Tốc độ mà các tàu thông minh đang được đưa vào các đại dương trên thế giới đang leo thang, nhờ vào tiềm năng tự động hóa để nâng cao hiệu quả hoạt động và sự an toàn trong suốt vòng đời của những tài sản đó. Trong khi tự động hóa là một đề xuất hấp dẫn đối với các chủ tàu, nó cũng mang lại sự phức tạp vì sự ra đời của nó đòi hỏi nhiều hơn việc thay thế đơn giản các chức năng của các hệ thống cũ. Chức năng hiện đại đòi hỏi sự tích hợp hệ thống và khả năng tương tác với máy chủ, có thể thêm các mức kết nối không mong muốn và các yếu tố nguy cơ mới cho tàu hoặc hệ thống mà chúng được tích hợp.

Mọi tiến bộ về chức năng – thậm chí cả những cải tiến phần mềm thông thường – giới thiệu những điểm mới cho xâm nhập hệ thống và tiềm năng mới cho sự thất bại trong hoạt động. Mặc dù tự động hóa ngày càng tăng về kiểm soát rủi ro và phức tạp, việc xây dựng sự kiên nhẫn của mạng không chỉ là một thách thức về mặt kỹ thuật mà đó còn là một thách thức về nhân sự.

Tại sao? Bởi vì nhân viên là dòng đầu tiên của quốc phòng chống lại các rủi ro kỹ thuật số; nhưng chúng cũng là nguyên nhân chính. Các hành vi lừa đảo và độc hại của họ – bao gồm máy tính xách tay bị mất, sự tiết lộ thông tin ngẫu nhiên và hành động của những nhân viên lừa đảo – gây ra 2/3 số vi phạm trên mạng, các dữ kiện bảo hiểm gần đây đã tiết lộ.

Chìa khóa để đánh giá và quản lý hệ thống-rủi ro hiệu quả – kỹ thuật số hoặc cách khác – nằm trong việc xây dựng sự hiểu biết của con người về cách thức hoạt động của các hệ thống này. Đó là một thách thức mà phần lớn có thể được đáp ứng bằng cách kết hợp các phương pháp hiện tại của cả kỹ thuật công nghiệp và con người.

Điều quan trọng là phải nhận ra rằng phức tạp hơn về hoạt động (ví dụ: trong kiến trúc hệ thống, quy tắc, chính sách, thủ tục, v.v.) có xu hướng làm giảm nhận thức về tình huống của cá nhân và tăng khả năng xảy ra lỗi của con người.

Vì vậy, khi các hệ thống phức tạp hơn, cần phải tăng gấp đôi các nỗ lực để giảm khả năng xảy ra lỗi của con người. Điều này có thể đạt được thông qua việc thiết kế và sắp xếp một hệ thống, ví dụ như bằng cách xây dựng các trạm máy tính không có cổng USB hoặc bằng cách tạo ra các hệ thống khép kín không liên lạc, hoặc bị cô lập bởi ‘khoảng cách không khí’ có kiểm soát và tích hợp bảo mật.

Rủi ro về lực lượng lao động cũng có thể được giảm thiểu bằng cách tăng cường các chính sách hạn chế truy cập vào các hệ thống cụ thể, chia tách các mạng, lọc email và cài đặt các khối trình duyệt.

Việc tạo ra (và cập nhật liên tục) chính sách và thủ tục để hỗ trợ những mục tiêu này là một nguyên lý của kỹ thuật nhân tố con người. Xây dựng nhận thức không gian mạng trong lực lượng lao động đòi hỏi một hệ thống quản lý cung cấp một lộ trình chi tiết, cụ thể cho doanh nghiệp để phục hồi, bao gồm các hướng dẫn để quản lý sự thay đổi.

Một khi kế hoạch doanh nghiệp được tạo ra / sửa đổi, nhân viên cần các kỹ năng để cung cấp nó; và giống như chính sách và thủ tục, những kỹ năng đó phải được cập nhật liên tục để phản ánh bản chất phát triển của rủi ro. Khi môi trường thương mại trở nên phụ thuộc nhiều vào kỹ thuật, huấn luyện an ninh – đặc biệt là các sáng kiến khuyến khích thái độ và hành vi đúng – trở nên quan trọng hơn. Việc đào tạo chỉ đơn giản là không đủ. Năng lực cần được liên tục chứng minh và xác nhận. Bản thân nhận thức về kỹ thuật số cần phải trở thành một hành vi phê bình.

Từ quan điểm kỹ thuật, việc tích hợp các hệ thống có ý nghĩa; các hệ thống hiện đại được xây dựng nhằm khuyến khích việc củng cố các chức năng. Nhà xây dựng của họ kết hợp các liên kết mạng, nơi nó làm cho tinh thần cho các hệ thống để sử dụng kết nối và cung cấp khả năng tương tác. Nó là một phần của sự thu hút của tự động hóa.

Tuy nhiên, kết nối giữa các hệ thống có thể giới thiệu các đường truyền thông không mong đợi, làm phức tạp các vấn đề ở nhiều cấp, từ an ninh hệ thống đến đào tạo nhân viên.

Đội ngũ và vận hành được đào tạo theo các phương pháp và chức năng mà hệ thống ban đầu được thiết kế và xây dựng. Các đặc tính và sự trình diễn của các hệ thống cá nhân được các nhà thiết kế của họ ghi lại; hiểu được hành vi của các hệ thống được kết nối, tích hợp và / hoặc phụ thuộc lẫn nhau phức tạp hơn. Tiềm năng gián đoạn thường nhân với tổng số các phần.

Các hệ thống của các hệ thống, như những người ngày càng tìm thấy trên các tài sản biển hiện đại, ngày càng sử dụng mạng để kết nối các hệ thống CNTT và các hệ thống công nghệ hoạt động (OT).

Sự phức tạp càng lớn thì ít có khả năng mọi điều kiện hoạt động hoặc rủi ro đều được công nhận, ghi chép và thử nghiệm. Một mặt, nhu cầu lớn hơn về hiệu quả hoạt động và kinh tế hệ thống buộc người xây dựng tích hợp các hệ thống; mặt khác, các phi hành đoàn cần phải hiểu được môi trường hoạt động, các chế độ hỏng hóc và các đặc tính phục hồi để đảm bảo an toàn hệ thống, người sử dụng, tàu thuyền và môi trường tự nhiên mà chúng hoạt động.

Làm thế nào để chủ tàu đảm bảo hiệu quả hoạt động, an ninh và an toàn của tài sản và hệ thống của họ trong khi giải quyết những rủi ro mang lại bởi sự phức tạp của một thế giới ngày càng gắn kết? Hệ thống không đơn giản chụp với nhau l

Ở phía bên trái của chu trình vòng đời sản phẩm (ở trên), các quy trình thiết kế và kiến trúc hình thành hệ thống để giảm khả năng sai sót, trục trặc, nguy cơ an toàn và các lỗ hổng bảo mật. Các yêu cầu chức năng vượt trội đối với an ninh và an toàn bao gồm kỹ thuật của giao diện con người / máy tính như một phần của thiết kế.

Về phía bên phải là các giai đoạn triển khai, vận hành và bảo trì, trong đó các nhà khai thác tích hợp với các hệ thống và các kiến thức liên quan và sự hiểu biết có lợi cho họ.

Kiến thức về công ty, bao gồm sổ tay điều hành và dịch vụ, quy trình và kết quả kiểm tra, các phương thức và chỉ số thất bại, cũng như các thủ tục nhận dạng và phản hồi bất thường hoặc bất thường, đều được ghi chép và duy trì trong tài liệu mô tả chức năng. Tài liệu này chứa thông tin về kiến trúc hệ thống, thiết kế, sơ đồ được xây dựng, kết quả kiểm tra và bất kỳ thông tin liên quan đến hệ thống nào khác cần được hiểu cũng như đào tạo liên quan.

Phát triển một văn hoá cyber tổ chức cũng tương tự như việc phát triển văn hoá an toàn trong một cấu trúc được xác định rõ ràng sẽ giúp tạo ra những rủi ro cho con người và công nghiệp – xuống mức chấp nhận được. Việc thiết kế và thực hiện các giá trị, thái độ, nhận thức, năng lực và kiểu hành vi của tổ chức dường như không giúp ích gì cho sự phát triển có cấu trúc hơn là xây dựng các kỹ năng, nhưng chúng cũng chỉ là sự thành công của không gian mạng và sự triển khai của bất kỳ chương trình nào.

Từ khía cạnh kỹ thuật của con người, những điều cơ bản về văn hóa mạng tổ chức lành mạnh sẽ bao gồm (nhưng không giới hạn ở):

– Các chương trình cụ thể của công ty nhằm xây dựng sự hiểu biết về rủi ro không gian mạng

– Các chiến lược cho sự tham gia của nhân viên (để xây dựng kiến thức và nhận thức tình huống, và để tránh sự tự mãn)

– Tạo ra một nền văn hoá công bằng, trong đó người lao động được coi là đối xử công bằng (điều này khác với nền văn hoá không đổ lỗi vì nó bao gồm trách nhiệm của người lao động)

– Cam kết về việc trao quyền cho nhân viên (để giúp họ hoàn thành trách nhiệm của mình)

– Thúc đẩy sự toàn vẹn cá nhân (vì vậy nhân viên làm đúng, ngay cả khi không ai tìm kiếm)

– Một cam kết rõ ràng đối với khả năng phục hồi không gian mạng từ sự lãnh đạo của công ty

– Các hoạt động truyền thông hiệu quả (bao gồm phản hồi tích cực và tiêu cực)

Các chính sách, thủ tục và đào tạo nên được xem như những rào cản về hệ thống quản lý được thiết kế để ngăn ngừa hoặc hạn chế quy mô các sự kiện không mong muốn. Nhưng những rào cản này không thể được dựng lên và sau đó lãng quên: sức khoẻ của họ cần phải được đo và sửa đổi khi hệ thống và rủi ro tiến triển.

Những thập kỷ qua của sự cống hiến để xây dựng nhận thức an toàn hàng hải đã cung cấp cho chúng ta những thực tiễn và phương pháp kỹ thuật của con người và công nghiệp kỹ thuật mà bây giờ yêu cầu phải xây dựng sự kiên cường trên mạng Internet thông qua kiến trúc hệ thống hiện đại ngày càng kết nối.

Khi các hệ thống trở nên phức tạp hơn, kết nối và hỗ trợ trên mạng, có thể tìm thấy nhiều giải pháp cho những rủi ro đang nổi lên trong những gì chúng ta đã biết.

John Jorgensen là Nhà khoa học và Giám đốc Bảo mật Mạng. Kevin McSweeney là Quản lý, Công nghệ và Nghiên cứu Nâng cao – Nhân tố Con người, An toàn và Công nghệ Kiểm tra Mới nổi. Cả hai đều làm việc cho ABS.

Các ý kiến thể hiện trong tài liệu này là của tác giả và không nhất thiết là của Nhà quản lý Hàng hải.

Mục nhập này đã được tạo ra cho mục đích thông tin và lập kế hoạch. Nó không phải là dự định được, và cũng không phải là nó được thay thế cho, tư vấn pháp luật, mà bật các sự kiện cụ thể.

Copyright: By John Jorgensen and Kevin McSweeney

https://maritime-executive.com