Deniz taşımacılığı siber güvenlik düzenlemesi son birkaç yılda teorikten yapısal olarak bağlayıcı hale geldi — ancak yatlara nasıl uygulandığı hâlâ yeterince anlaşılmış değil, kısmen çünkü altta yatan çerçeve ticari deniz taşımacılığı için yazıldı, kısmen de kamuoyuna yansıyan manşet bir süperyat vakası konuyu görünür kılmadı.
Bu rehber, IMO çerçevesinin gerçekte ne istediğini, Nisan 2025 kadar yakın tarihte nelerin değiştiğini, en yeni sınıf kuruluşu kurallarının yeni inşalar için ne anlama geldiğini ve bir kaptanın kamuya yansımamış bir tehdit ortamı uydurmadan gerçekçi olarak ne yapabileceğini ortaya koyuyor.
Kaynak: IMO Resolution MSC.428(98); IMO MSC-FAL.1/Circ.3 Rev.3 (imo.org); DNV, Maritime Cyber Security (dnv.com/maritime/insights/topics/maritime-cyber-security).
Düzenleyici Zincir: Siber Risk Nasıl Bir ISM Code Yükümlülüğü Oldu
SOLAS yangın emniyeti veya MARPOL emisyon limitlerinin aksine, deniz taşımacılığı siber güvenliği tek bir bağımsız sözleşmeyle yönetilmiyor. Yatlara, IMO belgelerinden oluşan belirli bir zincir üzerinden, mevcut ISM Code yapısı aracılığıyla ulaşıyor.
IMO Resolution MSC.428(98), Deniz Emniyeti Komitesi tarafından 2017'de kabul edilen işlevsel belgedir. Yeni teknik gereklilikler yaratmıyor — bunun yerine, ISM Code kapsamında zaten zorunlu olan onaylı bir Emniyet Yönetim Sisteminin, mevcut risk yönetimi çerçevesinin bir parçası olarak siber riskleri ele alması gerektiğini teyit ediyor. Siber risk yönetimi, ayrı bir rejim olarak eklenmek yerine zaten var olan bir yapının içine katlandı.
Pratik son tarih: bayrak devletleri ve Tanınmış Kuruluşlar, siber riskin SMS içinde 1 Ocak 2021'den sonraki ilk yıllık Uygunluk Belgesi (DoC) denetiminde en geç doğrulanmış olması gerektiği konusunda talimatlandırıldı. Çoğu ticari işletilen tekne için bu doğrulama artık birden çok kez gerçekleşmiş durumda.
MSC-FAL.1/Circ.3, bu gerekliliği destekleyen IMO rehber belgesidir — kendi başına bağlayıcı bir düzenleme değil, denetçilerin ve bayrak devletlerinin bir teknenin siber risk yönetiminin yeterli olup olmadığını değerlendirmek için kullandığı referans çerçevedir. En son Nisan 2025'te (Rev.3) revize edildi ve bu, siber rehberliğin çoğu diğer IMO belgesine kıyasla ne hızda güncellendiğini yansıtıyor.
MSC-FAL.1/Circ.3'teki rehber yapısı NIST Siber Güvenlik Çerçevesi'ni yansıtıyor: tanımlama, koruma, tespit, müdahale, iyileşme. Yönetim şirketinizin veya ISM DPA'nızın kara tabanlı BT güvenlik pratiğine herhangi bir maruziyeti varsa bu yapı size tanıdık gelecektir — denizcilik-özgü bir icat değil, günümüzün çoğu modern siber risk çerçevesinde kullanılan aynı beş fonksiyonlu modeldir.
Bu Sizin Tekneniz İçin Geçerli mi?
Dürüst cevap, teknenizin tescil türüne ve tonajına bağlı; tek bir evet/hayır cevabından daha nüanslı.
ISM Code, Temmuz 2002'den beri charter yatlarında da geçerli olan bir eşik olan 500 GT ve üzeri ticari tescilli teknelere zorunlu olarak uygulanır. Tekneniz bu eşiğin altındaysa ve bir Uygunluk Belgesi ile Emniyet Yönetim Sertifikası taşıyorsa, siber risk yönetimi zaten SMS'inizin gerekli, denetlenebilir bir parçasıdır.
Daha küçük ticari yatlar tipik olarak birçok bayrak devletinin 500 GT altı ticari teknelere (bazı idarelerde yolcu tekneleri için 3.000 GT altına) uyguladığı daha hafif bir emniyet yönetimi çerçevesi olan "Mini-ISM" altında işletilir. Mini-ISM çerçeveleri tam ISM Code'dan daha az kuralcıdır ve bunların içindeki siber risk kapsamı bayrak devletine göre daha fazla değişir.
Özel, ticari olmayan tescilli yatlar genellikle ISM Code'un zorunlu kapsamının tamamen dışında kalır — yani bu rehberin tarif ettiği doğrudan yükümlülük zincirinin dışında. Bu, siber riskin operasyonel olarak geçerli olmadığı anlamına gelmez; konuyu zorlayan bir düzenleyici denetimin bulunmadığı anlamına gelir.
Faaliyet ömrü boyunca özel ile ticari tescil arasında geçiş yapan bir tekne — ara sıra charter yapan sahipler için yaygın bir örüntü — hangi dönemde hangi düzenleyici rejimin geçerli olduğunu takip etmelidir. Hafif özel kullanım duruşu altında yeterli olan siber risk belgelemesi, tekne ticari tescile geçtiğinde bir ISM denetçisini tatmin etmeyebilir.
IACS UR E26/E27: 2024'te Değişen Yeni İnşa ve Refit Kuralı
MSC.428(98) operasyonel risk yönetimini ele alırken, ayrı ve teknik olarak daha kuralcı bir kurallar seti, teknelerin gerçekte nasıl inşa edildiğini ve donatıldığını yönetiyor.
IACS Birleşik Gereklilikleri E26 (gemilerin siber dayanıklılığı) ve E27 (sistem ve ekipmanların siber dayanıklılığı), Uluslararası Sınıf Kuruluşları Birliği tarafından geliştirildi ve DNV, Lloyd's Register, ABS ve süperyatları sertifikalandıran diğer büyük sınıf kuruluşları dahil tüm IACS üyesi kuruluşlar genelinde 1 Temmuz 2024 tarihinde veya sonrasında imzalanan yeni inşa sözleşmeleri için zorunlu hale geldi.
E26 tekne düzeyinde siber dayanıklılığı ele alıyor: ağ segmentasyonu, güvenlik bölgeleri ve genel sistem mimarisi. E27 bireysel borda sistem ve ekipmanlarının dayanıklılığını ele alıyor — sınıf sörveyörlerinin artık yeni inşa sertifikasyonunun bir parçası olarak tanımlı bir siber dayanıklılık standardına göre değerlendireceği seyir, tahrik kontrolü ve otomasyon sistemleri.
Bunun pratik anlamı: 2024 ortasından sonra bir yeni inşa sözleşmesi yapıyorsanız veya önemli yeni borda sistemleri içeren büyük bir refit planlıyorsanız, E26/E27 uyumu isteğe bağlı değildir — sınıflandırma sürecinin kendisine gömülüdür. Sahipler ve kaptanlar bunu otomatik olarak halledildiğini varsaymak yerine sözleşme müzakeresi sırasında tersane ve sınıf kuruluşu ile açıkça gündeme getirmelidir.
DNV'nin Cyber Secure Notasyonu — İsteğe Bağlı Bir Piyasa Sinyali
Zorunlu IACS kurallarından ayrı olarak, DNV isteğe bağlı bir "Cyber Secure" sınıf notasyonu sunuyor. Bu, bir teknenin peşine düşebileceği ek bir sertifikasyondur — temel ISM Code ve IACS UR uyumunun ötesine geçerek borda sistemlerinde tanımlı, daha sıkı bir siber güvenlik standardını sertifikalandırır.
Çoğu özel ve charter yat için bu notasyon gerekli değildir. Ancak teknesinin siber duruşunun bağımsız olarak doğrulanmasını isteyen sahipler için — özellikle kapsamlı ağa bağlı köprüüstü, eğlence ve misafir bağlantı sistemlerine sahip büyük yatlarda, saldırı yüzeyinin daha küçük, daha az ağa bağlı bir tekneye kıyasla gerçekten daha geniş olduğu yerlerde — anlamlı bir piyasa sinyali haline geldi.
Dürüst Tehdit Tablosu: Bildiklerimiz ve Bilmediklerimiz
Deniz taşımacılığı siber güvenliği hakkında yazarken çarpıcı bir istatistiğe veya isimlendirilmiş bir vakaya başvurmak cazip gelir. Bu rehber bunu yapmayacak, çünkü dürüst tablo bazı sektör pazarlama içeriklerinin ima ettiğinden daha sınırlı.
Doğrulanmış olan: yukarıdaki düzenleyici zincir gerçek, tarihli ve doğrudan IMO ve DNV kaynaklarından doğrulanabilir. Siber risk yönetimi, 500 GT üzeri ticari tescilli yatlar için gerçek, denetlenebilir bir ISM Code yükümlülüğüdür ve IACS UR E26/E27, 2024 ortasından itibaren yeni inşa sözleşmelerini gerçekten değiştirdi.
Doğrulanmamış olan: 2026 ortası itibarıyla, örneğin belirli PSC tutuklamalarının veya MARPOL ihlallerinin tekne adı ve tarihiyle belirtilebildiği şekilde büyük, isimlendirilmiş, kamuya belgelenmiş bir süperyat siber güvenlik vakası tespit edilmedi. Bazı sektör raporları saldırı hacimlerinde yıldan yıla önemli artışlar bildiriyor — sektör yorumlarında saldırılarda %103 artış veya fidye yazılımı etkinliğinde %150 artış gibi rakamlar dolaşıyor — ancak bu rakamlar daha geniş deniz taşımacılığı ve nakliye sektörü raporlamasından geliyor, kamuya açık bir veri setine karşı bağımsız olarak doğrulanmamış durumda ve altta yatan kaynak kontrol edilmeden yat'a özgü istatistikler olarak tekrarlanmamalı.
Manşet olacak bir süperyat siber vakasının yokluğu, riskin düşük olduğunun kanıtı değildir — küçük, yüksek net değerli ve genellikle gevşek ağa bağlı, sınırlı BT güvenlik personeline sahip tekneler, bir konteyner hattı veya liman otoritesi vakasının yaratacağı şekilde kamuya açıklama üretmeyebilecek makul bir hedef profilidir. Düzenleyici gerekliliği eylem için taban çizgisi olarak ele alın, ünlü bir vakanın yokluğunu önceliği düşürmek için bir sebep olarak değil.
Mürettebat Farkındalığı: Teknik Olmayan Ama Kritik Bir Kontrol
Siber güvenlik konuşmaları genellikle ağ mimarisine ve sınıf notasyonlarına odaklanır, ancak maritim sektöründe belgelenmiş vakaların çoğunda giriş noktası bir güvenlik açığı değil, bir insan hatasıdır — kimlik avı e-postası, zayıf bir şifre veya USB üzerinden fark edilmeden bir tekneye taşınan kötü amaçlı yazılım. Bu, kara tabanlı kurumsal BT güvenliğinde de aynı şekilde geçerli olan iyi belgelenmiş bir örüntüdür.
Bir kaptan için pratik anlamı: teknik bir BT ekibi olmasa bile, mürettebatın temel bir siber hijyen farkındalığına sahip olması gerekir. Bu, karmaşık bir eğitim programı gerektirmez — kimlik avı e-postalarını tanıma, şifreleri paylaşmama, bilinmeyen USB cihazlarını borda sistemlerine takmama ve şüpheli bir e-postayı veya davranışı kime bildireceğini bilme gibi birkaç basit kuralın periyodik olarak hatırlatılması genellikle yeterlidir. Bu farkındalık eğitimi, MLC ve STCW kapsamındaki diğer zorunlu mürettebat eğitimleriyle aynı takip disiplinine tabi tutulmalıdır — tek seferlik bir oryantasyon değil, tekrarlanan bir uygulama.
Kaptanlar İçin Pratik Bir Siber Risk Kontrol Listesi
Tam ISM Code'un tekneniz için geçerli olup olmadığından bağımsız olarak, aşağıdakiler IMO rehberliğindeki tanımlama-koruma-tespit-müdahale-iyileşme yapısına hizalı makul bir operasyonel taban çizgisidir:
Tanımlama:
- Bordadaki her ağa bağlı sistemin envanterini çıkarın: seyir ve ECDIS, tahrik ve makine kontrolü, erişim kontrolü, CCTV, misafir Wi-Fi'ı, mürettebat idare sistemleri, uydu iletişimi
- Hangi sistemlerin emniyet-kritik, hangilerinin idari/konfor sistemi olduğunu belirleyin
Koruma:
- Bir şifre ve erişim kontrolü politikası uygulayın — seyir veya OT ekipmanındaki varsayılan kimlik bilgileri, genel olarak deniz taşımacılığı sektöründe belgelenmiş, yaygın bir zafiyettir
- Teknik olarak mümkün olan her yerde misafir ve mürettebat Wi-Fi ağlarını seyir ve kontrol sistemlerinden ayırın
- Kritik yazılım için tanımlı bir yama ve güncelleme takvimi uygulayın; bir sistem hemen güncellenemediğinde belgeli bir istisna süreci belirleyin
Tespit ve müdahale:
- Bordada ve karada kimin şüpheli bir siber olayı tespit etme ve yükseltmeden sorumlu olduğunu tanımlayın
- Potansiyel olarak tehlikeye girmiş bir sisteme geri yükleme için bağımlı olmayan, temel verilerin (mürettebat belgeleri, bakım kayıtları, seyir haritaları) çevrimdışı, güncel yedeklerini tutun
İyileşme:
- Tekneye özgü bir olay müdahale prosedürü belgeleyin: kiminle iletişime geçileceği (bayrak devleti, sınıf, kara tabanlı BT desteği), etkilenen sistemlerin nasıl izole edileceği ve birincil bir sistem kullanılamaz olduğunda operasyonların nasıl devam edeceği
Bu, teknenin Emniyet Yönetim Sisteminin başka herhangi bir operasyonel risk için zaten yapılandırılmış olması gereken şekle doğrudan oturuyor — siber risk tamamen yeni bir çerçeve gerektiren ayrı bir disiplin değil, zaten var olanın içinde ek bir risk kategorisidir.
Sahiplerin ve Yönetim Şirketlerinin Çıkarması Gereken Sonuç
Tehdit verisi net olmasa bile düzenleyici yön açıktır: IMO siber riskin SMS'e ait olduğunu teyit etti, sınıf kuruluşları artık yeni inşa sözleşmelerinde siber dayanıklılık gerekliliklerini uyguluyor ve rehberlik çerçevesi statik bırakılmak yerine aktif olarak güncelleniyor. Siber riski bir BT ek düşüncesi olarak ele alan, SMS'e entegre bir risk kategorisi olarak değil, dramatik bir vakanın konuyu kamuya taşıyıp taşımadığından bağımsız olarak düzenleyici çerçevenin zaten beklediği yerin gerisinde kalır.
Birden fazla sistemde mürettebat sertifikasyonu, bakım kayıtları ve emniyet yönetimi belgelemesini yöneten kaptanlar için pratik disiplin, her diğer uyum kategorisinin altında yatanla aynıdır: neyi belgelemeniz gerektiğini bilin, güncel tutun ve erişilebilir tutun — normalde kontrol edeceğiniz sistemin tehlikeye giren sistem olması ihtimaline karşı çevrimdışı dahil.
HelmOps, emniyet yönetimi belgelemesini, mürettebat kayıtlarını ve bakım günlüklerini çevrimdışı erişilebilir biçimde destekler — böylece operasyonel kaydınız her zaman çevrimiçi tek bir sisteme bağımlı kalmaz.
30 günlük ücretsiz denemenizi başlatın — kredi kartı gerekmez.
Kaynaklar: IMO Resolution MSC.428(98) (imo.org); IMO MSC-FAL.1/Circ.3 Rev.3, Guidelines on Maritime Cyber Risk Management (imo.org); DNV, Maritime Cyber Security (dnv.com/maritime/insights/topics/maritime-cyber-security); IACS Birleşik Gereklilikleri E26 ve E27. Yayın tarihi itibarıyla isimlendirilmiş, bağımsız olarak doğrulanmış büyük ölçekli bir süperyat siber güvenlik vakası tespit edilmedi; saldırı hacmi trendlerine dair sektör istatistikleri daha geniş deniz taşımacılığı sektör raporlamasından kaynaklanıyor ve burada yalnızca doğrulanmamış, sektör düzeyinde bağlam olarak belirtilmiştir.



