Käytännönläheistä kyberturvaa merenkulkijoille
Digitalisaatio ja automaatio ovat ilmastonmuutoksen torjunnan ohella merenkulun keskeisiä muutostrendejä. Ne tuovat tehokkuutta ja turvallisuutta, mutta samalla uudenlaisia teknisiä ja tietoturvariskejä sekä kyberturvallisuusriskejä. Toiminnalle ovat kriittisiä niin navigointi- ja ohjausjärjestelmät, alustekniikkaan liittyvät järjestelmät kuin matkustaja- ja rahtitietojärjestelmätkin.
Vesikuljetuspooli, alan yritykset, Huoltovarmuuskeskus ja Deductive labs -konsulttiyritys selvittivät yhdessä suomalaisen merenkulun kyberturvallisuuden tilaa Kauppa-alusten ulkoiset yhteydet ja niiden kyberturvallisuus – hankeessa.
Varsinaisen selvityksen lisäksi syntyi käytännönläheisiä ohjeita kyberturvallisuuden parantamiseen suomalaisille varustamoille ja laivoille.
Hanketta vetänyt Vesikuljetuspoolin poolisihteeri Juha Savisaari kertoo, että työn taustalla olivat Digipoolin pari vuotta sitten tekemä toimialakohtainen kyberkypsyysarviointi, jossa vesikuljetustoimialan taso arvioitiin keskikastiin, sekä Vesikuljetuspoolin strategiatyö, jossa kyberturvallisuuden kehittäminen nähtiin yhdeksi keskeisistä kehityskohteista.
Laiva ja varustamo muistuttavat yhdessä teollista konsernia, jossa ovat hallinto, automaatio ja loppukäyttäjät. Maissa oleva tuotantolaitos pystyy kuitenkin helpommin hallitsemaan ulkoisia yhteyksiään.
Juha Savisaari
”Hankkeen käynnistymiseen vaikutti osaltaan myös merenkulun kansainväliseen turvallisuusohjeistukseen vuoden 2021 alusta liitetty vaatimus kyberturvallisuuden huomioinnista varustamojen omissa turvallisuusohjeistuksissa. Tärkeä tavoitteemme oli tukea varustamoja tässä työssä tuottamalla heille kansantajuiset pohjadokumentit”, Savisaari kertoo.
”Teimme varsinaisen selvityksen varustamoille ja aluksille osoitettuna sähköisenä kyselynä ja syvensimme kerättyä tietoa vielä muutamien varustamojen haastatteluilla. Lisäksi hyödynsimme saatavissa ollutta kansainvälistä ohjeistusta.”
Pienet ja isot toimijat
Vesikuljetuspoolin puheenjohtaja ja Suomen varustamot ry:n toimitusjohtaja Tiina Tuurnala arvioi, että ala heräsi kyberturvallisuuteen viimeistään 2017, jolloin Maersk-konttivarustamon järjestelmiin iski haittaohjelma, joka aiheutti satojen miljoonien eurojen vahingot.
”Heillä oli kuitenkin panostettu kyberturvallisuuteen ja asioiden oletettiin olevan kunnossa.”
Varustamojen koko vaihtelee pienistä yhden aluksen yrityksistä Maerskin kaltaisiin globaaleihin jätteihin. Hajonta on valtava myös sen suhteen, kuinka paljon varustamoilla on tietojärjestelmiä ja automaatiota.
”Yrityksen koko, digitalisaation ja automaation hyödyntäminen sekä kyberturvallisuusriskeihin varautuminen menevät aika lailla samassa skaalassa. Mitä suurempi varustamo on ja mitä enemmän siellä on käytössä teknologiaa, sitä korkeampi on myös varautumisen taso.”
Mitä suurempi varustamo on ja mitä enemmän siellä on käytössä teknologiaa, sitä korkeampi on myös varautumisen taso.
Tiina Tuurnala
Digitalisointi etenee vääjäämättä
Digitalisaatio ja automaatio ovat ilmastonmuutoksen torjunnan ohella merenkulun keskeiset ja suurimmat muutostrendit, joiden tuoman tehokkuuden ja turvallisuuden kääntöpuolena ovat uudenlaiset tekniset ja tietoturvariskit, sekä kyberturvallisuusriskit, joita alan pitää hallita.
Toiminnalle ovat kriittisiä niin navigointi- ja ohjausjärjestelmät, alustekniikkaan liittyvät järjestelmät kuin matkustaja- ja rahtitietojärjestelmätkin.
”Kaikissa aluksissa on digitaalisia karttoja ja navigointijärjestelmiä, mutta alusten lukumäärän kasvaessa varustamot ottavat yleensä käyttöön myös erilaisia seurannan, analytiikan ja etähallinnan järjestelmiä, joilla tarkkaillaan ja ohjataan niiden laivakantaa. Kyberriskit kasvavat, kun tietoa esimerkiksi alusten polttoaineenkulutuksesta ja päästöistä siirretään reaaliajassa varustamon ja laitetoimittajan tietojärjestelmiin”, Tuurnala kuvaa.
”Autonomia lisääntyy koko ajan pala kerrallaan, edettäessä kohti täysin miehittämättömiä aluksia. Autonomia on valtavan iso alue, johon liittyy paljon erilaisia asioita etävalvonnasta lastin purkuun. Se lisääntyy koko ajan, ja kasvattaa sekin osaltaan kyberriskejä.”
Lastaaminen alkaa olla mahdotonta ilman tietojärjestelmiä. Vaikka kontti vielä saataisiin tietysti kyytiin, tieto siitä mihin sen pitäisi mennä ja mitä sen sisällä on puuttuu.
Juha Savisaari
Varustamoihin kohdistuu kaikkialla kyberhyökkäyksiä, joiden takana on sekä rikollisia että valtiollisia toimijoita. Koska merenkulun häiritsemisestä on tullut osa kybersodankäyntiä, eri järjestelmät on lujitettava toimimaan mahdollisista katkoksista huolimatta. Navigointiin on jo säädösten mukaan oltava kahdennetut järjestelmät.
”Vaikka merenkulun oppilaitoksissa opetellaan vielä perinteistä navigointia, siihen siirtyminen ei ole äkkiseltään kovin helppoa, jos on jo vuosia käyttänyt digitaalisia välineitä. Aluksen järjestelmät seisauttavia blackouteja tapahtuu sen sijaan aina silloin tällöin ja kyllä laivojen henkilökunta pystyy ne tilanteet hallitsemaan. Heidät on siihen koulutettu.”
Selkeitä ohjeita merenkulkijoille
Kauppa-alusten ulkoiset yhteydet ja niiden kyberturvallisuus -hankkeen tavoitteena oli rakentaa selkeät parhaat käytännöt ja ohjeet varustamoille ja aluksille, myös pienille, joiden avulla olisi helppo tarkistaa, onko oma varautuminen riittävää, ja miten sitä pitää tehdä.
”Varustamopuolella korostuu tarve kohottaa liiketoimintajohdon ymmärrystä siitä, että kyberturvallisuudesta huolehtiminen on keskeinen osa riskienhallintaa. Kaikki sen varmasti hahmottavat, mutta toisilla on siinä enemmän ja toisilla vähemmän kehittämistä”, Tuurnala arvioi.
”Yrityksissä tarvitaan koulutusta, omia menettelyjä ja ohjeistusta, joissa määritellään kriittiset palvelut, joiden pitää toimia. Ja sen pohjalta arvioidaan riskejä ja suunnitellaan niiden hallintaa.”
Hankkeessa on pyritty jäsentelemään ne asiakokonaisuudet, joiden tulee olla hallussa ei vain tietohallinnolla ja yritysjohdolla, vaan koko henkilöstöllä.
”Aihe on laaja ja sitä koskevia paksuja julkaisuja on paljon. Niiden rinnalle tarvittiin helpot käsikirjat, joiden avulla asioita voisi lähteä konkreettisesti toteuttamaan. Mielestäni onnistuimme siinä. Keskeiset asiat on koottu parhaisiin käytäntöihin, joka toimii varustamojen henkilökunnalle lentäjän tarkistuslistan tavoin.”
Hanke on osa HVK:n Logistiikka 2030 -ohjelmaa, minne se istuu Tuurnalan mielestä erinomaisesti.
”Uskon kuitenkin, että kyberturvallisuus ei ole teemana tällä kuitattu, vaan ohjeistuksiin pitää vielä säännöllisesti palata. Teknologia kehittyy koko ajan ja riskit painottuvat pitkälti bittipuolelle. Hyvä alku se on joka tapauksessa. Sen parhaat käytännöt -osa varmaankin herättää myös kansainvälistä kiinnostusta ja tulemme kertomaan siitä kansainvälisissä kattojärjestöissä toimiville kumppaneillemme.”
Matkustaja- ja rahtilaivoilla osin eri riskikuva
Eckerö-konsernin toimitusjohtaja Björn Blomqvist, millaisia digitalisaatioon ja kyberturvallisuuteen liittyviä riskejä olette tunnistaneet rahti- ja matkustajaliikenteessä?
”Rahtipuolen aluksilla on lähes ainoastaan aluksen operatiivisiin laitteistoihin liittyviä riskejä, ääritapauksina laivan ohjauksen vihamielinen haltuunotto tai navigointi- ja manöverointijärjestelmien häirintä”, Blomqvist sanoo.
”Isoilla matkustajalaivoilla riskikuva on monimutkaisempi ja kaupalliset riskit muodostavat suuremman osan kokonaisriskikuvasta. Operatiivisten järjestelmien riskien ohella siellä on varauduttava esimerkiksi maksu- ja varausjärjestelmien sekä asiakkaiden, henkilökunnan ja miehistön tietosuojaan liittyviin riskeihin.”
Rahtilaivoilla riskejä on periaatteessa helpompi hallita. Siellä on kuitenkin vähemmän miehistöä ja siellä liikutaan usein kauempana kotisatamasta ja joudutaan toimimaan itsenäisemmin.
”Riskikuva eroaa myös siinä, että rahtialukset vierailevat usein satamissa, joissa ne eivät käy kovin usein ja joissa ne joutuvat asioimaan entuudestaan tuntemattomien toimijoiden kanssa. Matkustaja-alukset liikkuvat sen sijaan kiinteillä reiteillään tuttujen satamien välillä, missä asiat hoituvat yleensä oman maaorganisaation toimesta. Myös järjestelmien rajapinnat ovat silloin paremmin hallittavissa kuin vierailtaessa uusissa terminaaleissa, satamissa ja laituripaikoilla.”
Kauppa-alusten ulkoiset yhteydet ja niiden kyberturvallisuus -hankkeesta saatiin Blomqvistin mielestä hyviä ja käytännönläheisiä ohjeita ja listoja siitä, miten asiat pitäisi toteuttaa. Hanke on ollut mielekäs, mutta se on Blomqvistin mielestä vasta hyvä alku.
”Seuraavia askeleita olisivat koulutuksen kehittäminen sekä tietojen vaihto ja yhteiset keskustelut toiminnan jatkuvaksi parantamiseksi. Tärkeätä on pysyä kehityksen mukana. Raportti on nyt uunituoreena ajankohtainen, mutta varmaankin se on parin vuoden kuluttua jo osittain vanhentunut”, Blomqvist arvioi.
”Varautumistyössä on ennen kaikkea pyrittävä kehittämään innovatiivinen ja proaktiivinen yrityskulttuuri, jossa mietitään aina, millaisia riskejä uusi käyttöön otettava systeemi tuo mukanaan. Ratkaisuihin liittyviä digitaalisen turvallisuuden riskejä tulee arvioida aivan päätösprosessin alusta asti: tehtäessä investointipäätöstä ja suunniteltaessa sen implementointia.”
Avauskuva: Navigointijärjestelmät päivittyvät nykyisin automaattisesti puhelinverkon tai satelliittilinkin yli. Jos tieto liikkuu verkossa, siihen liittyy Eckrerö-konsernin toimitusjohtaja Björn Blomqvistin mielestä automaattisesti tietoturvariski, joka pitää tunnistaa. Vielä 15-20 vuotta sitten laivalla kävi teknikko asentamassa uudet ohjelmaversiot.
“Suomalaisissa varustamoissa on onneksi edelleenkin jatkuva valmius, tieto ja taito navigointiin ja manööveeraukseen ilman digitaalisia apuvälineitä. Suurin riski on, kun luotetaan automaattisiin järjestelmiin, jotka yhtäkkiä eivät sitten toimikaan esimerkiksi kesken haasteellisen satamamanööverin. Ensimmäiset sekunnit ja minuutit voivat silloin olla haasteellisia.”
Avauskuva, Blomqvistin kuva ja kuvituskuvat: Eckerö-Line, Savisaaren ja Tuurnalan kuvat: Suomen Varustamot ry.
