Shipping and Defence

The cybersecurity core in the naval sector.

Gyala Editorial Staff

Some useful data:

Maritime shipping currently accounts for 70% of global commercial traffic, generating a value stream of approximately 13 trillion dollars
(sources: United Nations Development and Trade Office - International Monetary Fund).
In this context, ships play a crucial role as network nodes and integrated systems, interconnected with other fleets, companies and third parties.

The complex nature of this situation highlights the challenge we face: cybersecurity in the shipping sector.
All national and international regulations on maritime cybersecurity are based on Chapter IX of the International Convention for the Safety of Life at Sea (SOLAS), known as the International Management Safety Code. In this regulatory context, IT security is considered a matter of safety (protecting people and/or systems from failures) rather than security (protecting people and/or systems from external threats).

The regulatory document International Management Safety Code shares some common themes:

  • IT security must be addressed by applying risk management techniques in the context of information security.
  • Cyber risks must be managed and addressed within the Security Management System.
  • IT resilience must be developed for all naval systems that impact on security, distinguishing between IT (Information Technology) and OT (Operation Technology) systems.
  • I sistemi IT forniscono accesso a informazioni e contenuti digitali, come per esempio i sistemi di navigazione su internet; mentre i sistemi OT controllano e monitorano l’esecuzione di processi fisici, come i sistemi di controllo della propulsione. Tuttavia, esistono anche sistemi integrati IT e OT, come i sistemi di diagnostica e controllo remoto della propulsione.

The critical on-board systems:

At a secondary level of systems analysis, it is crucial to identify critical systems and safety-critical functional elements..
Tra i sistemi critici di bordo troviamo i sistemi di navigazione, i sistemi di comunicazione satellitare (Sat Com), i sistemi di automazione della macchina, la rete navale e il sistema di gestione delle proprietà della nave.
Critical functional elements include remote maintenance, system upgrades, all internet-exposed services and human interaction.

Additional critical elements must be addressed for ships in operation that have not been designed with cyber resilience in mind.
L’analisi dei sistemi a vari livelli fa parte di una più ampia valutazione del rischio informatico, che include analisi e valutazione di vulnerabilità e rischi. È importante considerare che livelli di dettaglio diversi presentano rischi diversi, e l’impatto di un evento a un livello può propagarsi ad altri livelli. 
Inoltre, le normative internazionali suggeriscono un approccio olistico alla sicurezza informatica, come indicato nel NIST Cybersecurity Framework. 

The Cyber Security Contingency Plan (CSCP):

The result of this analysis is the Cyber Security Contingency Plan (CSCP), che integra e completa il Sistema di Gestione della Sicurezza (SMS) per quanto riguarda la sicurezza informatica. Questo piano considera le situazioni di pericolo informatico e le strategie per affrontarle.
In conformità alle normative vigenti, tutta la documentazione prodotta in materia di sicurezza informatica confluisce in una sezione dedicata del SMS, strutturata in modo frattale come il sistema stesso: dalle politiche aziendali, al manuale, alle procedure, fino ai report.
Special attention must be paid to new constructions, the ships of the future.
Per queste imbarcazioni, le misure di protezione informatica sono integrate sin dalle prime fasi del processo di progettazione, secondo il principio del “cyber security by design”, prevedendo anche più livelli di protezione (defence in depth).

In general, the cyber resilience of a ship, whether new or otherwise , must be constantly monitored throughout its life cycle, through internal audits and analysis of reports on events that have taken place.
Through these practices, each shipping company assesses the effectiveness of its IT security system and, if necessary, makes appropriate changes, following the continuous improvement approach prescribed by the regulations.

Conclusions. How can we defend shipping infrastructure?

The importance of cybersecurity in the shipping sector is clear. It is not a process to be activated only when required, but a form of protection that must be constantly renewed, accompanying the ship throughout its life cycle, from the moment of its design to its decommissioning.
It is crucial to understand that cybersecurity is an indispensable element in ensuring operational security and protecting critical systems, sensitive information and human lives.

Agger è stato sviluppato e testato proprio sulle navi militari e abbiamo avuto la possibilità di studiare a lungo il complesso sistema delle navi, sia dal punto di vista IT che OT. Ora Agger è disponibile anche per il settore Navale Civile.

RELATED ARTICLES

NICOLA MUGNATO - ARTICOLO INNO3.IT -

La soluzione Agger di Gyala negli attuali scenari di sicurezza OT

January 27, 2024

Protezione dei dati, Privacy, Sicurezza (anche infrastrutturale): tre pilastri chiave per la...

Learn more
Articolo resilienza Reti OT

La soluzione Agger di Gyala negli attuali scenari di sicurezza OT​

January 17, 2024

La soluzione Agger di Gyala negli attuali scenari di sicurezza OT INDUSTRY4BUSINESS.IT...

Learn more

Protezione e Cyber Resilience dei dispositivi elettromedicali con Gyala

December 14, 2023

Come proteggere i dispositivi elettromedicali degli ospedali: le soluzioni Gyala HEALTHTECH360.it Proteggere...

Learn more