1 PENDAHULUAN
1.1 Panduan ini memberikan rekomendasi tingkat tinggi untuk manajemen
risiko cyber maritim. Untuk tujuan Panduan ini, risiko cyber maritim
mengacu pada ukuran sejauh mana aset teknologi terancam oleh suatu keadaan
atau peristiwa potensial, yang dapat mengakibatkan kegagalan operasional,
keselamatan, atau keamanan terkait pengiriman sebagai akibat dari informasi
atau sistem. menjadi rusak, hilang atau dikompromikan.
1.2 Pemangku kepentingan harus mengambil langkah-langkah yang diperlukan
untuk melindungi pengiriman dari ancaman dan kerentanan saat ini dan yang
muncul terkait dengan digitalisasi, integrasi dan otomatisasi proses dan
sistem dalam pengiriman.
1.3 Untuk rincian dan panduan yang terkait dengan pengembangan dan
implementasi proses manajemen risiko tertentu, pengguna Panduan ini harus
mengacu pada persyaratan Pemerintah Anggota dan Administrasi Bendera
tertentu, serta standar internasional dan industri yang relevan dan praktik
terbaik. untuk operasi pengiriman yang aman dan terjamin.
1.4 Manajemen risiko secara tradisional difokuskan pada operasi di domain
fisik, tetapi ketergantungan yang lebih besar pada digitalisasi, integrasi,
otomatisasi, dan sistem berbasis jaringan telah menciptakan peningkatan
kebutuhan akan manajemen risiko dunia maya dalam industri perkapalan.
1.5 pengapalan yang aman, yang secara operasional tahan terhadap risiko
dunia maya, Panduan ini memberikan rekomendasi yang dapat dimasukkan ke
dalam proses manajemen risiko yang ada. Dalam hal ini, Panduan melengkapi
praktik manajemen keselamatan dan keamanan yang ditetapkan oleh Organisasi
ini
2 GENERAL
2.1 Latar Belakang
2.1.1 Cybertechnologies telah menjadi penting untuk operasi dan manajemen
berbagai sistem yang penting untuk keselamatan dan keamanan pengiriman dan
perlindungan lingkungan laut. Dalam beberapa kasus, sistem ini harus
memenuhi standar internasional dan persyaratan Administrasi Bendera. Namun,
kerentanan yang diciptakan oleh akses, interkoneksi, atau jaringan sistem
ini dapat menyebabkan risiko dunia maya yang harus ditangani. Sistem yang
rentan dapat mencakup, tetapi tidak terbatas pada:
1. Bridge systems;
2. Cargo handling and management systems;
3. Propulsion and machinery management and power
control systems;.
4. Access control systems;.
5. Passenger servicing and management systems;.
6. Passenger facing public networks;.
7. Administrative and crew welfare systems;and.
8. Communication systems.
2.1.6 Manajemen risiko dunia maya yang efektif juga harus mempertimbangkan
dampak keselamatan dan keamanan yang dihasilkan dari pemaparan atau
eksploitasi kerentanan dalam sistem teknologi informasi. Hal ini dapat
terjadi akibat koneksi yang tidak tepat ke sistem teknologi operasional
atau dari penyimpangan prosedur oleh personel operasional atau pihak
ketiga, yang dapat membahayakan sistem ini (misalnya, penggunaan media yang
dapat dipindahkan yang tidak tepat seperti memory stick).
2.1.8 Teknologi dan ancaman yang berubah dengan cepat ini mempersulit
penanganan risiko ini hanya melalui standar teknis. Dengan demikian,
Panduan ini merekomendasikan pendekatan manajemen risiko untuk risiko dunia
maya yang tangguh dan berkembang sebagai perpanjangan alami dari praktik
manajemen keselamatan dan keamanan yang ada.
2.2 Aplikasi
2.2.2 Menyadari bahwa tidak ada dua organisasi dalam industri perkapalan
yang sama, Pedoman ini dinyatakan dalam istilah yang luas agar dapat
diterapkan secara luas. Kapal dengan sistem terbatas terkait dunia maya
mungkin menganggap aplikasi sederhana dari Panduan ini sudah cukup; namun,
kapal dengan sistem terkait dunia maya yang kompleks mungkin memerlukan
tingkat perawatan yang lebih baik dan harus mencari sumber daya tambahan
melalui industri terkemuka dan mitra Pemerintah.
3.1 Untuk tujuan Pedoman ini, manajemen risiko siber berarti proses
mengidentifikasi, menganalisis, menilai, dan mengkomunikasikan risiko
terkait siber dan menerima, menghindari, mentransfer, atau memitigasinya ke
tingkat yang dapat diterima, dengan mempertimbangkan biaya dan Manfaat dari
tindakan yang diambil kepada pemangku kepentingan.
3.2 Tujuan manajemen risiko cyber maritim adalah untuk mendukung pengiriman
yang aman dan terjamin, yang secara operasional tahan terhadap risiko
cyber.
3.3 Manajemen risiko cyber yang efektif harus dimulai pada tingkat
manajemen senior. Manajemen senior harus menanamkan budaya kesadaran risiko
dunia maya ke dalam semua tingkat organisasi dan memastikan rezim manajemen
risiko dunia maya yang holistik dan fleksibel yang terus beroperasi dan
terus dievaluasi melalui mekanisme umpan balik yang efektif.
3.4 Salah satu pendekatan yang dapat diterima untuk mencapai hal di atas
adalah dengan menilai secara komprehensif dan membandingkan postur
manajemen risiko cyber organisasi saat ini, dan yang diinginkan.
Perbandingan tersebut dapat mengungkapkan kesenjangan yang dapat diatasi
untuk mencapai tujuan manajemen risiko melalui rencana manajemen risiko
dunia maya yang diprioritaskan. Pendekatan berbasis risiko ini akan
memungkinkan organisasi untuk menerapkan sumber dayanya dengan cara yang
paling efektif.
1. Identifikasi:
Tentukan peran dan tanggung jawab personel untuk manajemen risiko
dunia maya dan identifikasi sistem, aset, data, dan kemampuan yang,
ketika terganggu, menimbulkan risiko bagi operasi kapal..
2. Lindungi:
Terapkan proses dan tindakan pengendalian risiko, dan perencanaan
kontingensi untuk melindungi dari a peristiwa dunia maya dan
memastikan kelangsungan operasi pengiriman..
3. Deteksi:
Mengembangkan dan menerapkan kegiatan yang diperlukan untuk
mendeteksi peristiwa siber secara tepat waktu..
4. Menanggapi:
Mengembangkan dan menerapkan kegiatan dan rencana untuk memberikan
ketahanan dan memulihkan sistem yang diperlukan untuk operasi
pengapalan atau layanan terganggu karena peristiwa cyber..
5. Pulihkan:
Identifikasi langkah-langkah untuk mencadangkan dan memulihkan
sistem cyber yang diperlukan untuk operasi pengiriman yang terkena
dampak peristiwa cyber
3.6 Elemen fungsional ini mencakup aktivitas dan hasil yang diinginkan dari
manajemen risiko siber yang efektif di seluruh sistem kritis yang
memengaruhi operasi maritim dan pertukaran informasi, dan merupakan proses
yang berkelanjutan dengan mekanisme umpan balik yang efektif.
3.7 Manajemen risiko siber yang efektif harus memastikan tingkat kesadaran
yang tepat tentang risiko siber di semua tingkat organisasi. Tingkat
kesadaran dan kesiapan harus sesuai dengan peran dan tanggung jawab dalam
sistem manajemen risiko siber.
4.2 Panduan dan standar tambahan mungkin termasuk, tetapi tidak terbatas
pada:
1. Panduan tentang Kapal Onboard Keamanan Cyber yang diproduksi dan
didukung oleh BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO, OCIMF
dan IUMI
2. ISO / IEC 27001 standar tentang Teknologi informasi - Teknik
keamanan - Sistem manajemen keamanan informasi - Persyaratan.
Diterbitkan bersama oleh Organisasi Internasional untuk
Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC)
3. Institut Standar Nasional Amerika Serikat dan Kerangka Teknologi
untuk Meningkatkan Keamanan Siber Infrastruktur Kritis (Kerangka
NIST
4.3 Referensi harus dibuat sesuai dengan yang terbaru versi panduan atau
standar apa pun yang digunakan.