουργούν ιστοσελίδες που το url (η διεύθυνση) είναι ελάχιστα διαφορετική από σελίδες που θεωρείτε αξιόπιστες. Μπαίνοντας στο δικό τους περιβάλλον, μπορούν να σας πείσουν για το οτιδήποτε. Προσέξτε λοιπόν να υπάρχει το πιστοποιητικό ασφαλείας και αυθεντικότητας της σελίδας και να αναγράφετε https πριν το www.

6.      Τηλεφωνήματα: Μην εμπιστεύεστε οποιονδήποτε στο τηλέφωνο σας παρουσιάζετε ως ανώτερός σας ή ως Αρχές. Δαπανήστε χρόνο να καταλάβετε με ποιον μιλάτε και να εξετάσετε την αυθεντικότητα της ταυτότητάς του. Αν δεν είστε σίγουροι, ζητήστε να τον καλέσετε πίσω εσείς. Τέλος, μη δεχτείτε να κάνετε απομακρυσμένη (remote) δουλειά μαζί του, αν δεν είστε βέβαιος σε ποιον δίνετε αυτή την πρόσβαση.

7.       Παραποιημένες διευθύνσεις μέσων κοινωνικής δικτύωσης: Πολλές φορές πλατφόρμες όπως το LinkedIn ή το twitter, παραποιούν τις κανονικές διευθύνσεις και τους δίνουν short alias names (σύντομες ονομασίες). Να είστε επιφυλακτικοί με αυτές και να βλέπετε από την προεπισκόπηση σε ποια διεύθυνση θέλουν να σας μεταφέρουν αν πατήσετε το σύνδεσμο.

8.      Torrents: Συχνά χρησιμοποιούν τα τόρεντς για να εισέλθουν στο λογισμικό το δικό σας ή της εταιρίας σας. Μην χρησιμοποιείτε torrent downloading από εταιρικά computers ή computers του καραβιού. ΑΝ το κάνετε από προσωπικό σας υπολογιστή, τότε μπείτε στο VirusTotal που είναι δωρεάν για να εξετάσει το αρχείο που κατεβάσατε ΠΡΙΝ το ανοίξετε.

9.      Τα «επιπλέον» προγράμματα: Πολλές φορές όταν κατεβάζετε ένα πρόγραμμα, σας προτρέπει να κατεβάσετε κάποιο επιπλέον πρόγραμμα, με προτροπές όπως αύξηση της ταχύτητας του υπολογιστή σας ή/και καλύτερο streaming. Μην το κάνετε.

10.    Ψεύτικες διευθύνσεις e-mail: Αν πάρετε κάποιο μήνυμα που σας κινήσει υποψίες προσέξτε καλά τη διεύθυνση, μήπως η εταιρίας σας “crewdept@Nautilos.com” δεν γράφετε “crewdept@Nautil0s.com” ?

11.     Video Games: Τα βιντεοπαιχνίδια στην εποχή μας λειτουργούν με χρήση κάποιου απομακρυσμένου σέρβερ, που αν χακαριστεί μπορεί να προσβάλει και τα δικά μας συστήματα. Μην παίζετε βιντεοπαιχνίδια με εταιρικά computers ακόμα και μετά τη λήξη της εργασίας ή της βάρδιας.

12.     Φυσική παρουσία: Μην αφήνετε τους τεχνικούς και κάθε φύσεως επισκέπτες στο καράβι ή στην εταιρία, χωρίς επίβλεψη.

 

Οι σκοποί των χάκερς

 

Όσοι βάζουν στο στόχαστρο ναυτιλιακές εταιρείες και επιχειρήσεις παροχής υπηρεσιών υποστήριξης των εφοδιαστικών αλυσίδων αποσκοπούν, σύμφωνα με τα αποτελέσματα στατιστικών ερευνών, στα ακόλουθα:

α) Default passwords: Όλοι οι χάκερς ξέρουν τι κωδικούς χρησιμοποιούν σαν default οι κατασκευαστές. Ποντάρουν στο ότι δε θα τους αλλάξετε.

β) Μη ενημερωμένο λογισμικό: Όλοι οι χάκερς ενημερώνονται για τις αδυναμίες που κάθε λογισμικό ανακαλύπτει μετά τη διάθεσή του στο κοινό. Ποντάρουν πως δεν θα κάνετε τις ενημερώσεις του.

γ) Σύστημα AntiVirus: Είναι λογικό πως τα συστήματα της εργασίας είναι ενημερωμένα από τον διαχειριστή του συστήματος (πιθανώς το ΙΤ Dept.) αλλά είναι δική σας ευθύνη να εγκαθιστάτε antivirus και να τον κρατάτε ενημερωμένο στις προσωπικές συσκευές.

δ) Έλλειψη φυσικής παρουσίας: Μην αφήνετε το computer ή και το smartphone σας ανοιχτό και ξεκλείδωτο χωρίς να είστε παρόν.

Οι περισσότεροι μάνατζερ αναρωτιούνται πώς μπορεί να υπάρξει «κτύπημα» στην εταιρία μέσω του κινητού τους. Τα πράγματα είναι πλέον πολύ απλοποιημένα και μια «ασύμμετρη απειλή» μπορεί να προκύψει από μηνύματα SMS, από e-mails, από το Bluetooth, εφόσον μένει ανοιχτό, από μη εγκεκριμένες εφαρμογές που έχουν φορτωθεί στη συσκευή.

Και πώς θα αντιμετωπισθούν οι πιθανές απειλές, θα μπορούσε να σκεφθεί κανείς. Υπάρχει το τρίπτυχο: Ανάγνωση – Ενημέρωση – Πρόνοια! Δυστυχώς, ακόμα μια φορά οι ναυτικοί και οι ναυτιλιακοί υπάλληλοι καλούμαστε να εξεταστούμε σε ένα μάθημα πριν την παράδοσή του. Μπορούμε όμως να αντεπεξέλθουμε, αν κατακτήσουμε τη γνώση και την εμπειρία του.

 Ο Κομφούκιος έλεγε, η γνώση είναι ένα μικρό φανάρι που κρέμεται πίσω από την πλάτη μας και φωτίζει μόνο τον δρόμο που έχουμε ήδη περάσει. Σήμερα περάσαμε ένα μικρό κομμάτι αυτού του δρόμου.

 

 

ΝΑΥΤΙΛΙΑΚΕΣ

ΜΝΗΜΟΝΙΟ ΣΥΝΕΡΓΑΣΙΑΣ (MOU) ΜΕΤΑΞΥ ΟΛΠ Α.Ε. ΚΑΙ GUANGZHOU PORT

Ένα από τα 10 μεγαλύτερα εμπορικά λιμάνια στον κόσμο συνδέεται πλέον με τον Πειραιά, στο πλαίσιο μιας ακόμη σημαντικής στρατηγικής συνεργασίας που θεμελιώθηκε με την υπογραφή Μνημονίου (MOU) μεταξύ τη...

YES FORUM: ΤΟ ΜΕΓΑΛΟ "ΝΑΙ" ΣΤΗ ΝΑΥΤΙΛΙΑ ΕΦΘΑΣΕ

Το YES Forum υπό το συντονισμό της Δανάης Μπεζαντάκου, Διευθύνουσας Συμβούλου της NAVIGATOR SHIPPING CONSULTANTS απαρτίζεται από μια εθελοντική ομάδα 50 νέων φοιτητών και στελεχών και αποτελεί την πλ...

ΣΕ ΠΟΙΟΥΣ ΑΠΟΝΕΜΟΝΤΑΙ ΤΑ ΒΡΑΒΕΙΑ ΩΝΑΣΗ ΓΙΑ ΝΑΥΤΙΛΙΑ, ΔΙΕΘΝΕΣ ΕΜΠΟΡΙΟ ΚΑΙ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΑ

Σε πέντε κορυφαίους ακαδημαϊκούς απονέμονται τα Βραβεία Ωνάση 2018 στα Χρηματοοικονομικά, το Διεθνές Εμπόριο και τη Ναυτιλία. Ο Καθηγητής Douglas W. Diamond, παγκόσμια αυθεντία στη διαχείριση μαζικής...

Κλείσιμο [X]