한자동맹 운송보험 협회와 독일 연방 정보기술 보안국은 해운 회사의 육상 및 선상 운영을 위한 IT 기본 보안 프로필, 즉 표준 보안 콘셉트를 개발하고 있다. IT 기본 보안 프로필로 IT 보안에 대한 최소한의 요구사항을 규정하여 증가하는 사이버 공격에 효과적이며 효율적으로 대처할 수 있게 하려고 한다. 경영진은 IT 기본 보안 프로필을 구현하기 위한 중심적인 지원을 하게 되며 IT 전문가는 구현 일정을 제공해야 한다.

 독일 연방 정보기술 보안국장 아르네 쇤봄은 “제조사가 프로그램의 일부를 빠르게 고쳤던 취약점을 악용한 NotPetya 2017과 같은 사이버 공격은 물류 부문의 IT 시스템의 보안 장치를 보강할 필요가 있다는 것을 보여주었습니다.” 라고 설명했다. “새 IT 기본 보안 프로필에 기반을 둔 IT 보안관리를 구현했다면 이미 보고된 피해 중 많은 부분을 방지할 수 있었을 것입니다.”

 해운회사의 육상 운영 IT 기본 보안 프로필이 12월 말에 이미 나왔으며, 선상 운영을 위한 IT 기본 보안 프로필 킥오프 워크샵이 지난 1월 23일에 진행되었다. 브레멘 상공 회의소에서 열린 킥오프 워크샵에는 MSC, 하팍로이드 및 함부르크 쉬드와 같은 업계 유명 업체는 물론이고 소규모 해운 회사 및 기타 해운 관련 이해당사자 대표 등이 참석했다.

 워크샵 참석자는 “어떤 IT 지원 비즈니스 프로세스가 선상 운영에 가장 적합한가?” 라는 핵심 질문에 대해 소그룹으로 나뉘어 토론하고 항해 운영(탐색), 기술 운영(유지 보수), 화물 운영(작동) 및 디지털 채널을 통한 커뮤니케이션이라는 4가지 주요 영역을 결정했다.

 Windows와 같은 표준 응용 프로그램은 정상적인 보안이면 충분하지만 해운 관련 프로그램의 경우에는 보안 지수가 ‘높음’에서 ‘매우 높음’까지 이어야 한다. IT 측면에서 민감한 고객 데이터 또한 보호해야 한다. 무엇보다도 IT 기본 보안 프로필은 보안 대상 영역에 적용할 수 있는 구성 요소를 제공하기 위한 것이다. 그러나 참석자들 사이에서 모든 것이 24시간 내내 원활하게 모니터링 될 수 없다는 공감대가 형성되었다. 

 독일 연방 정보기술 보안국의 프로젝트 관리자인 프라우게 그레벤은 동료인 비르거 클라인과 함께 워크숍을 진행하면서 “해운업계에 닥친 위험을 알아내는 것이 가장 중요합니다.” 라고 강조했다. 사이버 보안은 선박에 국한되어서는 안되며 전체 운송 체인 및 관련된 모든 이해 관계자가 사이버 보안에 포함되어야 한다. 올해 4월에 진행될 다음 워크샵에서는 선상 운영에 대한 IT 기본 보안 프로필 작업이 계속될 것이다.