Cybersikkerheit i maritim industri

Abstract

Bakgrunn: IMO-resolusjon MSC.428(98) stiller krav til innføring av cyberrisiko i sikkerheitsstyringssystem om bord innan første «Document of Compliance»-revisjon i 2021. Kombinert med eit auka tal cyberåtak, har dette gjort cybersikkerheit særs relevant i den maritime industrien dei siste åra.

Formål: Formålet med studien er å avdekkje det potensielle nedslaget av dei nye IMO-krava, og undersøkje korleis dei eventuelt har hjelpt til auka medvit i den maritime industrien. Studien vil også sjå på kva for tiltak industrien har gjennomført for å imøtekome krava, og korleis cyberrisiko vert handtert om bord.

Problemstilling: Korleis opplever ulike aktørar innan maritim industri handteringa av cyberrisiko om bord på skip?

Teori: Først vert teori knytt til IMO-resolusjonen teke føre seg, etterfølgt av teori om cybersikkerheit og forskjellige typar åtak. Vidare vert IT- og OT-system teke føre seg. Deretter kjem teori om cyberrisikostyring og ei tilnærming til dette, etterfølgt av teori knytt til menneskelege faktorar. Til slutt kjem teori om opplæring om bord.

Metode: Kvalitativ metode med djupneintervju har vorte nytta. Studien sitt utval består av to dekksoffiserar, to reiarlagstilsette og éin tilsett i eit klasseselskap. Systematisk tekstkondensering er nytta i analysen av dei transkriberte intervjua.

Resultat: Funna i denne studien kan tyde på at det er varierande medvit kring cyberrisiko, men at merksemda kring temaet har auka som følgje av IMO-krava. Reiarlaga vurderer og handterer også cyberrisiko i større grad no enn før. Funna tyder likevel også på at industrien har betringspotensiale på fleire områder, som til dømes opplæring og bevisstgjering.

Konklusjon: IMO-resolusjonen har bidrege positivt for cybersikkerheita i industrien, men industrien har likevel har betringspotensiale. Industrien vil tene godt på ein ytterlegare auke av medvit kring cyberrisiko i dei komande åra, i takt med auken i talet cyberåtak.

Nøkkelord: Cyberrisiko, cyberåtak, opplæring, menneskelege faktorar, risikohandtering og medvit.

Background: The IMO-resolution MSC.428(98) demands the implementation of cyber risk in safety management systems within the first “Document of Compliance” audit in 2021. Combined with an increased number of cyber attacks, this has made cyber security particularly relevant in the maritime industry in later years.

Purpose: The purpose of the study is to reveal the potential impact of the new IMO-requirements, and explore how they have eventually led to increased consciousness in the maritime industry. The study will also take a look at what measures the industry has implemented in order to meet the requirements, and how cyber risk is managed on board.

Research question: How do different stakeholders within the maritime industry experience the management of cyber risk on board ships?

Theory: Firstly, theory related to the IMO-resolution is presented, followed by theory related to cyber security and different kinds of attacks. Theory related to IT and OT systems will be presented afterwards. The study will then introduce theory related to cyber risk management and an approach to this, followed by theory related to human factors. The chapter will end with theory related to on-board training.

Method: Qualitative method using in-depth interviews has been used. This study’s selection consists of two deck officers, two shipping company employees and one employee in a classification society. The analytical method used is systematic text condensation.

Findings: The findings in this study indicate that there is a variety of levels of awareness concerning cyber risk, but that the attention given to the subject has increased following the IMO-requirements. The shipping companies also have a greater focus on cyber risk than before. The findings indicate, however, that the industry has potential for improvement on several areas, such as training and raising awareness.

Conclusion: The IMO-resolution has made a positive impact on cyber security in the industry, but there is still potential for improvement. Over the next few years the industry will benefit from raising awareness related to cyber risk, in line with the increasing number of cyber attacks.

Key words: Cyber risk, cyber attacks, training, human factors, risk management and consciousness.