Maritim cyber risikostyring i sikkerhetsstyringssystemer

Abstract

Bakgrunn: Rederiene er pålagt av IMO å gjennomføre cyber risikovurderinger og inkludere disse i sine sikkerhetsstyringssystemer fra første revisjon etter 1.januar 2021.

Formål: Formålet med dette studiet er å komme til kunnskap om hvordan rederiene håndterer IMO`s krav til gjennomføring av cyber risikovurderinger, hvem som er involvert og hvordan dette risikoområdet oppleves av de som er satt til å styre det. Hensikten er å belyse noen av de utfordringer rederiene står oppe i som følge av digitaliseringene vi allerede har gjennomgått og kommer til å gjennomføre.

Problemstilling: Hvordan utfører rederiene cyber risikovurderingene, hvilke roller er involvert og hvordan oppleves prosessen av de HSEQ-ansatte? Teori: Det er benyttet teori fra IMO, veileder i cybersikkerhet om bord på skip utgitt av BIMCO, teori om verdivurderinger og risikovurderinger av tilsiktede uønskede hendelser samt noe teori om sikkerhetskultur.

Metoder: Kvalitativ metode ved bruk av semistrukturerte intervjuer, systematisk tekstkondensering som analysemetode av 5 transkriberte intervjuer.

Resultater: Funn i studiet kan tyde på at rederiene i stor grad involverer eksterne parter i gjennomføringen av cyber risikovurderinger, utvelgelse, implementering og oppfølging av risikoreduserende tiltak. Videre kan funn tyde på at risikovurderingsmetodikken som benyttes i stor grad er den samme som for utilsiktede uønskede hendelser.

Konklusjon: Rederiene gjennomfører pålagte cyber risikovurderinger, gjennom bruk av eksterne leverandører av sikkerhetstjenester. Det foreligger imidlertid en mulighet for en informasjonsasymmetri mellom leverandørene og rederiene som kan føre til at rederiene ikke mottar en tilpasset tjeneste. Gjennomføring og dokumentering av en verdikartlegging kan øke sannsynligheten for at sikkerhetsleveransene bedre tilpasses det enkelte rederi.

Nøkkelord: Cyber risikovurdering, sårbarhetsvurderinger, trusseletterretning, verdikartlegging, rederi, fartøy, BIMCO, IMO, informasjonsasymmetri.

Background: The shipping companies are required by the International Maritime Organization (IMO) to conduct cyber risk assessments and incorporate them into their safety management systems from the first audit after January 1, 2021.

Purpose: The purpose of this study is to gain knowledge about how shipping companies manage the IMO's requirements for conducting cyber risk assessments, who is involved, and how this area of risk is perceived by those responsible for overseeing it. The intention is to shed light on some of the challenges faced by shipping companies as a result of the digitization processes we have already undergone and will continue to implement.

Research question: How do the shipping companies perform the cyber risk assessments, which roles are involved, and how is the process experienced by the HSEQ personnel?

Theory: The theory used includes IMO guidelines, the BIMCO guidance on cybersecurity onboard ships, theories on value assessments and risk assessments of intentional undesired events, as well as some theories on safety culture.

Method: Qualitative method using semi-structured interviews, systematic text condensation as the analysis method of 5 transcribed interviews.

Findings: Findings in the study may indicate that the shipping companies largely involve external parties in conducting cyber risk assessments, selection, implementation, and follow-up of risk-reducing measures. Furthermore, findings may suggest that the risk assessment methodology used is largely the same as that for unintended adverse events.

Conclusion: The shipping companies carry out mandated cyber risk assessments by utilizing external security service providers. However, there is a potential for an information asymmetry between the providers and the shipping companies, which may result in the companies not receiving a tailored service. Conducting and documenting a value mapping can increase the likelihood of security deliveries being better aligned with each individual shipping company.

Keywords: Cyber risk assessment, vulnerability assessments, threat intelligence, value mapping, shipping company, vessel, BIMCO, IMO, information asymmetry.