I juni 2017 gik skærmene i sort i hovedkontoret hos Danmarks største rederi. Et destruktivt cyberangreb lammede havneterminaler verden over. 45.000 computere og 4.000 servere blev genopbygget på ti dage. Tabet blev opgjort til 250-300 millioner dollar.
Hvad gjorde rederiet bagefter? Det udvidede sit partnerskab med en amerikansk cloud-leverandør. Platformen driver nu containerstyring, brændstofoptimering og skib-til-land-kommunikation for hele flåden.
Det var en sikkerhedsbeslutning. Men sikkerhed og jurisdiktion er to forskellige problemer. Cloud-skiftet løste det første. Ikke det andet.
1.000 skibe ramt via én softwareleverandør
I januar 2023 ramte et ransomware-angreb et norsk klassifikationsselskabs flådestyringssoftware. 1.000 skibe hos 70 rederier blev berørt. Serverne måtte genopbygges. Fuld genopretning tog to måneder. Softwaren bruges af 300 rederier til at styre 7.000 skibe. Alle var potentielt eksponeret.
Tre lag af afhængighed
Den maritime tech-stak har tre lag, og alle tre er under amerikansk jurisdiktion.
Cloud-platformen. De store amerikanske cloud-udbydere er underlagt lovgivning, der giver USA adgang til data uanset serverens placering.
Satellitkommunikationen. Et stort rederi transmitterer 30 terabyte data fra sin flåde hver måned via internationale satellitoperatører. Data i transit er krypteret, men risikoen er serviceafbrydelse. En episode med en satellittjeneste i forbindelse med krigen i Ukraine viste, at én person kan beslutte, hvem der har adgang.
Flådestyringssoftware. Systemerne til flådestyring og klassifikation er typisk hostet på amerikansk cloud-infrastruktur.
Et præsidentielt dekret, en sanktion eller et cyberangreb kan ramme alle tre lag samtidigt.
NIS2 stiller krav
Shipping-industrien er under NIS2 klassificeret som essentiel infrastruktur. Det betyder risikovurdering af både IT og styringssystemer, incident-rapportering inden 24 timer, vurdering af leverandørkædens sikkerhed og personligt ansvar for ledelsen. Bøder kan nå op til 10 millioner euro.
NIS2 foreskriver ikke leverandørens nationalitet. Men direktivet kræver, at virksomheder dokumenterer og vurderer jurisdiktionsrisikoen i deres leverandørkæde. Det er et krav, mange maritime virksomheder endnu ikke har adresseret.
Europæiske alternativer er på vej
Et fuldt europæisk alternativ til den maritime tech-stak findes ikke i dag. Men dele af den er under opbygning. En fransk udbyder leverer allerede Europas største managed maritime forbindelses- og sikkerhedsplatform. Et dansk selskab producerer satellitudstyr til multi-orbit kommunikation. Et norsk statsligt initiativ lancerer en dedikeret maritim satellit i 2027. EU’s eget satellitprogram forventes tidligst operationelt i 2029.
At alternativet ikke er komplet, er ikke et argument for at vente. Det er et argument for at begynde med de lag, der allerede kan adresseres.
En uafhængig IT-rådgivning kan hjælpe med at kortlægge, hvilken jurisdiktion jeres maritime IT-infrastruktur reelt opererer under, og hvor I kan reducere afhængigheden.
Hvornår gennemgik jeres organisation sidst alle tre lag i jeres maritime tech-stak, og under hvilken lovgivning de opererer?
Har du brug for rådgivning om maritim cybersikkerhed og jurisdiktionsrisiko?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
