Cybersecurity in autonome maritieme systemen: Casestudie Seafar

De maritieme industrie ontwikkelt zich snel door bedrijfsvoering op afstand, autonome systemen en steeds meer verbonden scheepstechnologieën. Hoewel deze innovaties nieuwe efficiëntieverbeteringen mogelijk maken, vergroten ze ook het oppervlak van cyberdreigingen voor systemen aan boord en besturingsomgevingen aan wal.

Seafar loopt voorop in deze transformatie. Het bedrijf ontwikkelt en beheert oplossingen waarmee schepen gecontroleerd en bestuurd kunnen worden vanuit controlecentra aan wal, waarbij gebruik wordt gemaakt van onderling verbonden systemen zoals communicatienetwerken, navigatietechnologieën en platforms voor afstandsbediening. In deze context is cybersecurity van cruciaal belang voor een veilige en veerkrachtige bedrijfsvoering.

Een belangrijke uitdaging in dergelijke opkomende omgevingen is het gebrek aan een duidelijke, gestandaardiseerde definitie van cybersecurityvereisten. Hoewel regelgevende instanties van organisaties verwachten dat ze cyberweerbaarheid aantonen, specificeren ze vaak niet wat "veilig" in de praktijk inhoudt. Voor baanbrekende bedrijven als Seafar betekent dit dat ze zelf geschikte normen voor cybersecurity moeten definiëren en implementeren.

Om dit aan te pakken heeft Seafar in samenwerking met Bureau Veritas Cybersecurity een gestructureerd assessment van cybersecurity uitgevoerd. In nauwe samenwerking met Zia Nassir, Chief Technology & Operations Officer, was het doel om een duidelijk, op risico's gebaseerd beeld te krijgen van de cybersecurity van Seafar, afgestemd op de operationele realiteit en de veranderende verwachtingen van de regelgevende instanties.

De opdracht begon met een Risk Assessment op basis van ISO/IEC 27005, een gestructureerde methodologie voor het identificeren, analyseren en evalueren van risico's voor systemen, assets en processen. Afgestemd op ISO/IEC 27001 maakte dit de identificatie van organisatiebrede risico's en de definitie van governance en controlemaatregelen op bedrijfsniveau mogelijk.

Tegelijkertijd werd Threat Modeling uitgevoerd op belangrijke systemen en operationele scenario's die specifiek zijn voor de bedrijfsvoering op afstand en autonome vaartuigen. In deze technische analyse werd de architectuur van Seafar onderzocht om dreigingsactoren, potentiële aanvalspaden en kwetsbaarheden te identificeren, met name die gerelateerde connectiviteit en afstandsbediening, waar ongeautoriseerde toegang direct van invloed zou kunnen zijn op de bedrijfsvoering van het schip.

Samen boden deze activiteiten zowel een strategisch als een technisch perspectief, waarbij gestructureerd, organisatiebreed risicobeheer werd gecombineerd met een dreigingsanalyse op systeemniveau. Deze aanpak ondersteunde de afstemming op de verwachtingen van de regelgevende instanties en verankerde cybersecurity in het ontwerp en de bedrijfsvoering van verbonden, autonome maritieme systemen.