به گزارش اقتصادسرآمد، پدرام علی زاده، وکیل پایه یک دادگستری؛ پژوهشگر حقوق گمرک و لجستیک دریایی- حمله سایبری Notpetya در سال ۲۰۱۷، که شرکت Maersk و بسیاری از شرکت‌های بین‌المللی را تحت تاثیر قرار داد، نقطه عطفی در نگرش صنعت کشتیرانی نسبت به این تهدیدات محسوب می‌شود. این حادثه نشان داد که یک حمله سایبری می‌تواند فراتر از یک اختلال فنی، به بحرانی عملیاتی، تجاری و حتی راهبردی تبدیل شود و خساراتی معادل صدها میلیون دلار بر جای بگذارد.
در واقع تجربه Maersk بار دیگر این واقعیت را آشکار ساخت که در عصر دیجیتال، همه تهدیدها از دریا آغاز نمی شوند و همه بحران ها نیز با ابزارهای سنتی مدیریت ریسک قابل کنترل نیستند. از همین رو، امنیت سایبری به تدریج از یک موضوع صرفا فنی فراتر رفته و به یکی از مولفه های مهم حکمرانی و تاب آوری سازمانی در صنعت کشتیرانی تبدیل شده است. 

ماجرای Maersk؛ وقتی بزرگ ترین خطوط کشتیرانی جهان متوقف شد
در ژوئن سال ۲۰۱۷، بدافزار NotPetya که در ابتدا اوکراین را هدف قرار داده بود، به سرعت به سایر نقاط جهان گسترش یافت و یکی از گسترده ترین حملات سایبری تاریخ را رقم زد. شرکت Maersk، به عنوان بزرگ ترین شرکت حمل کانتینری جهان در آن زمان، از جمله مهم ترین قربانیان این حمله بود.
این حمله موجب اختلال گسترده در سامانه های فناوری اطلاعات شرکت شد و بسیاری از فرآیندهای عملیاتی، رزرو بار، ارتباطات و فعالیت ترمینال ها را تحت تاثیر قرارداد. بر اساس گزارش های منتشر شده Maersk ناچار شد هزاران سرور و ده ها هزار رایانه را بازسازی کند و بخش مهمی از عملیات خود را برای مدتی به صورت دستی مدیریت نماید.
شرکت Maersk، خسارت ناشی از این حمله را رقمی بین ۲۰۰ تا ۳۰۰ میلیون دلار برآورد کرده است؛ رقمی که نشان می دهد ریسک های سایبری تا چه اندازه می توانند بر عملکرد و سودآوری شرکت های کشتیرانی اثرگذار باشند.
اما شاید مهم تر از خسارت مالی، تغییری بود که این حادثه در نگاه مدیران صنعت نسبت به مفهوم ریسک ایجاد کرد. تجربه NotPetya نشان داد که در جهان امروز، یک بدافزار می تواند به اندازه یک جنگ، انسداد یک آبراه یا حتی سانحه بزرگ دریایی، زنجیره های تامین و عملیات تجاری را مختل کند.
چرا ریسک سایبری دیگر فقط مسئله واحد فناوری اطلاعات نیست؟
اگر تا چند سال پیش، امنیت سایبری عمدتا موضوعی فنی و محدود به واحدهای فناوری اطلاعات تلقی می شد، تجربه سال های اخیر نشان داده است که پیامدهای حملات سایبری، بسیار فراتر از اختلال در سامانه‌های رایانه‌ای است.
یک حمله سایبری می‌تواند موجب توقف عملیات بندری، اختلال در سامانه های رزرو، تاخیر در تحویل کالا، نقض تعهدات قراردادی، افزایش هزینه های عملیاتی، آسیب به اعتبار تجاری شرکت و حتی بروز دعاوی حقوقی و مطالبه خسارت شود. به همین دلیل، بسیاری از صاحب نظران، امنیت سایبری را نه یک مسئله فناورانه، بلکه بخشی از مدیریت ریسک سازمانی می‌دانند.
واقعیت آن است که در صنعت کشتیرانی، بسیاری از ریسک های نوظهور ماهیتی میان رشته ای دارند. ریسک سایبری، همزمان ابعاد عملیاتی، مالی، حقوقی و اعتباری دارد و مدیریت آن نیازمند همکاری میان واحدهای فناوری اطلاعات، عملیات، بازرگانی و حقوقی است.
در چنین شرایطی، هیئت مدیره ها و مدیران ارشد نیز بیش از گذشته نسبت به موضوعاتی همچون Cyber Enterprise Risk،Govenance Management و تاب آوری سازمانی حساس شده اند. این تحول نشان می دهد که امنیت سایبری دیگر صرفا دغدغه متخصصان فناوری اطلاعات نیست، بلکه به یکی از موضوعات مهم حکمرانی شرکتی تبدیل شده است.

واکنش صنعت؛ BIMCO و ظهور شروط امنیت سایبری
تغییر نگرش صنعت کشتیرانی نسبت به ریسک های سایبری، تنها به سطح سیاست گذاری شرکت ها محدود نماند و به تدریج در اسناد و قراردادهای بین‌المللی نیز منعکس شد.
در سال ۲۰۱۹،BIMCO با انتشار  Cyber Security Clause، گام مهمی در جهت انطباق قراردادهای حمل دریایی با واقعیت های جدید برداشت. این شرط قراردادی، ضمن تاکید بر ضرورت اتخاذ تدابیر متعارف امنیت سایبری، سازوکاری برای همکاری طرفین در مواجهه با حوادث سایبری و کاهش آثار آنها پیش بینی می کند.
پیش از آن نیز سازمان بین‌المللی دریانوردی IMO بر لزوم ادغام مدیریت ریسک‌های سایبری در سیستم‌های مدیریت ایمنی شرکت‌های کشتیرانی تاکید کرده بود. ورود مفاهیمی نظیر امنیت سایبری به متن قراردادها و الزامات مدیریتی، نشان می‌دهد که صنعت کشتیرانی در حال گذار از رویکرد واکنشی به رویکرد پیشگیرانه در مدیریت ریسک است.

درس‌هایی برای خطوط کشتیرانی و شرکت‌های ایرانی
اگر تجربه Maersk یک پیام روشن برای صنعت کشتیرانی داشته باشد، آن پیام این است که در محیط پیچیده و به شدت به هم پیوسته امروز، ریسک‌های نوظهور را نمی توان در قالب ساختارهای سنتی و نگاه‌های بخشی مدیریت کرد.
برای شرکت‌های ایرانی، این موضوع از اهمیت بیشتری برخوردار است. این شرکت‌ها علاوه بر مواجهه با ریسک‌های متعارف صنعت کشتیرانی، با پیچیدگی‌های ناشی از تحولات ژئوپلیتیکی، محدودیت‌های تجاری، تغییر مسیرهای حمل، افزایش هزینه‌های عملیاتی و نوسانات بازار نیز رو به رو هستند. در چنین فضایی، تاب‌آوری سازمانی بیش از هر زمان دیگری به یک مزیت رقابتی تبدیل شده است.
یکی از مهم‌ترین درس های شرکت‌های پیشرو جهان، تغییر نگاه به مفهوم ریسک است. در این رویکرد جدید، ریسک نه صرفا یک تهدید، بلکه متغیری است که باید شناسایی، ارزیابی، پایش و مدیریت شود. به همین دلیل، مدیریت ریسک به تدریج از سطح واحدهای تخصصی فراتر رفته و به بخشی از فرآیند تصمیم گیری هیئت مدیره و مدیران ارشد تبدیل شده است.
از این منظر، ایجاد تعامل موثر میان واحدهای عملیاتی، بازرگانی، فناوری اطلاعات، حقوقی و مدیریت ارشد، اهمیتی اساسی پیدا می‌کند. بسیاری از بحران‌های پرهزینه، نه در زمان وقوع حادثه، بلکه در نتیجه فقدان هماهنگی میان این بخش‌ها شکل می‌گیرند.
همچنین، تجربه سال‌های اخیر نشان داده است که مدیریت ریسک صرفا به معنای واکنش به بحران نیست، بلکه مستلزم ایجاد ساز و کارهای پیشگیرانه، تدوین سناریوهای احتمالی، بازنگری مستمر قراردادها، توجه به الزامات انطباق، آموزش نیروی انسانی و سرمایه‌گذاری در زیر ساخت‌های تاب‌آوری است.
در واقع، سرمایه‌گذاری در حوزه امنیت سایبری و مدیریت ریسک، بیش از آن‌که هزینه تلقی شود، نوعی سرمایه گذاری برای حفظ تدوام کسب وکار و افزایش رقابت پذیری شرکت ها محسوب می شود. تجربه Maersk نشان داد که هزینه آمادگی برای مواجهه با بحران، در بسیاری از موارد به مراتب کمتر از هزینه مدیریت پیامدهای بحران است.
تحولات سال های اخیر، نقش مشاوران حقوقی را نیز دستخوش تغییر کرده است. در بسیاری از شرکت‌های بین المللی، مشاوران حقوقی دیگر صرفا مدیران دعاوی نیستند، بلکه به عنوان بخشی از ساختار مدیریت ریسک و حکمرانی شرکتی، در ارزیابی تصمیمات تجاری، طراحی سازوکارهای قراردادی و افزایش تاب آوری سازمانی مشارکت دارند.
شاید مهم ترین درس تجربه Maersk برای شرکت‌های کشتیرانی این باشد که تاب آوری، محصول شانس یا واکنش‌های لحظه ای نیست، بلکه نتیجه حکمرانی موثر، نگاه سیستمی و مدیریت هوشمندانه ریسک هاست.
جمع بندی؛ از امنیت سایبری تا حکمرانی ریسک
حادثه NotPetya و خسارت صدها میلیون دلاری تحمیل شده به Maersk، صرفا یک رویداد سایبری یا یک اختلال عملیاتی نبود، بلکه نشانه‌ای از تغییر ماهیت ریسک‌ها در صنعت کشتیرانی و تجارت جهانی محسوب می‌شد.
این تجربه نشان داد که در عصر دیجیتال، مرز میان ریسک‌های عملیاتی، حقوقی، فناوری، اعتباری و ژئوپلیتیکی بیش از گذشته کمرنگ شده است و پیامدهای یک بحران می‌تواند به سرعت در سراسر زنجیره ارزش شرکت گسترش یابد. به همین دلیل، مدیریت ریسک دیگر نمی‌تواند به صورت جزیره‌ای و صرفا در چارچوب واحدهای تخصصی دنبال شود.
در سال های اخیر مفاهیمی همچون Corporate Govenance، Entrprise Risk Management وOrganizational Resilience جایگاه پر رنگ‌تری در ادبیات شرکت‌های پیشرو پیدا کرده‌اند. این تحول، بیانگر گذار از رویکرد سنتی مدیران بحران به رویکردی جامع تر مبتنی بر «حکمرانی ریسک» است؛ رویکردی که هدف آن صرفا مقابله با بحران‌ها نیست، بلکه افزایش ظرفیت سازمان برای پیش بینی، انطباق و تداوم فعالیت در محیط های متغیر و پر ریسک است.
شاید مزیت رقابتی آینده شرکت های کشتیرانی، کمتر از گذشته به شاخص‌هایی نظیر اندازه ناوگان یا ظرفیت حمل وابسته باشد و بیش از پیش، به کیفیت حکمرانی، میزان تاب آوری و توانایی سازمان در شناسایی و مدیریت ریسک های نوظهور بستگی پیدا کند.از این منظر،تجربه Maersk را می‌توان فراتر از یک حادثه سایبری، به عنوان یادآوری این واقعیت تلقی کرد که در اقتصاد امروز، هزینه نادیده گرفتن ریسک‌ها می‌تواند بسیار سنگین تر از هزینه سرمایه‌گذاری برای مدیریت آن‌ها باشد.شاید به همین دلیل است که در شرکت‌های پیشرو جهان، مدیریت ریسک دیگر یک وظیفه فرعی یا صرفا تخصصی تلقی نمی شود، بلکه بخشی از معماری حکمرانی شرکت و یکی از مولفه‌های اساسی پایداری و رقابت‌پذیری بلند مدت به شمار می‌رود.در چنین فضایی، رقابت پذیری پایدار تنها از مسیر توسعه ناوگان یا افزایش سهم بازار عبور نمی کند، بلکه بیش از زمان دیگری، از مسیر حکمرانی ریسک، تاب آوری سازمانی و توانایی انطباق با محیطی سرشار از عدم قطعیت می‌گذرد. شاید بزرگ‌ترین درس ماجرای Maersk نیز همین باشد؛ این‌که در اقتصاد امروز، شرکت های موفق الزاما آن‌هایی نیستند که با بحران مواجه نمی‌شوند، بلکه آن‌هایی هستند که برای مواجهه با بحران آماده‌ترند.