Geri Dön

Cloud computing in maritime transport for data collection: Cyber security risk analysis with FMECA method

Deniz taşımacılıgında veri toplama işlemi için bulut bilişim cözümü: FMECA methodu ile siber güvenlik risk analizi

PDF İndir

  1. Tez No: 868596
  2. Yazar: TOPRAK OBA
  3. Danışmanlar: PROF. DR. YASİN ARSLANOĞLU
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Deniz Bilimleri, Denizcilik, Computer Engineering and Computer Science and Control, Marine Science, Marine
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Deniz Ulaştırma Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Deniz Ulaştırma Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 141

Özet

Geçen on yılda dijitalleşme daha önemli hale gelmiştir. Endüstri 4.0 teknolojilerinin entegrasyonu, dijitalleşme bağlamında çok kritik bir hal almıştır. Birçok araştırmacı bu teknolojilerin zorluklarını, engellerini ve çeşitli sektörlerde artan dijitalleşme için hazır olma durumunu araştırmaktadır. Sektörler arasında, denizcilik sektörü küresel kalkınma için çok önemli ve uluslararası ticaretin temel taşı olarak hizmet veren önemli bir sektördür; küresel ticaret hacminin yaklaşık %80'i ve küresel ticaret değerinin %70'inden fazlası su yoluyla taşınmakta ve dünya çapındaki limanlar aracılığıyla kontrol edilmektedir, bu da denizcilik endüstrisini uluslararası ticarette önemli bir aktör haline getirmektedir. Dolayısıyla denizcilik sektöründe ki, Endüstri 4.0 teknolojilerindeki gelişim büyük önem arz etmektedir. Diğer sektörlerin teknoloji adaptasyonunu değerlendirdikten sonra, denizcilik sektörü ile benzerlik kurularak geliştirme yolları birçok araştırmacı tarafından araştırılmaktadır fakat sektörün doğası gereği uzak operasyonlar gerçekleştirmesi nedeniyle yeni teknolojilere uyum sağlamada diğer sektörlerle karşılaştırıldığında daha büyük zorluklarla karşılaştığı açıktır. Bu bağlamda, denizcilik sektöründe akademik olarak incelenmiş teknolojiler üzerine bir araştırma yapılmıştır. Sonuç olarak, 3D baskı ve Bulut bilişim gibi konularda çalışma eksikliği olduğu tespit edilmiştir. Büyük veri analitiği denizcilik sektöründe yaygın olarak çalışılmıştır, ancak gemilerden veri elde etmenin zorluğu vurgulanmaktadır, bu da büyük veri ortamının oluşturulmasını olumsuz yönde etkilemektedir. Gemide sensörler aracılığıyla üretilen veriler yüksek kalitededir, ancak depolama, işlem birimleri ve analiz edebilecek kişi ile ilgili yetersizlikler nedeniyle sektörde daha hızlı ilerlemeye yardımcı olabilecek veriden anlamlı çıktılar elde etmek zordur ve pratik değildir. Bu kapsamda ön kurulum masrafları olmadan veri depolama imkanı sunan bulut bilişim sistemleri, denizcilik sektöründeki veri toplama odaklı zorlukların üstesinden gelmek ve bu sektörde ilerleme için kilit bir teknoloji olan büyük veriyi toplamak için uygundur. Bu çalışma dört ana konuya odaklanmaktadır. İlk olarak, gemide üretilen verilere ve bunların standartlaştırılıp standartlaştırılmadığına odaklanmaktadır. İkinci olarak, geminin sensörleri tarafından üretilen verileri bir araya getirerek anlamlı içgörüler elde etmesini sağlayacak bir veri havuzu oluşturmak için bulut bilişimden yararlanan bir metodoloji önermektedir. Üçüncü olarak, önerilen metodolojinin siber güvenliği ve Uluslararası Denizcilik Örgütü'nün E-Navigasyon konseptine göre nihai katkısı tartışılmaktadır. Çalışmanın ilk odak noktası, toplanan verilerin analiz edilebilmesini sağlamak için araştırılan veri standartlarıdır. Bu doğrultuda üç standart belirlenmiştir: IEC 61162, ISO 19848 ve ISO 19847. IEC 61162 navigasyon ekipmanlarında üretilen zorunlu standart veri iken, ISO 19848 diğer sistemlerdeki gemi makine ve ekipmanlarından gelen veriler için standarttır. ISO 19847 denizde saha verilerinin paylaşımı için gemi veri sunucularını detaylandırmaktadır. Ayrıca Smart Ship Network adli kuruluş, denizcilikte veri sahipliği ve erişimi için en iyi uygulama kılavuzu yayınlamıştır. Sonuç olarak, ham veriler üzerinde ekipman sahibinin hakkı vardır. Ayrıca, araştırma konumuz kapsamında gemilerde üretilen verilerin belirli standartlar sağlaması, toplanıp analiz edilmesi noktasında katkı sağlamaktadır. Bu kapsamda veri toplama amacıyla buluta veri aktarımı için bir şema önerilmiştir. Bu şeme 3 kısımdan oluşmaktadır. Bunlar, veri toplama ve gemiden uyduya aktarım, uydudan buluta veri aktarımı ve buluttaki hizmetleri arasındaki veri aktarımı olarak sınıflandırılır. Bu şema birçok avantaj sunmaktadır ancak sistemin gerçek hayat örneklerinde kullanılmaya başlandığında bu avantajların ve dezavantajların belirlenmesi daha etkili çalışma ortamı için etkili olacaktır. Siber güvenliğin önerilen sistemi nasıl etkileyeceğinin incelenmesi hayati önem taşımaktadır. Hangi koşullar altında sistemin devam edebileceğini belirlemek için sistem üzerinde bir siber güvenlik risk analizi yapılmalıdır. Bu kapsamda CRAMM, FMEA&FMECA, NIST 800-30, OCTAVE ve MEHARI risk değerlendirmeleri siber güvenlik alanında yaygın olarak kullanılmaktadır. Doğru sistem analizi için risk analizi seçimi çok önemlidir ve uygun analizin seçilmesi noktasında uzmanlardan destek alınmıştır. Bu noktada Hata Türleri, Efektleri ve Kritikliğinin Analizi (FMECA), bileşen seçimindeki esnekliği ve sisteme teknik olarak yaklaşma kabiliyeti nedeniyle siber risk analizi için seçilmiştir. FMEA ve FMECA'nın değerlendirilmesinde, geçmiş verilere ulaşılamayan durumlar için öncelikle uzmanlara başvurulmaktadır. Siber güvenlik değerlendirmesinde, Riziko Öncelik Sayısını (RÖS) belirlemek için Hatanın Şiddeti, Meydana Gelmesi ve Hatanın Tespit edilebilinmesi metrikleri için geçmiş veriler ve uzman yargıları birlikte kullanılmıştır. Şiddet ve Tespit puanları, seçilen bileşenlere göre geçmiş Ortak Zafiyet ve Maruziyete yani Common Vulnerability and Exposure'a göre belirlenir. Bu kapsamda 2 adet bileşen seçilmiş, biri Uydu İletişim Bileşenleri ve diğeri AWS Bulut Hizmetleri Bileşenidir. Uydu satıcıları için 32 benzersiz CVE tespit edilirken, önerilen şemada kullanılan Bulut Hizmetleri için 17 benzersiz CVE tespit edilmiş ve bu CVE'ler Hata Modları olarak atanmıştır. Önem ve oluşum puanları CVSS 3.1'den CVE tanımına ve analist tarafından NVD'den atanan değerlere göre atanmıştır. Bu tezde siber güvenlik analizinin kapsamı veri aktarımıdır ve verilerin gemiden bulut ekosistemine aktarımı çok önemli olduğu için odaklanılan hususlar CIA üçlüsüne göre seçilmiştir. Bu da gizlilik, bütünlük ve kullanılabilirliğin odaklanılan hususlar olduğu anlamına gelmektedir. Odaklanılan hususlar, sonuçların daha iyi anlaşılması için kullanılacaktır Güvenlik açıklarına göre, güvenlik açığının meydana gelmesini ve etkisinin arkasındaki nedeni bulmak için CWE'ler araştırılır. Zafiyetin etkisi de odaklanılan hususlar ile eşleştirilir ve etkiler, odaklanma yönünü belirsizlik olmadan değerlendirmek için MITRE ATT&CK ve CVE güvenlik açıkları eşlemesinden uzman görüşüne dayalı olarak belirlenir. Uzmanlar, hata modu zayıflıklarına göre yalnızca tespit puanları atamışlardır ve hata modu Tespit numarasının hesaplanması için 3 uzman tarafından verilen puanların ortalaması alınır. Bundan sonra, RÖS'ü hesaplamak için şiddet, meydana Gelme ve Hatanın Tespit puanları toplanır ve Arıza Moduna göre karşılık gelen kritiklik puanları atanır. Sonuç olarak, Uydu Haberleşme bileşeninin 17 arıza modunun %53,1'i 3 Odak noktasını aynı anda belirtmektedir ve güvenlik açıklarının %68,75'i ağdaki herhangi bir yerden, %12,50'si komşu ağlardan ve %18,75'i yerel olarak meydana gelebilir. Geçmiş zafiyet kayıtlarına göre, bir uydu iletişim bileşeninde bir zafiyet meydana geldiğinde, %68,7 ihtimalle veri kullanılamayacak, %74,9 ihtimalle veri değişecek ve %84,3 ihtimalle veri sızacaktır. RPN puanlarına göre, uydu haberleşme bileşenlerinin güvenliğini ve güvenilirliğini garanti altına almak için yüksek RPN puanlarının azaltılmasına öncelik verilmesi gerekmektedir. En yüksek 3 RPN puanının zayıflıkları CWE-327 olarak bulunur: Bozuk veya Riskli Kriptografik Algoritma Kullanımı, CWE-287: Uygunsuz Kimlik Doğrulama ve CWE 798 Sabit Kodlanmış Kimlik Bilgilerinin Kullanımıdır. Sonuç olarak, Uydu İletişim Bileşeninde toplamın %18,8'ini oluşturan Hata Modlarından 5'i çok düşük kritikliğe sahipken, 21'i %65,6 ile düşük kritikliğe, 3 tanesi %9,4 ile orta derecede düşük kritikliğe ve 2 tanesi %6,2 ile orta derecede düşük kritikliğe sahiptir. Bulut Servis Sağlayıcıları, ilgili hizmetler için zafiyetleri tespit edebilir ve sonuç olarak sık sık raporlama ve zafiyetin giderilmesi üzerine çalışma yaparlar. Amazon Aurora MySQL için güvenlik açıkları, 2021 ve 2023 yılları arasında yer alan Sürüm 3 için seçilmiştir. Diğer hizmetler, AWS- EC2 Amazon Linux 1&2, AWS- Lambda, AWS-S3 Explorer ve AWS- SSM Agent, her biri için tüm zamanların güvenlik açıkları kapsamında aranmış ve her biri için 1 adet zafiyet bulunmuştur. AWS Bulut Hizmetleri için hata modları, güvenlik açıklarından yararlanıldığında odaklanma yönlerine göre incelenmiştir. Çıkan sonuçlara göre güvenlik açığından yararlanıldığında, veri kullanılabilirliğinin %76,5'i kaybolacak, verilerin bütünlüğünün %58,9'u değişecek ve verilerin gizliliğinin %47,1'i sızıntı nedeniyle tehlikeye girecektir. Güvenlik açığından faydalanılması durumunda verilerin %76,5'ine erişilemeyeceği sonucuna varmış olsak da felaket kurtarma ve farklı sunucularda eş zamanlı veri yedekleme gibi doğru bulut hizmetlerinden faydalanılması durumunda bu metriğin etkisi göz ardı edilebilir, ancak diğer metrikler olduğu gibi değerlendirilmeye devam edilmelidir. Bu durumda Uydu tarafındaki veri iletimi, bulut ortamındakine göre daha risklidir çünkü Bulut Servis Sağlayıcıları yüksek tespit kabiliyeti ile güvenlik açığını her zaman en kısa sürede giderebilmektedirler ve güvenlik açığının zafiyetini gideremeseler bile Bulut Bilişim sisteminin felaket kurtarma ve ölçeklenebilirlik kabiliyeti ile uydu iletişiminde güvenlik açığı olarak büyük bir sorun yaşanmamaktadır. RPN puanlarına göre, AWS Bulutta kullanılan hizmetlerinin en yüksek 3 RPN puanına sahip zayıflıkları CWE-787:Out-of-bounds Write, CWE-476: NULL Pointer Dereference ve CWE-200: Hassas Bilgilerin Yetkisiz Bir Aktöre Açığa Çıkması. Sonuç olarak, toplamın %35,3'ünü oluşturan Hata Modlarının 6'sı çok düşük kritikliğe sahipken, 6'sı %35,3 oranında düşük kritikliğe sahiptir. Ayrıca, 2 tanesi %11,8 ile orta derecede düşük kritikliğe, 1 tanesi %5,9 ile orta derecede düşük kritikliğe ve 2 tanesi de %11,8 ile yüksek kritikliğe sahiptir. Bu çalışmadan çıkan sonuca göre, uydu, veri iletimi açısından bulut ortamına göre daha risklidir. Fakat her farklı konfigürasyonda ve hizmet sağlayıcıda farklı bir sistemin farklı güvenlik açıkları yaşayabileceği unutulmamalıdır. Daha detaylı araştırılma yapılmak istenirse, hizmet sağlayıcı özelinde daha derinlemesine araştırma yapılabilir. Bu çalışmanın sonucunda, verilerin toplanması ve standardizasyon için analiz edilmesi, IMO'nun E-Navigasyon SIP 2“Standartlaştırılmış ve otomatik raporlama için araçlar;”için çok önemlidir. Bu kapsamda, önerilen şema kağıt üzerinde uygulanabilir ve avantajlı görünmektedir, ancak gerçek hayattaki sonuçların karşılaştırılması için gelecek çalışmalarda kurularak uygulanmalıdır. Ayrıca, önerilen bu sistemi gemilerde uygulamak isteyen gemi sahipleri Uydu Haberleşme tedarikçisini iyi seçmelidir. Satıcı, zafiyetin önlenmesi ve güvenlik açığı tespit yeteneklerine göre seçilmelidir. Ürün üreticileri, risklerini ayarlamak için siber güvenlik açıklarına yapılan bu yaklaşımdan yararlanabilirler. Son olarak, denizcilik firmaları gemi tarafından üretilen verilerle neler yapabilecekleri konusunda fikir sahibi olmuştur.

Özet (Çeviri)

In the past decade, digitalisation has become more significant. The integration of Industry 4.0 technologies is essential within the context of digitalisation. Many researchers are investigating these technologies' challenges, barriers, and readiness in various sectors for increased digitalisation. Among the industries, the maritime industry is crucial for global development, and shipping is an essential sector that serves as the cornerstone of international trade; approximately 80% of global trade volume and over 70% of global trade value are transported by water and controlled through ports worldwide, making the maritime industry an essential actor in international trade. Consequently, its advancements in Industry 4.0 technologies are of paramount importance. After assessing the technology adaptation of other sectors, it is evident that the maritime sector faces greater challenges in adapting to new technologies due to its remote operations. In this regard, research has been conducted on the technologies investigated in the maritime sector. Consequently, it has been determined that there is a lack of work on topics such as 3D printing and Cloud computing. Big data analytics have been studied widely in the maritime sector, but the challenge of obtaining data from ships is highlighted, which negatively impacts the creation of a big data environment. The data generated on the vessel through the sensors is high-quality, but obtaining meaningful output that leads to faster advancement in the industry is challenging because of the incapabilities related to storage, processing units, and the person who can analyse it. Cloud computing systems that offer data storage without upfront installation expenditures are suitable for overcoming challenges and generating big data in the maritime industry, which is a key technology for advancement in this sector. This study focuses on four main things. First, it focuses on the data produced on the vessel and whether it is standardised or not. Secondly, it proposes a methodology that inherits cloud computing to create a data pool to enable big data analytics to aggregate the data generated by the ship's sensors and extract meaningful insights by transmitting that data to the cloud area. Thirdly, it discusses the cyber security of the proposed methodology and its final contribution according to the E-Navigation concept of the International Maritime Organization. The first focus of the study is data standards, which are investigated to ensure that gathered data can be analysed. Accordingly, three standards are identified: IEC 61162, ISO 19848, and ISO 19847. IEC 61162 is the compulsory standard data produced in navigation equipment, while ISO 19848 is the standard for the data from ship machinery and equipment in other systems. ISO 19847 details ship data servers for sharing field data at sea. Additionally, the Smart Ship Network establishes the best practices guidelines for data ownership and access in the maritime. As a result, the equipment proprietor is responsible for raw data. Additionally, the data produced onboard vessels is standardised, and their collection could be beneficial. A proposed scheme for data transfer to the cloud for data gathering consists of data collection and transmission to the satellite from the vessel, data transmission from the satellite to the cloud, and data transmission through the services on the cloud. This scheme offers many advantages on paper, but it should be determined when the system commences to be used in real-life examples. Examining how cyber security will affect the proposed system is vital. Furthermore, a cyber security risk analysis must be conducted on the system to determine under which circumstances it can be ongoing. CRAMM, FMEA&FMECA, NIST 800-30, OCTAVE, and MEHARI risk assessments have been widely used in cyber security. The selection of risk analysis is paramount for correct system analysis, and experts are consulted to find the most suitable analysis. The FMECA was selected due to its flexibility in selecting components and ability to approach the system technically. The assessment of the FMEA and FMECA primarily relied on experts for cases where past data could not be reached. For cyber security assessment, Severity, occurrence and detection metrics are used to determine RPN and past data and expert judgements are used in conjugation to calculate RPN. The scores are determined according to past CVE as per selected components: Satellite Communication Components and the AWS Cloud Services Component. 32 unique CVEs were identified for the satellite vendors, while 17 unique CVEs were identified per the Services used in the proposed scheme, and these CVEs are assigned as Failure Modes. Severity and occurrence scores are gathered from CVSS 3.1 according to the CVE definition and values assigned by the analyst from the NVD. The selection of focusing aspects was necessary to enhance the insight of the results. Furthermore, the scope of cyber security analysis is data transmission and the focusing aspects was selected according to the CIA triad since the transmission of the data from the vessel to the cloud ecosystem is paramount. That means confidentiality, integrity, and availability are the focusing aspects. According to vulnerabilities, CWEs are investigated to find the reason behind the vulnerability's exploitation and impact. The impact is mapped with the focusing aspect, and effects are selected based on expert opinion from MITRE ATT&CK and CVE vulnerabilities mapping to evaluate the focusing aspect without ambiguity. The experts assign only detection scores according to failure mode weaknesses, and the mean of the scores is selected to detect failure mode detection. After that, severity, occurrence, and detection scores are gathered to calculate the RPN, and corresponding criticality scores are assigned as per Failure Mode. As a result, of the Satellite Communication component data, 53.1% of the 17 failure modes show the 3 Focusing Points simultaneously, and 68.75% of the vulnerabilities can be exploited from anywhere on the network, 12.50% from adjacent networks, and 18.75% locally. According to historical vulnerability records, when a vulnerability occurs on a satellite communication component, there is a chance that 68.7% of the data availability will be lost, 74.9% of the data integrity will be changed, and 84.3% of the data confidentiality will be jeopardised by leakage. Cloud Vendors and the corresponding services can detect vulnerabilities, and as a result, they report frequently. For Amazon Aurora MySQL, vulnerabilities are selected for Version 3 between 2021 and 2023. Other services, AWS – EC2 Amazon Linux 1&2, AWS- Lambda, AWS-S3 Explorer and AWS- SSM Agent, are searched for all-time vulnerabilities that result in finding 1 for each. Failure modes for AWS Cloud Services are examined, with results focusing on vulnerabilities. Furthermore, when a vulnerability is exploited, there is a 76.5% chance of data availability being lost, a 58.9% chance of data integrity being changed, and a 47.1% chance of data confidentiality being jeopardised by leakage. Although we have concluded that 76.5% of the data cannot be accessed in case of vulnerability exploitation, if the correct cloud services, such as disaster recovery and simultaneous data backup on different servers, are utilised, this metric's effect can be ignored, but other metrics should continue to be evaluated as they are. In this case, Satellite is riskier than the cloud environment because vendors can always tackle the vulnerability as soon as possible with a high capability of detection and even if they cannot tackle the exploitation of the vulnerability, with the ability of the disaster recovery and scalability of the cloud, it will not be a big issue as a vulnerability in satellite communication. In conclusion from the thesis, the satellite is riskier than the cloud environment regarding data transmission. It must be noted that a different system with a different configuration of services and vendors may experience different vulnerabilities. As a result of that study, Gathering the data to analyse it for standardization is pivotal for the IMO's E-Navigation SIP 2“Means for standardised and automated reporting,”and the proposed scheme seems viable and advantageous on paper, but it must be established to compare the real-life results. Also, ship owners who want to implement this proposed system on ships should choose the Satellite Communication vendor well. The vendor must be chosen according to the mitigation and vulnerability detection capabilities. Product manufacturers can leverage the approach to vulnerabilities to adjust their risks accordingly. Finally, shipping companies have insight into what they can do with the data generated by the ship.

Benzer Tezler

  1. Tez No

    901254

    The spatio-temporal dynamics of aerosols in the Marmara region and impact of land cover/use on atmospheric environment

    Marmara bölgesindeki aerosollerin mekansal-zamansal dinamiksel ve arazi örtüsü/kullaniminın atmosferik ortam üzerindeki̇ etkisi

    PARIA ETTEHADI OSGOUEI

    Doktora

    İngilizce

    İngilizce

    2023

    Mühendislik Bilimleriİstanbul Teknik Üniversitesi

    İletişim Sistemleri Ana Bilim Dalı

    PROF. DR. ŞİNASİ KAYA

  2. Tez No

    349206

    Bulut bilişim, geçiş ve Türkiye'deki mevcut durum

    Cloud computing, migration and current situation in Turkey

    ÇİĞDEM EYÜPOĞLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2013

    İşletmeKaradeniz Teknik Üniversitesi

    İşletme Ana Bilim Dalı

    DOÇ. DR. TALHA USTASÜLEYMAN

  3. Tez No

    456712

    Bulut temelli adli bilişim

    Cloud forensics

    YASİN KAYA

    Yüksek Lisans

    Türkçe

    Türkçe

    2016

    Hukukİstanbul Bilgi Üniversitesi

    Bilişim ve Teknoloji Hukuku Ana Bilim Dalı

    DOÇ. DR. LEYLA KESER BERBER

  4. Tez No

    495931

    A model for adopting cloud computing in government sector: Case study in Iraq

    Hükümet sektöründe bulut bilişim teknolojilerini kullanmaya yönelik bir model: Irak'ta örnek-olay incelemesi

    FATEN FAYEQ SALMAN AL-BAJJARI

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolÇankaya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. REZA HASSANPOUR

  5. Tez No

    582079

    Yerel yönetimlerde bulut bilişim teknolojisi: Durum ve gelecek değerlendirmesi

    Cloud computing technology usage in local governments: Evaluation of current situation and future

    MEHTAP AĞIR

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilim ve TeknolojiAksaray Üniversitesi

    Yönetim Bilişim Sistemleri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ALEV ELÇİ

Geri Dön