AU DI T
Vi har spurgt overskibsinspektør, Niels Skriver Nielsen, Søfartsstyrelsen om, hvordan det går med audit af cyberplaner på ø-færgerne.
PÅ CYBERPLANER AF LISE MORTENSEN
Siden 1. januar 2021 har der skullet findes cybersecurity-planer på alle skibe, der er omfattet af ISM-koden. Har Søfartsstyrelsen erfaringer fra ø-færger? Vi har været ombord i nogle ø-færger, erfaringerne er lidt forskellige. Nogle var godt i gang, og nogle var ikke kommet i gang endnu, og endelig var der nogle, der ikke havde ret meget IT ombord.
Nogle, der har brugt vejledning fra branchen – det har fungeret godt, de har taget højde for de sårbare områder, vi gerne ser. Hvad sker der, hvis færgen ikke er kommet i gang med beredskabet? Det vurderer vi ud fra, hvad det er for et skib. Vi vurderer på sikkerheden, er der sikkerhed på spil for skibet eller passagererne? Vi bruger almindelige ISM-rapporteringer på afvigelser. Alt efter, hvor slemt det er, får man en afvigelse. Det er en sikkerhedsmæssig vurdering i hvert enkelt tilfælde.
Det handler ikke så meget om hackere, der vil overtage en ø-færge, lyder det fra overskibsinspektør, Niels Skriver Nielsen: - Men tænk over, at I kan få en opdatering, der lægger nogle systemer ned. Pludselig har I ikke adgang til nogle af systemerne – det kan være de elektroniske søkort, strømstyring, fremdrivning eller GPS eller andre styringssystemer. Det skal beredskabet kunne håndtere: Hvad gør man så ombord? Det skal fremgå af en nødplan – sammen med nogle procedurer for at undgå, at man kommer i den situation, og hvis man gør, at man kan håndtere den. Forhindre at fejlen opstår.
32 / Ø-FÆRGERNE / MAJ 2021
KEEP IT SIMPLE - Vi ser ikke cyberrisici som noget specielt – vi ser det på samme måde som alle andre sikkerhedsrisici på skibe: Brand, kollision, tekniske problemer, osv. De skal håndteres i ISM-systemet og er dermed en del af det normale ISM-syn, fastslår Niels Skriver Nielsen. Meget ligger i rederiet. En del af ISM-koden bestemmer, at rederiet skal etablere og vedligeholde et SMS-system, og her forholder man sig til alle de risici, der er på skibet, herunder er nu også cyber. Risikovurdering og forholdsregler og procedurer – og nødberedskabsplaner. Ligesom alle andre risici. - Brug de systemer, I allerede har, man skal ikke genopfinde noget. Brug ISM-koden, brug SMS-en, brug de roller, I allerede har ombord. Keep it simple, men forhold jer til den risiko, der gælder for jeres skib og rederi. Vi kender metodikken i forvejen – man skal ikke gøre det værre, end det er. AUDIT - Audit af cyberrisiko-styring ligger i det harmoniserede syn på skibene. Vi ser på rederiets kortlægning af de digitale systemer ombord – og derudfra