САЩ ще задържа кораби, които не прилагат управление на киберриска

САЩ ще задържа кораби, чиято Система за Управление на Безопасността (SMS) не предвижда управление на киберриска.

Съгласно Резолюция MSC.428(98) Maritime Cyber Risk Management In Safety Management Systems, компаниите трябва да внедрят управление на киберриска не по-късно от първия годишен преглед за заверка на Документа за съответствие с изискванията на Международния кодекс за управление на безопасната експлоатация на кораби и предотвратяване на замърсяването (ISM Code) след 01.01.2021г. След тази дата компаниите трябва ефективно да управляват киберриска изпълнявайки целите и функционалните изисквания на ISM кодекса.

На 27 октомври 2020 г. USCG публикува Vessel Cyber Risk Management Work Instruction (CVC-WI-027(1)).

Според CVC-WI-027(1), всички компании с кораби, които пристигат в пристанища на САЩ, трябва да гарантират, че са имплементирали управление на киберриска в техните Системи за Управление на Безопасността (Safety Management Systems (SMS)).

USCG ще предприема следните действия, ако установи, че кораб пристигащ в пристанище на САЩ не прилага управление на киберриска като част от SMS:

1. Ако управлението на киберриска не е имплементирано в корабната SMS най-късно до първата годишна заверка на Документа за съответствие с изискванията на Международния кодекс за управление на безопасната експлоатация на кораби и предотвратяване на замърсяването (DOC на компанията) съгласно ISM Code след 01.01.2021 г., в рапорта за инспекция ще бъде вписана забележка с код 30 – задържане на кораба и извършване на допълнителен външен одит до 3 месеца или до следващо посещение на пристанище в САЩ
2. Ако USCG констатира обективни доказателства, че корабът не изпълнява изискванията на SMS по отношение на управлението на киберриска, PSC офицерите ще вписват забележка с код 17 – отстраняване до отплаване и ISM забележка изискваща вътрешен одит на кораба до 3 месеца или до следващо посещение на пристанище в САЩ

Примерен сценарий при USCG инспекция:

Вторият помощник капитан обяснява на PSC инспектора, че ECDIS не работи след последната актуализация. Проверяващият го пита каква е процедурата за актуализация на ECDIS. Вторият помощник обяснява, че ECDIS се актуализира посредством външна флаш памет, на която актуализациите се зареждат от корабен компютър.

Към този момент PSC офицерът все още се опитва да разбере защо оборудване, което е необходимо за безопасната навигация не работи. Правило V/27 на SOLAS изисква всички навигационни карти, необходими за прехода, да бъдат актуални. ECDIS не функционира, изискването на SOLAS не е спазено.

PSC офицерът пита втория помощник дали флаш устройството е сканирано за вируси / зловреден софтуер преди да бъде свързано към ECDIS. Отговорът на втория помощник е „Не“.

Това е обективно доказателство за лоша киберхигиена и повод за извършване детайлна PSC инспекция (more detail inspection) включително по отношение на управлението на киберриска като част от SMS.

Проверяващият преглежда частта от ISM документацията касаеща киберсигурността. Той установява, че SMS изисква всички външни носители на информация да бъдат сканирани за зловреден софтуер преди да бъдат включени към корабната компютърна система. Тъй като вторият помощник вече е заявил, че флаш паметта не е била сканирана, това е основание за ISM забележка.