Cyber AYKIN PAGE 1/24

Security DENİZ NAKLİYAT A.Ş

DATE
APPROVED BY
20.10.2022
DPA
Manual REVISION 00

1. Objectives / Amaç
This procedure strives to effectively offer protection for Vessel’s facilities from Cyber threats and attacks
and strengthen the resilience of technical and procedural cyber security controls implemented by the
company.
Bu prosedür, geminin tesislerini siber tehditlere ve saldırılara karşı etkili bir şekilde korumayı ve şirket
tarafından uygulanan teknik ve prosedürel siber güvenlik kontrollerinin esnekliğini güçlendirmeyi
amaçlamaktadır.

2. Scope / Kapsam
Scope of this procedure is to provide essential guidance on managing cyber safety and cyber security risks,
both internally and externally within a ship's organization. It shall be used to help identify and prioritize
actions for reducing cyber security risks.
Bu prosedürün kapsamı, bir geminin organizasyonu içinde hem dahili hem de harici olarak siber güvenlik ve
siber güvenlik risklerini yönetme konusunda temel rehberlik sağlamaktır. Tanımlamak ve siber güvenlik
riskleri azaltmaya yönelik eylemler öncelik kullanılması sağlanmalıdır.
Cyber
Security AYKIN PAGE
DATE
2/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

3. Terms and Definitions / Terimler ve Tanımlar

Definitions used in this procedure are, to the extent practicable, in keeping with those contained in the
International Convention for the Safety of Life at Sea, 1974, (SOLAS) as amended. For ease of reference,
certain terms used in this document are defined below.

Bu prosedürde kullanılan tanımlar, mümkün olduğu ölçüde, uluslararası denizde yaşam güvenliği Sözleşmesi,
1974, (solas) değiştirilmiş olarak yer alanlarla uyumludur. Referans kolaylığı için, bu belgede kullanılan bazı
terimler aşağıda tanımlanmıştır.

» Access Control / Erişim Kontrolü

Access control is selective limiting of the ability and means to communicate with or otherwise interact
with a system, to use system resources to handle information, to gain knowledge of the information the
system contains or to control system components and functions. Erişim kontrolü, bir sistemle iletişim
kurma veya başka bir şekilde etkileşim kurma, bilgileri işlemek için sistem kaynaklarını kullanma, sistemin
içerdiği bilgiler hakkında bilgi edinme veya sistem bileşenlerini ve işlevlerini kontrol etme becerisinin seçici
olarak sınırlandırılmasıdır.

» Asset /Varlık

Item, thing or entity that has potential or actual value to an organization. [BS ISO 55000:2014, 3.2.1]
Bir kuruluş için potansiyel veya gerçek değeri olan öğe, nesne veya varlık [BS ISO 55000: 2014, 3.2.1]

» Asset Information/ Varlık Bilgileri

Data or information relating to the specification, design, construction, acquisition, operation or

maintenance of an item, thing or entity that has potential or actual value to an organization. This also
includes its disposal or decommissioning. It can include design information and models, documents,
images, software, spatial information and task or activity-related information. Varlık Bilgileri
Bir kuruluş için potansiyel veya fiili değeri olan bir öğenin, şeyin veya varlığın özellikleri, tasarımı, yapımı,
edinimi, işletimi veya bakımı ile ilgili veriler veya bilgiler. Bu aynı zamanda onun imha edilmesini veya hizmet
dışı bırakılmasını da içerir. Tasarım bilgileri ve modelleri, belgeler, görüntüler, yazılımlar, mekansal bilgiler
ve görev veya faaliyetle ilgili bilgileri içerebilir.

» Authentication / Kimlik Doğrulama

Verifying the identity of a user, process, or device, often as a prerequisite to allowing access to resources
in an information system. Genellikle bir bilgi sistemindeki kaynaklara erişime izin vermenin ön koşulu olarak
bir kullanıcının, işlemin veya aygıtın kimliğini doğrulama.

» Back Door / Arka kapı

It is a secret method of bypassing normal authentication and verification when accessing a system. A back
door is sometimes created by hidden parts of the system itself or established by separate software.
Bir sisteme erişirken normal kimlik doğrulama ve doğrulamayı atlamanın gizli bir yöntemidir. Bir arka kapı
bazen sistemin gizli bölümleri tarafından oluşturulur veya ayrı bir yazılım tarafından oluşturulur.
Cyber
Security AYKIN PAGE
DATE
3/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Bring Your Own Device (BYOD) / Kendi Cihazınızı Getirin

It allows employees to bring personally owned devices (laptops, tablets, and smart phones) to the ship
and to use those devices to access privileged information and applications for business use. (BYOD)
Çalışanların kişisel olarak sahip oldukları cihazları (dizüstü bilgisayarlar, tabletler ve akıllı telefonlar) gemiye
getirmelerine ve bu cihazları iş kullanımı için ayrıcalıklı bilgilere ve uygulamalara erişmek için kullanmalarına
olanak tanır

» Company / Şirket

The owner or operator of the ship, who has assumed responsibility for the operation of the ship from the
owner of the ship, and who on assuming such responsibility, has agreed to take over the duties and
responsibilities imposed by the International Safety Management (ISM) Code. [International Ship and
Port Facility Security (ISPS) Code, Section 1.8, p.10]
Geminin işletilmesinin sorumluluğunu gemi sahibinden alan ve bu sorumluluğu üstlenerek Uluslararası
Güvenlik Yönetimi (ISM) tarafından verilen görev ve sorumlulukları üstlenmeyi kabul eden gemi sahibi veya
işleticisi Kod. [Uluslararası Gemi ve Liman Tesisi Güvenlik (ISPS) Kodu, Bölüm 1.8, s.10]

» Company Security Officer (CSO) / Şirket Güvenlik Görevlisi (CSO)

The person designated by the Company for ensuring that a Ship Security Assessment (SSA) is carried out,
that a ship security plan (SSP) is developed, submitted for approval, and thereafter implemented and
maintained, and for liaison with port facility security officers (PFSOs) and the ship security officer (SSO).
[ISPS Code, Section 1.8, p.10] Şirket tarafından bir Gemi Güvenlik Değerlendirmesinin (SSA) yapılmasını, bir
gemi güvenlik planının (SSP) geliştirilmesini, onaya sunulmasını ve daha sonra uygulanmasını ve
sürdürülmesini sağlamak ve liman tesisi güvenlik görevlileri ile irtibat için atanan kişi PFSO'lar) ve gemi
güvenlik görevlisi (SSO). [ISPS Kodu, Bölüm 1.8, s.10]

» Criticality / Kritiklik

A measure of the degree to which an organization depends on the information or information system for
the success of a mission or of a business function. Bir kuruluşun, bir misyonun veya bir işletme
fonksiyonunun başarısı için bilgi veya bilgi sistemine ne ölçüde bağlı olduğunun bir ölçüsü.

» Cyber Attack /Siber saldırı

An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting,
disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying
the integrity of the data or stealing controlled information. Bir bilgi işlem ortamını / altyapısını kesintiye
uğratmak, devre dışı bırakmak, yok etmek veya kötü niyetle kontrol etmek amacıyla bir kuruluşun siber uzay
kullanımını hedefleyen siber uzay yoluyla yapılan bir saldırı; veya verilerin bütünlüğünü bozmak veya
kontrollü bilgileri çalmak.
Cyber
Security AYKIN PAGE
DATE
4/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Cyber Incident / Siber Olay

It is an occurrence, which actually or potentially results in adverse consequences to an onboard system,

network and computer or the information that they process, store or transmit, and which may require a
response action to mitigate the consequences.
Bu, bir yerleşik sistem, ağ ve bilgisayar veya işledikleri, depoladıkları veya ilettikleri bilgiler üzerinde gerçekte
veya potansiyel olarak olumsuz sonuçlara yol açan ve sonuçları hafifletmek için bir yanıt eylemi
gerektirebilecek bir olaydır.

» Cyber risk management / Siber risk yönetimi

It means the process of identifying, analyzing, assessing, and communicating a cyber-related risk and
accepting, avoiding, transferring, or mitigating it to an acceptable level; taking into consideration the
costs and benefits of actions taken by stakeholders.
Siber ile ilgili bir riski belirleme, analiz etme, değerlendirme ve iletme ve bunu kabul etme, önleme, aktarma
veya kabul edilebilir bir düzeye düşürme süreci anlamına gelir; paydaşlar tarafından alınan önlemlerin
maliyet ve faydalarını dikkate alarak.

» Cyber Security / Siber güvenlik

The ability to protect or defend the use of cyberspace from cyber attacks –
Siber alan kullanımını siber saldırılardan koruma veya savunma yeteneği

» Cyber Security incident / Siber Güvenlik olayı

Any suspicious act or circumstance threatening the cyber security of a ship.

Bir geminin siber güvenliğini tehdit eden herhangi bir şüpheli eylem veya durum.

» Firewall / Güvenlik Duvarı

It is a logical or physical break designed to prevent unauthorized access to IT infrastructure and

information.
BT altyapısına ve bilgilerine yetkisiz erişimi önlemek için tasarlanmış mantıksal veya fiziksel bir kesintidir.

» Information System Resilience / Bilgi Sistemi Esnekliği

The ability of an information system to continue to operate while under attack, even if in a degraded or
debilitated state, and to rapidly recover operational capabilities for essential functions after a
successful attack.
Bir bilgi sisteminin saldırı altındayken, düşürülmüş veya zayıflatılmış bir durumda bile çalışmaya devam etme
ve başarılı bir saldırıdan sonra temel işlevler için operasyonel yetenekleri hızla kurtarma yeteneği.

» Likelihood of Occurrence / Gerçekleşme olasılığı

A weighted factor based on a subjective analysis of the probability that a given threat is capable of
exploiting a given vulnerability or a set of vulnerabilities.
Belirli bir tehdidin belirli bir güvenlik açığından veya bir dizi güvenlik açığından yararlanma olasılığının öznel
bir analizine dayanan ağırlıklı bir faktör
Cyber
Security AYKIN PAGE
DATE
5/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Malware / Kötü Amaçlı Yazılım

It is a generic term for a variety of malicious software which can infect computer systems and impact on
their performance.
Bilgisayar sistemlerini etkileyebilecek ve performanslarını etkileyebilecek çeşitli kötü amaçlı yazılımlar için
genel bir terimdir.

» Operational technology (OT) / Operasyonel teknoloji (OT)

The technology commonly found in cyber-physical systems that is used to manage physical processes and
actuation through control of physical devices, for example, in a vessel these systems include:
communications, navigation systems, etc.
Genellikle fiziksel süreçleri ve çalıştırmayı yönetmek için kullanılan siber-fiziksel sistemlerde bulunan
teknoloji, örneğin bir gemide, bu sistemler şunları içerir: iletişim, navigasyon sistemleri, vb.

» Patches / Yamalar

They are software designed to update software or supporting data to improve the software or
address security vulnerabilities and other bugs in operating systems or applications
Yazılımları iyileştirmek veya güvenlik açıklarını ve işletim sistemlerindeki veya uygulamalardaki diğer hataları
gidermek için yazılımı güncellemek veya verileri desteklemek için tasarlanmış yazılımlardır.

» Phishing / Kimlik avı

Refers to the process of deceiving recipients into sharing sensitive information with a third-party.,
Hassas bilgileri üçüncü bir tarafla paylaşmaları için alıcıları aldatma sürecini ifade eder.

» Personnel / Personel

Individuals employed by an organization, including contractors or temporary staff used to fulfil roles that
may be undertaken by that organization.
Söz konusu kuruluş tarafından üstlenilebilecek rolleri yerine getirmek için kullanılan yükleniciler veya geçici
personel dahil olmak üzere bir kuruluş tarafından istihdam edilen kişiler

» Residual Risk / Artık Risk

Portion of risk remaining after security measures have been applied.
Güvenlik önlemleri uygulandıktan sonra kalan risk kısmı.

» Removable media / Çıkarılabilir medya,

Removable media is a collective term for all methods of storing and transferring data between computers.
This includes laptops, USB memory sticks, CDs, DVDs and diskettes.
Çıkarılabilir media bilgisayarlar arasında veri depolama ve aktarmanın tüm yöntemleri için kullanılan toplu
bir terimdir. Buna dizüstü bilgisayarlar, USB bellek çubukları, CD'ler, DVD'ler ve disketler dahildir.
Cyber
Security AYKIN PAGE
DATE
6/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Risk /Risk

A measure of the extent to which an entity is threatened by a potential circumstance or event, and
typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs;
and (ii) the likelihood of occurrence,

Bir işletmenin potansiyel bir durum veya olay tarafından ne ölçüde tehdit edildiğinin ölçüsü ve tipik olarak
aşağıdakilerin bir işlevi: (i) durum veya olayın meydana gelmesi durumunda ortaya çıkacak olumsuz etkiler;
ve (ii) gerçekleşme olasılığı

» Risk Assessment /Risk değerlendirmesi

The process of identifying, estimating, and prioritizing risks to organizational operations (including
mission, functions, image, reputation), organizational assets, individuals, other organizations, and the
Nation, resulting from the operation of an information system. Part of risk management, incorporates
threat and vulnerability analyses, and considers mitigations provided by security controls planned or in
place. Synonymous with risk analysis.

Bir bilgi sisteminin işleyişinden kaynaklanan, kurumsal operasyonlar (misyon, işlevler, imaj, itibar dahil),
kurumsal varlıklar, bireyler, diğer kuruluşlar ve Ulus için riskleri tanımlama, tahmin etme ve önceliklendirme
süreci. Risk yönetiminin bir parçası, tehdit ve güvenlik açığı analizlerini içerir ve planlanan veya yürürlükteki
güvenlik kontrolleri tarafından sağlanan azaltmaları dikkate alır. Risk analizi ile eşanlamlıdır.

» Risk Factor /Risk faktörü

A characteristic used in a risk model as an input to determining the level of risk in a risk assessment.

Bir risk modelinde bir risk değerlendirmesinde risk düzeyini belirlemede girdi olarak kullanılan bir özellik.

» Risk Management./ Risk yönetimi

The program and supporting processes to manage information security risk to organizational
operations (including mission, functions, image, reputation), organizational assets, individuals, other
organizations, and the Nation, and includes: (i) establishing the context for risk -related activities; (ii)
assessing risk; (iii) responding to risk once determined; and (iv) monitoring risk over time

Organizasyonel operasyonlar (görev, işlevler, imaj, itibar dahil), organizasyonel varlıklar, bireyler, diğer
organizasyonlar ve Ulus için bilgi güvenliği riskini yönetmek için program ve destek süreçleri ve şunları içerir:
(i) riskle ilgili faaliyetler için bağlamın oluşturulması ; (ii) riski değerlendirmek; (iii) risk belirlendikten sonra
yanıt vermek; ve (iv) riski zaman içinde izlemek.

» Risk Mitigation /Risk azaltma

Prioritizing, evaluating, and implementing the appropriate risk reducing controls/countermeasures

recommended from the risk management process / Risk yönetimi sürecinden tavsiye edilen uygun risk
azaltıcı kontrolleri karşı önlemleri önceliklendirmek, değerlendirmek ve uygulamak
Cyber
Security AYKIN PAGE
DATE
7/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Security-sensitive information /Güvenliğe duyarlı bilgiler

Information, the disclosure of which would compromise the security of the ship,including, but not limited
to, ship operational data, information contained in any personnel-related file or privileged or confidential
information that would compromise any person, system or organization.Gemi operasyonel verileri,
personel ile ilgili herhangi bir dosyada yer alan bilgiler veya herhangi bir kişi, sistem veya kuruluşu tehlikeye
atabilecek ayrıcalıklı veya gizli bilgiler dahil ancak bunlarla sınırlı olmamak üzere, ifşa edilmesi geminin
güvenliğini tehlikeye atacak bilgiler.

» Sensitive information /Hassas bilgi

Information, the loss, misuse or modification of which, or unauthorised access to, could/ Kaybolan, kötüye
kullanılan veya değiştirilen veya yetkisiz erişimin aşağıdakileri yapabileceği bilgiler:

a. adversely affect the privacy, welfare or safety of an individual or individuals;/ bir bireyin veya bireylerin
mahremiyetini, refahını veya güvenliğini olumsuz etkilemek;
b. compromise intellectual property or trade secrets of an organization/ bir kuruluşun fikri mülkiyetini veya
ticari sırlarını tehlikeye atmak;
c. cause commercial or economic harm to an organization or country; or/ bir kuruluşa veya ülkeye ticari
veya ekonomik zarar vermek; veya
d. jeopardise the security, internal and foreign affairs of a nation, depending on the level of sensitivity and
nature of the information. /Bilginin duyarlılık düzeyine ve niteliğine bağlı olarak bir ulusun güvenliğini, iç ve
dış işlerini tehlikeye atabilir

» Shipboard Personnel /Gemi Personeli

The master and the members of the crew or other persons employed or engaged in any capacity on board
a ship in the business of that ship, including high-speed craft, special purpose ships and mobile offshore
drilling units not on location. [ISPS Code, Section 1.8, p.12].Kaptan ve mürettebatın üyeleri veya yüksek
hızlı tekneler, özel amaçlı gemiler ve yerinde olmayan mobil açık deniz sondaj üniteleri de dahil olmak üzere,
o geminin işindeki bir gemide herhangi bir sıfatla istihdam edilmiş veya bu gemide çalışan diğer kişiler. [ISPS
Kodu, Bölüm 1.8, s.12]

» Ship assets /Gemi varlıkları

All ship data, ship facilities and ship systems. Tüm gemi verileri, gemi tesisleri ve gemi sistemleri

» Ship Data /Gemi Verileri

Any data, information, models and processes associated with the ownership, design and operation of a
ship. Bir geminin mülkiyeti, tasarımı ve işletimi ile ilgili her türlü veri, bilgi, model ve süreç.
Cyber
Security AYKIN PAGE
DATE
8/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

» Ship Security Officer (SSO) /Gemi Güvenlik Görevlisi (SSO)

The person on board the ship, accountable to the master, who is designated by the,Company as responsible
for security of the ship, including implementation and maintenance of the ship security plan, and for liaison
with the company security officer and port facility security officers. [ISPS Code, Section 1.8, p.12]. Gemi
kaptanı tarafından belirlenen kaptana karşı sorumlu kişi,Şirket, gemi güvenlik planının uygulanması ve
bakımı da dahil olmak üzere geminin güvenliğinden ve şirket güvenlik görevlisi ve liman tesisi güvenlik
görevlileri ile irtibattan sorumludur. [ISPS Kodu, Bölüm 1.8, s.12]

» Threat /Tehdit

A potential cause of an incident or hazardous situation that may result in harm to an asset, person, system
or organization. Bir varlığa, kişiye, sisteme veya kuruluşa zarar verebilecek bir olay veya tehlikeli durumun
potansiyel nedeni.

» Virtual Private Network (VPN) /Sanal Özel Ağ (VPN)

It enables users to send and receive data across shared or public networks as if their computing devices
were directly connected to the private network, thereby benefiting from the functionality, security and
management policies of the private network. Kullanıcıların, bilgi işlem cihazları doğrudan özel ağa
bağlıymış gibi paylaşılan veya genel ağlar üzerinden veri gönderip almalarına, böylece özel ağın
işlevselliğinden, güvenliğinden ve yönetim politikalarından yararlanmalarına olanak tanır.

» Vulnerability /Güvenlik Açığı

A weakness (for example, systematic, procedural, physical or technical) of an asset, or group of assets,
that can be exploited by one or more threats. Bir varlığın veya bir varlık grubunun bir veya daha fazla tehdit
tarafından istismar edilebilen zayıflığı (örneğin, sistematik, prosedürel, fiziksel veya teknik).
Cyber
Security AYKIN PAGE
DATE
9/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

4. Responsibility / Sorumluluk

4.1. Name & Details of Management and Contact Details of Responsible Person

MANAGEMENT HOTLINE : +905399345658

OFFICE PERSONNEL
Responsible person in company regarding Cyber Security Metters = DPA/CSO

DPA : +90 5399345658

e-Mail : dpa@aykinshipping.com

ON BOARD PERSONNEL
Responsible person on board as Cyber Security Officer (CySO) = Chief Officer

4.2. Responsibilities of Cyber Security Officer (CySO)

 CySO is responsible for ensuring the implementation and exercising of Cyber Security plan./.CySO,
siber suçların uygulanmasını ve Güvenlik procedürünün talimlerinden sorumludur.

 CySO is tasked to manage and coordinate the cyber security of a ship. CySO, bir geminin siber
güvenliğini yönetmek ve koordine etmek için görevlendirilmiştir.

 This plan shall be in possession of Master&CySO onboard as a practical guide and procedure for Cyber
Security, supplementary to Safety Management System. Plan shall be in a non-electronic form as
some types of cyber incidents can result in deletion of data, compromising of systems and
shutdown of communication links./ Bu plan, güvenlik yönetim sistemine ek olarak siber güvenlik için
pratik bir rehber ve prosedür olarak Master & Cyso'nın elinde olacaktır. Bazı siber olaylar verilerin
silinmesine, sistemlerin tehlikeye atılmasına ve iletişim bağlantılarının kapatılmasına neden
olabileceğinden, plan elektronik olmayan bir biçimde olacaktır.

 USB physical locks are in force at various location as a safeguard measure. Key for the physical lock
shall be in possession of CySO./ USB fiziksel kilitler, bir koruma önlemi olarak çeşitli yerlerde
yürürlüktedir. Fiziksel kilidin anahtarı Cyso'nun elinde olacaktır.

 CySO is responsible for updating or accessing ECDIS system./CySO, ECDIS sistemini güncellemekten
veya erişmekten sorumludur.
Cyber
Security AYKIN PAGE
DATE
10/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

 CySO is assigned to conduct risk assessment for monitoring any cyber threats on board and
continuous improvements. Results of risk assessment shall be communicate to IT Manager./
CySO, gemideki siber tehditleri ve sürekli iyileştirmeleri izlemek için risk değerlendirmesi yapmakla
görevlendirilmiştir. Risk değerlendirmesinin sonuçları IT yöneticisine iletilmelidir.

 CySO ensures compliance of password management measures on board. He shall report to Master
in case of any non-complaince with guidelines detailed in this procedure./ CySO, gemide şifre
yönetimi önlemlerinin uygunluğunu sağlar. Bu planda ayrıntılı olarak açıklanan yönergelere
uyulmaması durumunda Master'a rapor verecektir.

5. Cyber Threats & Identifying Vulnerabilities / Siber Tehditler Ve Güvenlik Açıklarını Belirleme

5.1. Cyber Security Threats to the Ship

There are motives for organizations and individuals to exploit cyber vulnerabilities. The following are
indication of the threat posed and the potential consequences for the ships:/Kuruluşların ve bireylerin siber
güvenlik açıklarından yararlanmaları için nedenler vardır. Aşağıdakiler, ortaya çıkan tehdidin ve gemiler
için potansiyel sonuçların göstergesidir:

Group Motivation Objective

Activist - Reputational damage - Destruction of data

(including disgruntled - Disruption of operations - Publication of sensitive data

employees)
- Media attention

- Financial gain - Selling stolen data

Criminals - Commercial espionage - Ransoming stolen data

- Industrial espionage - Ransoming system operability

- Arranging fraudulent transportation of cargo

Opportunists - The challenge - Getting through cyber security defences
- Financial gain

The above groups are active and have the skills and resources to threaten the safety and security of
ships, and a company’s ability to conduct its business. In addition, there is always the potential for
individuals inside a company or onboard a ship to compromise cyber systems and data
unknowingly./ Yukarıdaki gruplar aktiftir ve gemilerin emniyetini ve güvenliğini tehdit edecek beceri ve
kaynaklara ve bir şirketin işini yürütme yeteneğine sahiptir. Buna ek olarak, bir şirket içindeki veya bir
gemideki bireylerin siber sistemleri ve verileri bilmeden tehlikeye atma potansiyeli her zaman vardır.
Cyber
Security AYKIN PAGE
DATE
11/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

5.2. Types of Cyber Attack

5.2.1 Untargeted Attacks / Hedeflenmemiş Saldırılar
Where a company or a ship’s systems and data are one of many potential targets. Some tools and
techniques that may be used in these circumstances include.Bir şirketin veya bir geminin sistemlerinin
ve verilerinin birçok potansiyel hedeften biri olduğu yer. Bu durumlarda kullanılabilecek bazı araçlar ve
teknikler şunlardır.

5.2.1.1 Social Engineering / Sosyal Mühendislik

A non-technical technique used by potential cyber attackers to manipulate insider individuals into
breaking security procedures, normally, but not exclusively, through interaction via social
media./Potansiyel siber saldırganlar tarafından içeriden öğrenen kişileri manipüle etmek için kullanılan
teknik olmayan bir yöntem, normalde, yalnızca sosyal medya aracılığıyla etkileşim yoluyla değil,
güvenlik prosedürlerini ihlal etmek için de kullanılır.

5.2.1.2 Phishing/Dolandırıcılık

Sending emails to a large number of potential targets asking for particular pieces of sensitive or
confidential information. Such an email may also request that an individual visits a fake website using
a hyperlink included in the email./Belirli hassas veya gizli bilgileri isteyen çok sayıda potansiyel hedefe
e-posta göndermek. Böyle bir e-posta, bir kişinin e-postada bulunan bir köprüyü kullanarak sahte bir
Web sitesini ziyaret etmesini de isteyebilir.

5.2.1.3 Ransomware /Kötü amaçlı yazılım

Malware which encrypts data on systems until such time as the distributor decrypts the
information./Dağıtımcı bilgilerin şifresini çözene kadar sistemlerdeki verileri şifreleyen kötü amaçlı
yazılım.

5.2.2 Targeted Attacks /Hedefli Saldırılar

where a company or a ship’s systems and data are the intended target.Tools and techniques which may
be used in these circumstances include: / bir şirketin veya bir geminin sistemlerinin ve verilerinin
amaçlanan hedef olduğu yer.Bu durumlarda kullanılabilecek araçlar ve teknikler şunlardır:

5.2.2.1 Spear-Phishing/Aldatmaca-Dolandırıcılıkı

Similar to phishing but the individuals are targeted with personal emails, often containing malicious
software or links that automatically download malicious software./Dolandırıcılıga benzer şekilde,
bireyler genellikle kötü amaçlı yazılımlar veya kötü amaçlı yazılımları otomatik olarak indiren bağlantılar
içeren kişisel e-postalarla hedeflenir.
Cyber
Security AYKIN PAGE
DATE
12/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

5.2.2.2 Deploying Botnets / Botnet'leri Dağıtma

Botnets are used to deliver Distributed Denial of Service (DDoS) attacks./Botnet'ler dağıtılmış hizmet
reddi (DDoS) saldırıları sağlamak için kullanılır.

5.2.2.3 Subverting the Supply Chain / Tedarik zincirinin yıkılması

Attacking a company or ship by compromising equipment or software being delivered to the

company or ship.

Bir şirkete veya gemiye teslim edilen ekipman veya yazılımdan ödün vererek bir şirkete veya gemiye
saldırmak.

5.3. Identified Vulnerabilities – IT & OT Systems

a. Bridge Systems

Internet & Voice Communication systems – IT

Wireless networks (WLANs) – IT

Navigational / Positioning systems (GPS / AIS) – OT

Electronic Chart Display Information System (ECDIS) – OT Voyage
Data Recorders (VDRs) – OT

Planned Maintenance System (PMS Server/computer) – IT

b. Cargo Management Systems

Cargo Operations computers – OT

c. Crew Networks

Wi-Fi internet access with BYOD only – IT CBT

Access through Wifi – IT

d. Ship Cyber Infrastructure Access Points (AP)

Router

Switches
Firewall with Intrusion prevention system

Virtual Private Network(s) (VPN)

Virtual LAN(s) (VLAN)

Server System
Cyber
Security AYKIN PAGE
DATE
13/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6. Procedure / Prosedür

6.1. Controls & Measures / Kontroller ve Önlemler

Cyber security measures are divided into 5 main groups. Siber güvenlik önlemleri 5 ana gruba ayrılır.
a. Technical Security measures Teknik Güvenlik önlemleri
b. Physical Security measures Fiziksel Güvenlik önlemleri
c. Organisational Security measures Örgütsel Güvenlik önlemleri
d. Procedural Security measures Prosedürel Güvenlik önlemleri
e. Personal measures Kişisel önlemler

6.1.1 Limitation and Control of Network Ports, Protocols and Services/ Ağ bağlantı
noktalarının, protokollerin ve hizmetlerin sınırlandırılması ve kontrolü

All network ports, protocols and services are controlled subnet independently by a Hardware
Firewall. Each subnet is physically separated by VLANs and has its own Firewall policies. Onboard networks
are separated through different V-LANs. Tüm ağ bağlantı noktaları, protokoller ve hizmetler bir donanım
tarafından bağımsız olarak alt ağ tarafından kontrol edilir. Güvenlik duvarı. Her alt ağ fiziksel olarak VLAN'lar
tarafından ayrılır ve kendi güvenlik duvarı ilkelerine sahiptir. Yerleşik ağlar farklı VLAN'lar aracılığıyla ayrılır.

6.1.2 Configuration of Network Devices such as Firewalls, Routers and Switches. Güvenlik
duvarları, yönlendiriciler ve anahtarlar gibi ağ aygıtlarının yapılandırması
All configured networks (VLANs) are fully controlled by our Firewall and a bypass is prevented
due to static IP Setups.
Tüm yapılandırılmış ağlar (VLAN'lar) Güvenlik duvarımız tarafından tamamen kontrol edilir ve statik IP
kurulumları nedeniyle bir baypas önlenir.

6.1.3 Secure Configuration for Hardware and Software /Donanım ve yazılım için güvenli
yapılandırma
User profiles are restricted to only allow the computers, workstations or servers to be used for the
purposes for which they are required. User profiles are therefore not allowed to alter the systems or
install new programs.

Kullanıcı profilleri, yalnızca bilgisayarların, iş istasyonlarının veya sunucuların gerekli amaçlar

için kullanılmasına izin verecek şekilde sınırlıdır. Bu nedenle, kullanıcı profillerinin sistemleri
değiştirmesine veya yeni programlar yüklemesine izin verilmez.

6.1.4 Business Network / İş Ağı

Only office configured mail traffic is allowed. Access only to chosen (for safe vessel operation necessary)
webpages is allowed. Remote access is allowed only for and from the Ship Managers IT-Department.
Yalnızca office yapılandırılmış posta trafiğine izin verilir. Sadece seçilen (geminin güvenli çalışması için
gerekli) web sayfalarına erişime izin verilir. Uzaktan erişim sadece gemi yöneticileri için ve IT
departmanından izin verilir.
Cyber
Security AYKIN PAGE
DATE
14/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6.1.5 Crew Network/ Mürettebat Ağı

Internet Access through a Wifi Hotspot system, with mandatory personal user authentication and Terms of
Use Policy. No Monthly Usage Limit for Crew Member. Content filter controlled by the Ship Managers IT-
Department.
Zorunlu kişisel kullanıcı kimlik doğrulaması ve Kullanım Şartları Politikası ile bir Wifi Hotspot sistemi
üzerinden İnternet erişimi. Mürettebat için kullanım sınırı yoktur. İçerik filtresi gemi yöneticileri IT
departmanı tarafından kontrol edilir.

6.1.6 ECDIS

All outgoing and incoming services are blocked, except the ECDIS Update Server address.
USB access is denied - USB physical lock in place. Access for updating and key for the physical lock is
in possession of CySO.
ECDIS güncelleştirme sunucusu adresi dışında tüm giden ve gelen hizmetler engellenir.USB erişimi
engellenir - USB fiziksel kilidi yerinde olur. Güncelleme erişimi ve fiziksel kilit anahtarı Cyso'ya
sahiptir.

6.1.7 VDR

Not connected to any online networks. Herhangi bir çevrimiçi ağa bağlı değil
USB access is denied - USB physical lock in place. Key for the physical lock is in possession of CySO.USB
erişimi engellendi - USB fiziksel kilidi yerinde. Fiziksel kilidin anahtarı Cyso'nun elinde.

6.1.8 Company Representative Network /Şirket Temsilcisi Ağı

Access only for Ship Manager Shore personnel with Cyber Policy in place. Content filter controlled by the
Ship Managers IT-Department.
PC/Server used for Planned Maintenance System (PMS) – IT Computers installed with PMS software are
connected via secured networks and firewall. PMS system also includes spares management and
requisition modules. All data communication between ship and office is via encrypted file system and
subjected to scanning at both ends.
Sadece siber Politikaya sahip Ship Manager shore personeli için erişim. İçerik filtresi gemi yöneticileri IT
departmanı tarafından kontrol edilir.
Planlı bakım sistemi (PMS) için kullanılan PC / sunucu-IT PMS yazılımı ile yüklü bilgisayarlar güvenli ağlar ve
güvenlik duvarı üzerinden bağlanır. PMS sistemi ayrıca yedek parça yönetimi ve talep modülleri içerir.
Gemi ve ofis arasındaki tüm veri iletişimi şifreli dosya sistemi üzerinden yapılır ve her iki uçta da taranır.

6.1.9 Satellite and Radio Communication/ Uydu ve Radyo iletişimi

The use of Inmarsat systems shall comply with company’s fleet letter. User on board shall report any
suspicious correspondence received to the IT Manager immediately and take appropriate action as per
response plan. Inmarsat sistemlerinin kullanımı şirketin filo mektubuna uygun olacaktır. Gemideki
kullanıcı, alınan şüpheli yazışmaları derhal IT yöneticisine bildirmeli ve müdahale planına göre uygun
önlemleri almalıdır.
Cyber
Security AYKIN PAGE
DATE
15/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6.1.10 Malware Defenses /Kötü Amaçlı Yazılım Koruması

An Anti-Virus Software is installed on all Business Computers and updated automatically once per
Week. On Access Scans of files are activated and a full Scan is running automatically once per Week.Bir
Anti-virüs yazılımı tüm iş bilgisayarlarına yüklenir ve haftada bir kez otomatik olarak güncellenir. Erişim
sırasında, dosya taramaları etkinleştirilir ve Tam Tarama haftada bir kez otomatik olarak çalışır.

6.1.11 Wireless Access Control /Kablosuz Erişim Kontrolü

Wireless Lan Access is not possible to the Business Network, only to the dedicated CrewNetwork
Kablosuz Lan erişimi iş ağına girişi mümkün değildir, sadece mürettebat ağ icindir.

6.1.12 Physical Security for Server Equipment/ Sunucu donanımı için fiziksel güvenlik

The Server Equipment is stored in a Rack Cabinet which is locked to prevent unauthorized
Access and Keys are only given to the Master.Sunucu Ekipmanı, yetkisiz erişimi önlemek için kilitli bir raf
kabininde saklanır, Erişim ve anahtarlar sadece ana bilgisayara verilir.

6.1.13 Physical & Removable Media Controls / USB Controls

Fiziksel ve çıkarılabilir medya kontrolleri / USB kontrolleri

a. Physical USB lock for all third-party PCs installed on board. gemide yüklü tüm üçüncü taraf
PC'ler için fiziksel USB kilidi.

b. All PCs used for VDR / ECDIS / Cargo room PCs / ECR PCs – USB socket is locked and physically
protected. VDR / ECDIS / Kargo odası PCs / ECR PCs için kullanılan tüm PC'ler – USB soketi kilitli
ve fiziksel olarak korunmaktadır.

c. All the other computer systems without the USB lock – Bridge PC / Ship’s office PC / Crew
Communication PC - USB Storage Devices are automatically monitored and scanned by the
updated Anti Virus Software, once they are connected to the computer. USB lock – Bridge
PC / ship's office PC / Crew Communication PC - USB depolama aygıtları olmayan diğer tüm
bilgisayar sistemleri, bilgisayara bağlandıktan sonra güncellenmiş virüsten koruma yazılımı
tarafından otomatik olarak izlenir ve taranır.

d. As a future plan, by default the access to USB Storage Devices would be prevented by the Anti-
Virus Software and needs to be enabled by entering a Password which is only known to the
Master and CySO. gelecekteki bir plan olarak, varsayılan olarak USB depolama aygıtlarına
erişim Anti-virüs yazılımı tarafından engellenir ve yalnızca Master ve CySO tarafından bilinen bir
şifre girerek etkinleştirilmelidir.
Cyber
Security AYKIN PAGE
DATE
16/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6.1.14 Email and Web Browser Protection / E-posta ve Web Tarayıcı koruması

a. A software called Vanir Lite/Port IT is installed for internet protection, and internet access is
possible only for the websites which meet the created rules on the software to prevent any
Cyber Risks which might occur during Web Browsing. internet koruması için Vanir Lite/Port IT
adlı bir yazılım yüklenir ve internet erişimi yalnızca Web tarama sırasında oluşabilecek siber
riskleri önlemek için yazılımda oluşturulan kurallara uyan web siteleri için mümkündür.

b. E-Mails and Attachments are being scanned by the Firewall in the Head Office for any

Cyber Threats, before getting delivered to the vessel. E-postalar ve ekler, gemiye teslim edilmeden
önce herhangi bir siber tehdit için merkez ofisteki güvenlik duvarı tarafından taranır.
c. Reference is made to “Cyber Policy”."Siber Politikaya" atıfta bulunulur.

6.1.15 Password Management / Instructions on Safeguarding of Passwords

Parola Yönetimi / Parolaların Korunmasına İlişkin Talimatlar
Company has enforced the principle of least privilege to prevent unauthorized access, to make it
easy to change passwords, make it easy to revoke access and make it easy to enforce password
management.
All passwords should be reasonably complex and difficult for unauthorized people to guess.
Employees should choose passwords that are at least four characters long and contain a
combination of upper- and lower-case letters, numbers, and punctuation marks and other
special characters. These requirements will be enforced with software when possible.
Employees must choose unique passwords for all of their company accounts, and may not use
a password that they are already using for a personal account.
All passwords must be changed regularly, with the frequency varying based on the sensitivity of
the account in question. This requirement will be enforced using software when possible.
If the security of a password is in doubt– for example, if it appears that an unauthorized
person has logged in to the account — the password must be changed immediately and inform IT
Manager.
Default passwords — such as those created for new employees when they start or those that
protect new systems when they’re initially set up — must be changed as quickly as possible.
Employees shall never share their passwords with anyone else in the company, including co-
workers, managers, administrative assistants, IT staff members, etc. Everyone who needs access
to a system will be given their own unique password.
Employees shall never share their passwords with any outside parties, including those claiming
to be representatives of a business partner with a legitimate need to access a system.
Employees should take steps to avoid phishing scams and other attempts by hackers to steal
passwords and other sensitive information. Users shall receive training on how to recognize
these attacks using CBT modules.
Employees must refrain from writing passwords down and keeping them at their workstations.
Employees shall not use password managers or other tools to help store and remember
passwords without IT department’s permission.
Cyber
Security AYKIN PAGE
DATE
17/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

Do not use dictionary words (English language or foreign) or proper nouns for that matter.
Password cracking tools will break those apart quickly indeed.
Do not use backwards words, the password crackers have already thought of reversing
dictionaries.
Do not use personal data such as family names, important dates, telephone numbers and so on.
They really are too simple to guess for even the novice social engineer.
Şirket, yetkisiz erişimi önlemek, parolaları değiştirmeyi kolaylaştırmak, erişimi iptal etmeyi
kolaylaştırmak ve parola yönetimini uygulamayı kolaylaştırmak için en az ayrıcalık ilkesini uyguladı.
Tüm parolalar, yetkisiz kişilerin tahmin etmesi için makul ölçüde karmaşık ve zor olmalıdır.
Çalışanlar, en az dört karakter uzunluğunda ve büyük ve küçük harf, sayı, noktalama işareti ve diğer
özel karakterlerin birleşimini içeren parolaları seçmelidir. Bu gereksinimler mümkün olduğunda
yazılımla birlikte uygulanacaktır.
Çalışanlar, tüm şirket hesapları için benzersiz parolalar seçmelidir ve kişisel bir hesap için zaten
kullandıkları bir parolayı kullanmamalıdır.
Tüm şifreler, söz konusu hesabın hassasiyetine bağlı olarak değişen frekanslarla düzenli olarak
değiştirilmelidir. Bu gereklilik, mümkün olduğunda yazılım kullanılarak uygulanacaktır.
Bir parolanın güvenliğinden şüphe duyuluyorsa - örneğin, yetkisiz bir kişinin hesaba giriş yaptığı
anlaşılırsa - parola derhal değiştirilmeli ve IT Yöneticisini bilgilendirmelidir.
Varsayılan şifreler - işe başladıklarında yeni çalışanlar için oluşturulanlar veya Başlangıçta
kurulduklarında yeni sistemleri koruyanlar - olabildiğince çabuk değiştirilmelidir.
Çalışanlar, şifrelerini şirket içinde hiç kimseyle paylaşmayacaktır, iş arkadaşları, yöneticiler, idari
asistanlar, IT personeli vb. dahil olmak üzere, bir sisteme erişmesi gereken herkese kendi benzersiz
şifresi verilecektir.
Çalışanlar, bir sisteme erişmek için meşru bir ihtiyacı olan bir iş ortağının temsilcisi olduğunu iddia
edenler de dahil olmak üzere şifrelerini hiçbir zaman dış taraflarla paylaşmayacaktır.
Çalışanlar, kimlik avı dolandırıcılığından ve bilgisayar korsanlarının şifreleri ve diğer hassas bilgileri
çalma girişimlerinden kaçınmak için adımlar atmalıdır. Kullanıcılar, CBT modüllerini kullanarak bu
saldırıların nasıl tanınacağı konusunda eğitim alacaktır.
Çalışanlar şifreleri yazmaktan ve iş ortamlarında / çalışma alanlarında tutmaktan kaçınmalıdır.
Çalışanlar, IT Departmanının izni olmadan şifreleri saklamak ve hatırlamak için şifre yöneticilerini
veya diğer araçları kullanmamalıdır.
Bu konuda sözlük kelimeleri (İngilizce veya yabancı) veya uygun isimler kullanmayın. Şifre kırma
araçları gerçekten onları hızlı bir şekilde parçalayacaktır.
Geriye doğru kelimeler kullanmayın, şifre kırıcılar zaten sözlükleri tersine çevirmeyi düşünmüşlerdir.
Aile adları, önemli tarihler, telefon numaraları vb. gibi kişisel verileri kullanmayın. Acemi bir sosyal
mühendis için bile tahmin etmek çok kolay.
Cyber
Security AYKIN PAGE
DATE
18/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6.1.16 Access for Visitors/ Ziyaretçiler için erişim

Visitors such as authorities, technicians, agents, port officials, and owner representatives are restricted
with regard to computer access whilst on board. Unauthorised access to sensitive OT network
computers are prohibited through physical barriers such as USB lock.
If a visitor requires computer with printer access, the removable media of the visitor shall be collected
by ship’s personnel. The removable media shall be used on computer after scanning the media to
ensure that it is safe for accessing or opening any files. Yetkililer, teknisyenler, acenteler, liman yetkilileri
ve armatör temsilcileri gibi ziyaretçiler, gemide iken bilgisayar erişimi ile ilgili olarak kısıtlanmıştır.
Hassas OT ağ bilgisayarlarına yetkisiz erişim, USB kilidi gibi fiziksel engellerle yasaktır.
Bir ziyaretçinin yazıcıya erişimi olan bir bilgisayara ihtiyacı varsa, ziyaretçinin çıkarılabilir medyası gemi
personeli tarafından toplanmalıdır. Çıkarılabilir medya, herhangi bir dosyaya erişmek veya açmak için
güvenli olduğundan emin olmak için medyayı taradıktan sonra bilgisayarda kullanılacaktır

6.1.17 Familiarisation & Disciplinary Actions /Alıştırma Ve Disiplin İşlemleri

Seafarers are familiarised upon joining the ship as per company crew familiarization forms.Any employee
found to have violated this policy may be subject to disciplinary action, up to and including termination of
employment as specified in SMS.Denizciler, gemiye katıldıktan sonra şirket mürettebatı tanıma formlarına
göre bilgilendirilir.Bu politikayı ihlal ettiği tespit edilen herhangi bir çalışan, SMS'DE belirtildiği gibi istihdamın
sona ermesi de dahil olmak üzere disiplin cezasına tabi olabilir.

6.2. Training and Awareness / Eğitim ve farkındalık

An Awareness and Training program is in place for all seafarers with implementation of,ISM system docs
Based Training modules: Tüm denizciler için bir Bilinçlendirme ve Eğitim programı uygulanmaktadır.ISM
sistem belgeleri Tabanlı Eğitim modülleri:

6.2.1. Trainings / Eğitimler

a. On-board training in the use of this procedure is to be given as soon as possible but not later than two
weeks after a crew member joins the ship so that the crew members may be familiar with the duties and
tasks assigned in the plans and procedures. bu prosedürün kullanımı için gemi içi eğitim mümkün olan en
kısa sürede yapılmalıdır, ancak mürettebat üyelerinin gemiye katılmasından en geç iki hafta sonra,
mürettebat üyelerinin planlarda ve prosedürlerde verilen görev ve sorumluluklarını bilmeleri için.

b. Relevant information in The Guidelines on Cyber Security Onboard Ships 2.0 gemilerde siber güvenlik
yönergelerinde yer alan ilgili bilgiler 2.0

IMO MSC-FAL.1/Circ.3

IMO RESOLUTION MSC.428(98) IMO GUIDELINES - FAL 40/INF.4

Cyber
Security AYKIN PAGE
DATE
19/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

6.3. Cyber Risk Management / Siber Risk Yönetimi

 Cyber Risk Management / Siber Risk Yönetimi

The goal of the assessment of a ship’s network and its systems and devices is to identify any threats
that could compromise or result in a loss of service for the equipment, system, network, or even the
ship.Bir geminin ağının ve sistemlerinin ve cihazlarının değerlendirilmesinin amacı, ekipman, Sistem, Ağ
ve hatta gemi için hizmet kaybına neden olabilecek veya zarar verebilecek tehditleri tespit etmektir.
The risk assessment combines the likelihood of a successful attack with its assessed potential
impact on the organization and its fleet. It helps to ensure that mitigation efforts target the highest
security risks and that the controls selected are appropriate and cost- effective for the organization.
Risk Değerlendirmesi, başarılı bir saldırı olasılığını, kuruluş ve filosu üzerindeki değerlendirilen potansiyel
etkisi ile birleştirir. Bu, azaltma çabalarının en yüksek güvenlik risklerini hedeflemesini ve seçilen
kontrollerin kuruluş için uygun ve etkin maliyetli olmasını sağlamaya yardımcı olur.
Cyber
Security AYKIN PAGE
DATE
20/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

Ongoing monitoring and evaluation shall provide a level of confidence that security controls adequately
mitigate perceived risks. Devam eden izleme ve değerlendirme, güvenlik kontrollerinin algılanan riskleri
yeterince azalttığına dair bir güven düzeyi sağlayacaktır
1. In order to achieve this task, CySO is assigned to conduct risk assessment and communicate
the results to IT Manager. Bu görevi yerine getirmek için, CySO risk değerlendirmesi yapmak ve
sonuçları IT yöneticisine iletmek üzere atanır.
2. Company SMS form shall be utilised for reporting risk assessments to IT Manager via email.
Şirket SMS formu, risk değerlendirmelerini IT yöneticisine e-posta yoluyla bildirmek için
kullanılacaktır.
3. IT manager shall review and maintain a record of risk assessments conducted. IT yöneticisi,
yapılan risk değerlendirmelerinin kaydını gözden geçirmeli ve tutmalıdır.

4. Risk assessment shall be conducted prefarably when there is a change of CySO, a change of
software or hardware. Risk değerlendirmesi, Tercihen bir CySO değişikliği, yazılım veya donanım
değişikliği olduğunda yapılmalıdır
Keeping with the process of the continuous improvement and learning, all personnel are encouraged
to discuss and address any concerns regarding cyber sensitive issues to IT Manager. Sürekli iyileştirme
ve öğrenme sürecine bağlı kalarak, tüm personel, siber hassas konularla ilgili endişelerini IT Yöneticisine
yönlendirilerek tartışmaya ve ele almaya teşvik edilir
Cyber
Security AYKIN PAGE
DATE
21/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

 Cyber Risk Management - contingency plans

The company has developed, and ships have access to contingency plans in order to effectively respond
to cyber incidents. Şirket, siber olaylara etkili bir şekilde cevap vermek için acil durum planları geliştirmiş
ve gemilerin bu plana erişimi saglanmıştır
Contingency plans include decision-making authority and communication flow. When a cyber threat is
discovered, personnel to be aware of the procedure to follow. In below illustrations, we summarise the
contingency plans for various scenarios, Acil durum planları, karar verme yetkisini ve iletişim akışını içerir.
Bir siber tehdit tespit edildiğinde, personelin takip edilmesi gereken prosedürün farkında olması gerekir.
Aşağıdaki resimlerde, çeşitli senaryolar için acil durum planlarını özetliyoruz.

Delivery of emails containing malicious files or links to m a l i c i o u s websites to seafarers. Kötü amaçlı
dosyalar veya kötü amaçlı web sitelerine bağlantılar içeren e-postaların denizcilere teslim edilmesi.
Cyber
Security AYKIN PAGE
DATE
22/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

What to do in case where Phishing / Malware/ Ransomware attack is suspected but not confirmed
Kimlik Avı / Kötü Amaçlı Yazılım / Fidye Yazılımı saldırısından şüphelenildiği ancak doğrulanmadığı durumlarda
ne yapılmalı

what to do in the case of a suspected Spoofing or manipulation of OT systems (GPS)/

Şüpheli bir sahtekarlık veya OT sistemlerinin (GPS) manipülasyonu durumunda ne yapılmalı

Hazard:- Losing position fixing capability

Hazard Effect :- Wrong or erratic data display on GPS data
Existing Controls: -
1) Terrestrial navigation - check Radar, ECDIS
2) Celestial navigation in open seas.
3) Coastal waters – utilizing PI, Secondary position fixing with known targets
Immediate follow up action - Contact IT support – IT Manager
Cyber
Security AYKIN PAGE
DATE
23/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

7. Incident Reporting, Response & Recovery/ Olay Raporlama, Yanıt Ve Kurtarma

7.1.1 Initial Notification - Vessel Incident Report – Company form

İlk Bildirim - Gemi Olay Raporu - Şirket formu

How the incident occurred Olay nasıl meydana geldi

Which IT and/or OT systems were affected Hangi IT ve / veya OT sistemleri etkilendi

Cause if know of the incident Olayı biliyorsan Nedeni

Extent to which the commercial and/or operational data is affected Ticari ve / veya operasyonel verilerin
etkilenme derecesi
To what extent any residual threat to IT and OT remains. IT ve OT'ye yönelik herhangi bir artık tehdit ne
ölçüde kalır.

7.1.2 Recovery Plan /Kurtarma planı

Following an initial assessment of the cyber incident, Siber olayın ilk değerlendirmesini takiben,

IT and OT systems and data should be cleaned, recovered and restored, so far as is possible, to an
operational condition by removing threats from the system and restoring software. IT ve OT sistemleri ve
verileri, tehditleri sistemden kaldırarak ve yazılımı geri yükleyerek mümkün olduğunca temizlenmeli,
kurtarılmalı ve operasyonel bir duruma geri yüklenmelidir.
All critical business Data is stored on the Server and a Backup is done automatically each night. Tüm
kritik iş verileri sunucuda saklanır ve her gece otomatik olarak bir yedekleme yapılır
Data recovery capability is achieved with ability to restore system and data from a secure copy or
image thereby allowing the restoration of a clean system. Veri kurtarma yeteneği, sistemi ve verileri
güvenli bir kopyadan veya görüntüden geri yükleme yeteneği ile elde edilir, böylece temiz bir sistemin geri
yüklenmesine izin verir.
Essential information and software-adequate backup facilities are available to ensure that data is
recovered following a cyber incident Bir siber olaydan sonra verilerin kurtarılmasını sağlamak için gerekli
bilgi ve yazılım yeterli yedekleme olanakları mevcuttur.

7.1.3 Investigating the Incident

Accident Incident Analysis report shall be used to analyze the root-causes of the Major incident and
determine corrective action and preventive measures to prevent similar incidents occurring again. Kaza
olay analizi, büyük olayın kök nedenlerini analiz etmek ve benzer olayların tekrar oluşmasını önlemek için
düzeltici eylem ve önleyici tedbirleri belirlemek için kullanılacaktır.

7.1.4 Prevent Re-Occurrence

Considering the outcome of the investigation, actions to address any inadequacies in technical and/or
procedural protection measures will be considered, in accordance with the company procedures for
implementation of corrective action.Soruşturmanın sonucu göz önüne alındığında, düzeltici eylemin
uygulanmasına ilişkin şirket prosedürlerine uygun olarak, teknik ve/veya prosedürel koruma önlemlerindeki
eksiklikleri gidermeye yönelik eylemler dikkate alınacaktır.
Cyber
Security AYKIN PAGE
DATE
24/24
20.10.2022
DENİZ NAKLİYAT A.Ş APPROVED BY DPA
Manual REVISION 00

7.1.5 Cyber Safety Experience Transfer Report

To achieve our objective of Zero cyber incidents, whenever any cyber incident occurs on board our
company ships, from which lessons may be learnt, as soon as the required facts are available, a report shall
be issued to share "what went wrong" and "what we can do" to prevent their occurrence in future.Sıfır
siber olay hedefimize ulaşmak için, Şirketimizin gemilerinde herhangi bir siber olay meydana geldiğinde,
derslerin öğrenilebileceği, gerekli gerçekler ortaya çıkar çıkmaz, gelecekte ortaya çıkmasını önlemek için
"neyin yanlış gittiğini" ve "neler yapabileceğimizi" paylaşmak için bir rapor verilecektir.

8.Records / Kayıtlar

Company Forms

Below c o m pa ny fo rm s are u p l o a d e d a n d av a i l ab le in P M S Software system/ Aşağıdaki

şirket formları PMS Yazılım sisteminde mevcuttur

 Company Risk Assessment

 Vessel Incident Report

 Company Accident Incident Analysis

 Company Cyber Policy

 Company Circuler abt. Cyber sec.

 Communication System recommendations

 Recommendations for ECDIS