Κυβερνοεπιθέσεις στη ναυτιλία: οδηγίες προς ναυτιλομένους

0

του Άρη Κτενά

Είναι πλέον γεγονός πως τα συστήματα που μπορούν να χακαριστούν σε ένα πλοίο δεν είναι μόνο τα συστήματα που έχουν να κάνουν με την πληροφοριακή τεχνολογία (ΙΤ systems). O μέσος χρήστης ίσως θεωρεί πως ο στόχος των κυβερνοεπιθέσεων θα είναι τα e-mail της εταιρίας, τα accounts, το planned maintenance στο pc του καραβιού, η διαχείριση των ανταλλακτικών, τα ηλεκτρονικά manuals, τα ηλεκτρονικά πιστοποιητικά αλλά και ναυλοσύμφωνα, τα notices of readiness, τα bill of landings κ.α.. Όλα δηλαδή τα προαναφερόμενα που όντως αποτελούν κομμάτι της πληροφοριακής τεχνολογίας (IT) και μπορούν να έχουν κυρίως οικονομικό αντίκτυπο ή αντίκτυπο στη φήμη της εταιρίας. Δεν είναι όμως τα μόνα συστήματα που μπορούν να πέσουν θύματα επίθεσης!

Οι χάκερς πλέον, κυνηγούν τα ακόμα πιο ευπαθή επιχειρησιακά συστήματα (OT), όπως PLCs, SCADAs, πληροφοριακούς τρόπους μετρήσεων και ελέγχου, ECDIS, GPS, απομακρυσμένη συντήρηση των μηχανών, σύστημα ελέγχου των μηχανών και του φορτίου, ραντάρς, ακόμα και κάθε είδους σύστημα επικοινωνίας (LRIT, Inmarsat, FBB, SSAS κ.α.). Σε περίπτωση κυβερνοεπίθεσης δεν πρόκειται λοιπόν για οικονομική καταστροφή ή καταστροφή φήμης, αλλά για κίνδυνο απώλειας ζωής, περιουσίας ή και περιβαλλοντικής καταστροφής.

Ήδη το 2012 υπήρξαν “χτυπήματα” σε GPS (jamming/spoofing) με απώλεια σήματος και το 2013 χακαρίσματα σε συστήματα εντοπισμού εμπορευματοκιβωτίων. Όλα τα περιστατικά εμπεριείχαν ανθρώπινη αμέλεια.

Ποιους τρόπους χρησιμοποιούν οι χάκερς για να δημιουργήσουν «αντλία» εισόδου στα συστήματα της εταιρίας;
1. Τακτικές κοινωνικής μηχανικής (social engineering tactics): Αυτές οι τακτικές έχουν σκοπό να ξεγελάσουν τους ανθρώπους και να αντλήσουν ευαίσθητες πληροφορίες. Επαφίενται κυρίως στην ανθρώπινη αδυναμία, την καλοπιστία ή την θέληση των ανθρώπων να παράσχουν βοήθεια. Βασίζονται συνήθως στην πίεση του χρόνου (σου ζητούν να βοηθήσεις τώρα / άμεσα) ή στο φόβο της εξουσίας (παρουσιάζονται ως αρχή ή ανώτερο στέλεχος). -Μη θεωρήσετε ότι κάποιος που φαίνεται να ξέρει πολλά για σας ή για το καράβι σας είναι αληθινός συνάδελφος. Μπορεί να είναι κάποιος κυβερνοαπατεώνας που έχει κάνει καλό «διάβασμα» πριν σας στοχοποιήσει-.
2. Ψάρεμα: Προσποιούνται σε πολλαπλούς χρήστες ότι είναι η τράπεζά τους, ή κάποιος συνάδελφος ή ότι προσωπικά κερδίσατε κάτι και πρέπει να απαντήσετε για το παραλάβετε. «Είστε ο υπερτυχερός που κέρδισε ένα δισεκατομμύριο δολάρια από κλήρωση e-mail», Όχι δεν είστε. Συνήθως το ψάρεμα γίνεται μέσω e-mails που φαίνονται προσωποποιημένα και περιέχουν συνδέσμους ή συνημμένα αρχεία με σκοπό να τα πατήσετε.
3. Επίθεση με κακόβουλα λογισμικά που μεταφέρονται με τα κινητά, τους υπολογιστές ή τα usb σας μέσα στο καράβι ή στην εταιρία: Μπορεί να είναι ιοί, worms, spyware ή ακόμα και KeyLoggers που διαβάζουν οτιδήποτε πληκτρολογείτε και μπορούν να απομονώσουν κωδικούς που σας έχει παράσχει η εταιρία για εταιρική χρήση.
4. Επίθεση με Ransomware: Μπλοκάρουν το PC σας ή το μηχάνημα στο οποίο δουλεύετε και ζητούν λύτρα. Εκεί θα πρέπει απλά να φωτογραφίσετε το μήνυμα, να κλείσετε αμέσως τη συσκευή και να επικοινωνήσετε με το τμήμα IT της εταιρίας.
5. Ψεύτικες ιστοσελίδες: Δημιουργούν ιστοσελίδες που το url (η διεύθυνση) είναι ελάχιστα διαφορετική από σελίδες που θεωρείτε αξιόπιστες. Μπαίνοντας στο δικό τους περιβάλλον, μπορούν να σας πείσουν για το οτιδήποτε. Προσέξτε λοιπόν να υπάρχει το πιστοποιητικό ασφαλείας και αυθεντικότητας της σελίδας και να αναγράφετε https πριν το www.
6. Τηλεφωνήματα: Μην εμπιστεύεστε οποιονδήποτε στο τηλέφωνο σας παρουσιάζετε ως ανώτερός σας ή ως Αρχές. Δαπανήστε χρόνο να καταλάβετε με ποιον μιλάτε και να εξετάσετε την αυθεντικότητα της ταυτότητάς του. Αν δεν είστε σίγουροι, ζητήστε να τον καλέσετε πίσω εσείς. Τέλος, μη δεχτείτε να κάνετε απομακρυσμένη (remote) δουλειά μαζί του, αν δεν είστε βέβαιος σε ποιον δίνετε αυτή την πρόσβαση.
7. Οι παραποιημένες διευθύνσεις των μέσων κοινωνικής δικτύωσης: Πολλές φορές πλατφόρμες όπως το LinkedIn ή το twitter, παραποιούν τις κανονικές διευθύνσεις και τους δίνουν short alias names (σύντομες ονομασίες). Να είστε επιφυλακτικοί με αυτές και να βλέπετε από την προεπισκόπηση σε ποια διεύθυνση θέλουν να σας μεταφέρουν αν πατήσετε το σύνδεσμο.
8. Τα Torrents: Συχνά χρησιμοποιούν τα τόρεντς για να εισέλθουν στο λογισμικό το δικό σας ή της εταιρίας σας. Μην χρησιμοποιείτε torrent downloading από εταιρικά computers ή computers του καραβιού. ΑΝ το κάνετε από προσωπικό σας υπολογιστή, τότε μπείτε στο VirusTotal που είναι δωρεάν για να εξετάσει το αρχείο που κατεβάσατε ΠΡΙΝ το ανοίξετε.
9. Τα “επιπλέον” προγράμματα: Πολλές φορές όταν κατεβάζετε ένα πρόγραμμα, σας προτρέπει να κατεβάσετε κάποιο επιπλέον πρόγραμμα, με προτροπές όπως αύξηση της ταχύτητας του υπολογιστή σας ή/και καλύτερο streaming. Μην το κάνετε.
10. Ψεύτικες διευθύνσεις e-mail: Αν πάρετε κάποιο μήνυμα που σας κινήσει υποψίες προσέξτε καλά τη διεύθυνση , μήπως η εταιρίας σας “crewdept@Nautilos.com” δεν γράφετε “crewdept@Nautil0s.com” ?
11. Video Games: Τα βιντεοπαιχνίδια στην εποχή μας λειτουργούν με χρήση κάποιου απομακρυσμένου σέρβερ, που αν χακαριστεί μπορεί να προσβάλει και τα δικά μας συστήματα. Μην παίζετε βιντεοπαιχνίδια με εταιρικά computers ακόμα και μετά τη λήξη της εργασίας ή της βάρδιας.
12. Φυσική παρουσία: Μην αφήνετε τους τεχνικούς και κάθε φύσεως επισκέπτες στο καράβι ή στην εταιρία, χωρίς επίβλεψη.

Που ποντάρουν οι χάκερς:
1. Στα default passwords: Όλοι οι χάκερς ξέρουν τι κωδικούς χρησιμοποιούν σαν default οι κατασκευαστές. Ποντάρουν στο ότι δε θα τους αλλάξετε.
2. Στο μη ενημερωμένο λογισμικό: Όλοι οι χάκερς ενημερώνονται για τις αδυναμίες που κάθε λογισμικό ανακαλύπτει μετά τη διάθεσή του στο κοινό. Ποντάρουν πως δεν θα κάνετε τις ενημερώσεις του.
3. Στο σύστημα AntiVirus: Είναι λογικό πως τα συστήματα της εργασίας είναι ενημερωμένα από τον διαχειριστή του συστήματος (πιθανώς το ΙΤ Dept.) αλλά είναι δική σας ευθύνη να εγκαθιστάτε antivirus και να τον κρατάτε ενημερωμένο στις προσωπικές συσκευές.
4. Στην έλλειψη φυσικής παρουσίας: Μην αφήνετε το computer ή και το smartphone σας ανοιχτό και ξεκλείδωτο χωρίς να είστε παρόν.

Πως μπορούν χτυπήσουν την εταιρία μέσω του κινητού σας:
– Από μηνύματα SMS
– Από e-mails
– Από το Bluetooth σας, εφόσον το αφήνετε ανοιχτό
– Από μη εγκεκριμένες εφαρμογές που κατεβάσατε

Δυστυχώς, οι ναυτικοί και οι υπάλληλοι ναυτιλιακών εταιρειών καλούνται να εξεταστούν σε ένα μάθημα πριν την παράδοσή του. Μπορούν όμως να αντεπεξέλθουν, αν κατακτήσουν τη γνώση και την εμπειρία του. Ο Κομφούκιος άλλωστε έλεγε, η γνώση είναι ένα μικρό φανάρι που κρέμεται πίσω από την πλάτη μας και φωτίζει μόνο τον δρόμο που έχουμε ήδη περάσει.

Υπέρτιτλος: Πως οι υπάλληλοι ή οι ναυτικοί μίας ναυτιλιακής εταιρίας μπορούν να την προστατεύσουν από μια κυβερνο-απειλή;