Improving Cyber Security Awareness of Seafarers
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3050163Utgivelsesdato
2022Metadata
Vis full innførselSamlinger
Sammendrag
Skip har i takt med samfunnsutviklingen blitt høyteknologiske. Samtidig er det mange trusselaktører i cyberdomenet som retter angrep mot den maritime næringen. Sjøfolk får begrenset opplæring i temaer relatert til cybersikkerhet, men er likevel forventet å drifte høyteknologiske skip. Bevissthet rundt cybersikkerhet er viktig for å sikre at risikoen for cyberhendelser er så liten som mulig, men det er uklart hvor mye kunnskap sjøfolk har på dette området.
Denne masteropgaven undersøker: (1) den nåværende cybersikkerhetstilstanden om bord på skip, (2) den nåværende bevisstheten rundt cybersikkerhet hos sjøfolk, og (3) kommer med forslag til hvordan forbedre bevisstheten rundt cybersikkerhet hos sjøfolk. Dette er delvis gjort gjennom en litteraturgjennomgang hvor relevant forskning har blitt samlet inn og analysert, men også gjennom et spørreskjema rettet mot sjøfolk fra Tyrkia. Spørreskjemaet består av tre deler: (1) bakgrunnsdel med demografiske spørsmål, (2) spørsmål rundt egen forståelse av cybersikkerhet, og (3) cybersikkerhetsscenarioer som deltakeren blir bedt om å ta stilling til. Gjennom disse spørsmålene hjelper undersøkelsen med å kartlegge deltakerens bakgrunn, belyse deltakerens kunnskap, illustrere hvilke problemer som eksisterer i maritim sektor, og å belyse forbedringsområder relatert til bevissthet rundt maritim cybersikkerhet.
Data fra litteraturgjennomgangen tilsier at sjøfolks generelle bevissthet rundt cybersikkerhet er utilstrekkelig, og at opplæringstiltak bør gjennomføres. Data fra spørreskjemaet viser imidlertid at utvalget i denne oppgaven har en noe høyere bevissthet rundt cybersikkerhet sammenlignet med øvrige studier omtalt i literaturgjennomgangen. En liten, men betydelig del av utvalget mangler likevel forståelse for grunnleggende prinsipper innen cybersikkerhet, noe som tilsier at det bør implementeres forbedringstiltak. Blant annet kan det fokuseres på mer bevisstgjøring og opplæring ved å inkludere cybersikkerhet i alle nivåer i organisasjonen, øke hyppigheten av opplæring, vurdere å gjøre cybersikkerhetsopplæring påbudt for alle sjøfolk gjennom STCW-konvensjonen, og å utnevne en Cyber Security Officer (CySO) som kan påse at cybersikkerheten om bord på skip er tilstrekkelig. Videre bør opplæringsprogram fokusere på hvordan cybertrusler kan påvirke sjøfolk i det daglige, informasjon om sårbarheter tilknyttet epost og USB-enheter, hvordan sikker bruk av passord kan bidra til å øke sikkerheten, og generelt påse at retningslinjer for cybersikkerhet blir implementert og fulgt.
Siden denne oppgaven har et overordnet perspektiv forsøker den på en overordnet måte å gi innsikt i cybersikkerhetstilstanden om bord på skip og belyse hvordan bevisstheten er hos sjøfolk, men den tar ikke for seg detaljerte vurderinger relatert til cybersikkerhetsbevissthet- og opplæring. Den legger likevel et solid grunnlag for framtidige studier på dette fagområdet. Vessels have become highly digitized environments along with the rest of society. At the same time, many cyber threat actors have an interest in targeting maritime operations. Seafarers undergo limited training in cyber security-related topics, but are still expected to conduct maritime operations within these technologically advanced vessels. While cyber security awareness is important to ensure that the risks of cyber security incidents are as low as possible, it is uncertain how much knowledge seafarers have within this area.
This master’s thesis assesses: (1) the current state of cyber security onboard vessels, (2) the current state of cyber security awareness of seafarers, and (3) proposes improvements to cyber security awareness of seafarers. This is done partly through a literature review collecting and analyzing related research, but also through a questionnaire survey targeting seafarers from Turkey. The questionnaire consists of three sections: (1) background questions containing demographic details, (2) questions on personal perception of cyber security-related issues, and (3) cyber security scenarios that the participant is asked to relate to. By asking such questions, the research helps to assess the participant’s background, indicate what level of knowledge the participant has, to assess current issues within the maritime sector, and to propose real-life improvements to the overall state of maritime cyber security awareness.
The literature review indicates that the overall level of cyber security awareness among seafarers is too poor and that training measures should be taken. The questionnaire data does on the other hand imply that the general level of cyber security awareness within the sample population is slightly higher than what is indicated in other studies. It does however reveal that a small, but significant part of the participants lack a basic understanding of common cyber security principles. This supports increasing the effort put into awareness and training programs by implementing efforts such as cyber security awareness at all levels of the organization, increasing the frequency of training, considering making training mandatory for all seafarers through the STCW, and appointing a Cyber Security Officer (CySO) to ensure an overall satisfactory cyber security level onboard. Furthermore, training programs should focus on including how cyber threats can affect seafarers in their daily work, information on vulnerabilities related to email and USB devices, how password management can help improve security, and ensuring that cyber security guidelines are implemented and enforced.
Since the thesis focuses on high-level topics, it attempts to assess the general state of maritime cyber security and cyber security awareness among seafarers, but does not include detailed considerations of cyber security awareness and training programs. The basis for conducting such research is nevertheless made through this thesis.