Cyberbezpieczeństwo na statkach pasażerskich: szkolenie załogi, która nigdy nie pracuje przy biurku

Większość szkoleń z zakresu cyberbezpieczeństwa zakłada dość standardowe środowisko pracy: komputer, stałą lokalizację i regularny harmonogram. W przypadku załogi statku pasażerskiego żadna z tych rzeczy nie ma zastosowania. Pracują oni na zmianach, spędzają tygodnie na morzu, dzielą się urządzeniami i rzadko mają dostęp do stabilnego stanowiska biurowego. Tymczasem sytuacja w zakresie zagrożeń dla cyberbezpieczeństwa statków pasażerskich z roku na rok się pogarsza. W pierwszej połowie 2024 r. firma Marlink zajmująca się bezpieczeństwem odnotowała ponad 23 400 wykrytych przypadków złośliwego oprogramowania na 1800 monitorowanych statkach. Do 2025 r. liczba cyberincydentów na morzu wzrosła o 103% w porównaniu z rokiem poprzednim. Prawie połowa tych incydentów rozpoczęła się od phishingu. To samo dotyczy cyberbezpieczeństwa statków towarowych: zmienia się typ statku, ale punkt wejścia pozostaje ten sam.

Konwencja STCW dotyczy pokładu, a nie skrzynki odbiorczej.

W przypadku marynarzy na statkach zgodnych z Kodeksem ISPS posiadanie certyfikatu STCW w zakresie świadomości bezpieczeństwa jest wymogiem prawnym. Szkolenie obejmuje typowe zagadnienia: rozpoznawanie zagrożeń fizycznych na pokładzie, kontrolowanie dostępu do stref o ograniczonym dostępie, zrozumienie poziomów bezpieczeństwa oraz wiedza na temat zgłaszania podejrzanych działań. Stanowi to solidną podstawę i w zakresie bezpieczeństwa fizycznego spełnia swoje zadanie.

Zagrożenia cyfrowe to zupełnie inna sprawa. Członek załogi, który właściwie zareaguje na obecność nieuprawnionej osoby przy trapie, może bez wahania kliknąć link w wiadomości, która wygląda na pochodzącą z systemu zarządzania firmy żeglugowej. Świadomość w zakresie bezpieczeństwa fizycznego i świadomość w zakresie bezpieczeństwa cyfrowego to odrębne umiejętności. Konwencja STCW nie porusza kwestii phishingu, inżynierii społecznej ani kradzieży danych uwierzytelniających. Ta luka istnieje naprawdę i jest coraz częściej wykorzystywana.

NIS2 sprawia, że świadomość cyfrowa staje się również obowiązkiem prawnym

Europejscy operatorzy morscy stoją obecnie w obliczu presji z dwóch stron. Pierwszą z nich jest samo zagrożenie. Drugą – regulacje prawne. Zgodnie z dyrektywą NIS2 przedsiębiorstwa transportu morskiego zostały sklasyfikowane jako operatorzy usług kluczowych. Wiąże się to z udokumentowanym obowiązkiem zachowania należytej staranności, obowiązkiem zgłaszania incydentów oraz wyraźnym wymogiem inwestowania w podnoszenie świadomości pracowników w zakresie bezpieczeństwa. Jak to wygląda w praktyce, opisano w przewodniku Guardey dotyczącym NIS2 na rok 2026, który szczegółowo przedstawia wymagania dotyczące szkoleń z zakresu świadomości, jakie muszą spełnić organizacje objęte zakresem dyrektywy.

Szkolenie, które nie wymaga biurka ani stałego harmonogramu

I tu pojawia się praktyczne wyzwanie. Roczne moduły e-learningowe zostały opracowane z myślą o pracownikach biurowych. Badania pokazują, że nawet 90% wiedzy zdobytej podczas corocznych szkoleń zanika w ciągu kilku tygodni, ale w przypadku członka załogi powracającego po czterech tygodniach spędzonych na morzu przerwa między szkoleniami może być znacznie dłuższa. Tradycyjne formaty po prostu nie pasują do rytmu pracy na morzu.

Skuteczniejszy model zakłada krótkie i częste sesje: cotygodniowe szkolenia trwające od dwóch do trzech minut, dostępne na każdym urządzeniu i możliwe do ukończenia w dowolnym dogodnym momencie. Szkolenia Guardey z zakresu świadomości bezpieczeństwa opierają się właśnie na takim podejściu – oferują mikroszkolenia dostosowane przede wszystkim do urządzeń mobilnych, wykorzystujące elementy grywalizacji, aby utrzymać zaangażowanie uczestników na stałym poziomie. Dla pracowników, którzy rzadko przebywają przy biurku, nie jest to bynajmniej drobna wygoda. To różnica między programem szkoleniowym, który faktycznie dociera do ludzi, a takim, który istnieje tylko na papierze.

Operatorzy statków pasażerskich, którzy zapewnili już zgodność z konwencją STCW, dysponują już fizycznym systemem zabezpieczeń. Dyrektywa NIS2 wymaga obecnie również wdrożenia systemu zabezpieczeń cyfrowych. Dobrą wiadomością jest to, że format najlepiej odpowiadający temu wymogowi jest jednocześnie tym, który najlepiej pasuje do warunków pracy na morzu: jest zwięzły, mobilny i zapewnia ciągłość działania.