Implementing cybersecurity compliance in an autonomous research vessel : securing remote operation of eM/S Salama
Väänänen, Jesse (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121536262
https://urn.fi/URN:NBN:fi:amk-2025121536262
Tiivistelmä
Tässä opinnäytetyössä arvioidaan Turun ammattikorkeakoulun etäohjattavan tutkimusaluksen eM/S Salaman sekä sen etäohjauskeskuksen kyberturvallisuuden tilaa. Työn tavoitteena oli tunnistaa kyberturvallisuushaavoittuvuuksia ja esittää käytännön suosituksia kyberturvallisuusvaatimusten parantamiseksi pienimuotoisessa autonomisessa merenkulkujärjestelmässä.
Tutkimusmenetelmänä yhdistettiin uhkamallinnus ja haavoittuvuuksien arviointi automatisoitujen verkkoskannaustyökalujen Greenbonen ja Nmapin avulla. Arviointi paljasti kriittisiä heikkouksia kaupallisessa hyllytavaralaitteistossa sekä järjestelmädokumentaatiossa, joka ei vastannut todellista verkkokokoonpanoa.
Tulokset osoittavat, että pienet tutkimusalukset kohtaavat kyberturvallisuushaasteita, jotka ovat verrattavissa suuriin kaupallisiin aluksiin. Kansainvälinen merenkulkujärjestö (IMO) tarjoaa korkean tason ohjeistusta merenkulun kyberriskien hallintaan, kun taas luokituslaitoksien kattojärjestön (IACS) alaiset luokituslaitokset määrittelevät yksityiskohtaisempia teknisiä vaatimuksia. Tämän sääntelykehyksen pohjalta suositellut mitigointitoimenpiteet jäsenneltiin IMO:n kyberturvallisuusohjeiden toiminnallisten elementtien mukaisesti vapaaehtoisen kyberturvallisuuden parhaiden käytäntöjen käyttöönoton tukemiseksi. This thesis assesses the cybersecurity status of the remote-operated research vessel eM/S Salama and its Remote Operations Centre at Turku University of Applied Sciences. The objective was to identify cybersecurity vulnerabilities and provide practical recommendations for improving cybersecurity compliance in a small-scale autonomous maritime system.
The methodology combined threat modeling with vulnerability assessment using automated network scanning tools Greenbone and Nmap. The assessment discovered critical weaknesses in commercial off-the-shelf equipment and system documentation that failed to reflect actual network configuration.
The results indicate that small research vessels face cybersecurity challenges comparable to those of larger commercial vessels. While the International Maritime Organization (IMO) provides high-level, guidance for maritime cyber risk management, more detailed technical requirements are defined by classification societies under the International Association of Classification Societies (IACS). Based on this regulatory context, recommended mitigation actions were structured according to the functional elements of the IMO cybersecurity guidelines to support voluntary adoption of maritime cybersecurity best practices.
Tutkimusmenetelmänä yhdistettiin uhkamallinnus ja haavoittuvuuksien arviointi automatisoitujen verkkoskannaustyökalujen Greenbonen ja Nmapin avulla. Arviointi paljasti kriittisiä heikkouksia kaupallisessa hyllytavaralaitteistossa sekä järjestelmädokumentaatiossa, joka ei vastannut todellista verkkokokoonpanoa.
Tulokset osoittavat, että pienet tutkimusalukset kohtaavat kyberturvallisuushaasteita, jotka ovat verrattavissa suuriin kaupallisiin aluksiin. Kansainvälinen merenkulkujärjestö (IMO) tarjoaa korkean tason ohjeistusta merenkulun kyberriskien hallintaan, kun taas luokituslaitoksien kattojärjestön (IACS) alaiset luokituslaitokset määrittelevät yksityiskohtaisempia teknisiä vaatimuksia. Tämän sääntelykehyksen pohjalta suositellut mitigointitoimenpiteet jäsenneltiin IMO:n kyberturvallisuusohjeiden toiminnallisten elementtien mukaisesti vapaaehtoisen kyberturvallisuuden parhaiden käytäntöjen käyttöönoton tukemiseksi.
The methodology combined threat modeling with vulnerability assessment using automated network scanning tools Greenbone and Nmap. The assessment discovered critical weaknesses in commercial off-the-shelf equipment and system documentation that failed to reflect actual network configuration.
The results indicate that small research vessels face cybersecurity challenges comparable to those of larger commercial vessels. While the International Maritime Organization (IMO) provides high-level, guidance for maritime cyber risk management, more detailed technical requirements are defined by classification societies under the International Association of Classification Societies (IACS). Based on this regulatory context, recommended mitigation actions were structured according to the functional elements of the IMO cybersecurity guidelines to support voluntary adoption of maritime cybersecurity best practices.