Combined Safety and Security Analysis on an Autonomous Passenger Ferry Using CyPHASS

Abstract

Dagens samfunn blir mer og mer avansert innen teknologi, i den grad at det prøver å erstatte mennesker til fordel for autonomi. Det finnes allerede biler som under visse begrensninger kan kjøre autonomt, og dette bringes nå inn i den maritime sektoren. Å ha en ferge som går autonomt kan være en stor økonomisk fordel fordi behovet for en kostbare broer kan minke. NTNU har et prosjekt der de ønsker å bygge en helelektrisk autonom passasjerferge, kalt milliAmpere, for å frakte folk over Nidelva i Trondheim. Dette har både økonomiske og miljømessige fordeler.

Å lage et slikt system har sine bekymringer. For det første, siden en ubemannet ferge skal frakte passasjerer, er det flere sikkerhetshensyn både for passasjerene om bord, men også for trafikken rundt fergen som må tas i betraktning. Siden autonome systemer er en nettverkstilkoblet teknologi, diskuteres det også bekymringer rundt IKT-sikkerhet, og spesielt cybersikkerhet. Et cyberangrep kan i verste fall påvirke systemet på en slik måte at en ulykke skjer. På grunn av dette trenger man en tilstrekkelig analyse av systemet som dekker alle aspekter av sikkerhet.

Feltet for co-analyser som dekker disse aspektene av sikkerhet er nokså ferskt. I denne oppgaven skal vi bruke en nyutviklet analyse, kalt CyPHASS (Cyber-Physical Hazard Analysis for Safety and Security), på den autonome passasjerfergen - milliAmpere. Metoden inneholder bygging av en modell hvor det inkluderes et fysisk, cyber-fysisk og et cyber-lag. Metoden inkluderer også flere sjekklister for å hjelpe til med å identifisere scenarier som oppstår på grunn av feil. Blant disse sjekklistene er det også implementerte barrierer for å oppdage feilen, og forhindre eller redusere sannsynligheten for trusselen/faren. Fokus i denne oppgaven er cybersikkerhet, og det ble derfor besluttet å lage en begrenset versjon av CyPHASS for å kunne lettere fokusere på dette målet. Vi ser også på andre former for kilder i forbindelse med cybersikkerhet for å se om metoden kan forbedres.

Resultatene oppnådd fra bruken av den begrensede CyPHASS-scenariobyggeren presenteres i en rekke figurer. Her oppdaget vi hvor i systemet sårbarheter kunne oppstå, og kunne derfor bedre beskyttelsen mot dem. Vi oppdaget også en kobling mellom CyPHASS og MITRE ATT\&CK-databasen, som inneholder informasjon om taktikker og teknikker motpart tidligere har brukt. Fordi motpartene hele tiden utvikler nye taktikker og teknikker for å trenge inn i systemet, foreslås det at CyPHASS-scenariobyggeren kan integrere en database som MITRE ATT\&CK i scenariobyggeren. Dette for å hjelpe til med å oppdatere sjekklisten, innenfor feltet cybersikkerhet, på en måte som gjør at vi ikke trenger å oppdatere hver sjekkliste individuelt med jevne mellomrom.

Today's society is becoming more and more advanced in technology, to the extent of trying to replace people for the benefit of autonomy. There already exist cars that can, under some constraints, drive autonomously and now this is being brought into the maritime sector. Having a ferry run autonomously can be a huge economical advantage because the need for a high-cost bridge may decrease. NTNU has a project where they wish to build an all-electric autonomous passenger ferry, called milliAmpere, to transport people across Nidelva in Trondheim. This has both economic and environmental advantages.

The making of such a system has its concerns. First of all, since an unmanned ferry is supposed to carry passengers there are several safety concerns for both the passengers on board but also the traffic around the ferry. Since autonomous systems are a network-connected technology, concerns around security, and especially cybersecurity, are also being discussed. Occurring cyberattacks can in a worst-case scenario affect the system in such a way that an accident happens. Because of this one needs a sufficient analysis of the system that covers both safety and security.

The field of safety and security co-analyses is novel. In this thesis, we are going to apply a newly developed analysis, called CyPHASS (Cyber-Physical Hazard Analysis for Safety and Security), on the autonomous passenger ferry – milliAmpere. The method contains the building of a model that includes a physical, cyber-physical, and a cyber layer. The method also includes several checklists to aid in the identification of the safety and security scenarios. Among these checklists, there are also implemented barriers to detect the fault and prevent or reduce the likelihood of the threat/hazard. The focus of this thesis is security, and it was therefore decided to make a limited version of the CyPHASS to better achieve this goal. We also look at other forms of sources in connection to cybersecurity to help see if the method can be improved.

The results obtained from the application of the limited CyPHASS scenario builder are presented in a series of figures. Here we discovered where in the system vulnerabilities could occur, and could therefore better protect against them. We also discovered a link between the CyPHASS and the MITRE ATT\&CK database, which contain information about the tactics and techniques adversaries have previously used. Because adversaries are constantly developing their tactics and techniques to intrude on the system, it is proposed that the CyPHASS scenario builder could integrate a database like the MITRE ATT\&CK in the scenario builder. This is to help with updating the checklist, within the field of cybersecurity, in a way that we do not need to individually update each checklist at regular intervals.