APPENDIX 2: Contingency Plan for Vessel 1. Procedure DERINSU UNDERWATER ENGINEERING AND CONSULTANCY SERVICES LTD CO. in order to protect office equipment and system from cyber-attacks has developed this plan. Plan is based in the following rules: a. Identification of possible systems to be under attack b. Actions to be taken for response c. Contact details Recovery plans should be accessible to officers on board in accordance with their responsibilities defined in the plans. The purpose and scope of each specific plan should be defined and understood by the officers and potential external IT personnel. Essential information and software backup facilities should be available to ensure recovery can take place following a cyber incident. Recovery of essential ship or system functions related to the safe operation and navigation of the ship may have to take place with assistance from ashore. How and where to get assistance, for example by proceeding to a port, needs to be part of the recovery planning carried out by the ship in cooperation with the ship owner or operator. 2. Vulnerability In order to determine the vulnerability of an equipment or system DERINSU UNDERWATER ENGINEERING AND CONSULTANCY SERVICES LTD CO. assessed the factor of how easy and/or common is for the equipment to be cyber-attacked. There are three levels of vulnerability: • Low: System can be difficult attacked or blocked • Medium: System may be attacked and under significant circumstances may be out of order of blocked / hacked. • High: System can very easily attacked/damaged or hacked by cyber-attacker

EK 2: Gemi için Acil Durum Planı 1. Prosedür DERİNSU SUALTI MÜHENDİSLİK VE MÜŞAVİRLİK HİZMETLERİ LTD.ŞTİ. ofis ekipman ve sistemlerini siber saldırılardan korumak amacıyla bu planı geliştirmiştir. Plan aşağıdaki kurallara dayanmaktadır: A. Saldırı altında olabilecek olası sistemlerin belirlenmesi B. Yanıt için alınacak önlemler C. İletişim detayları Kurtarma planları, planlarda tanımlanan sorumluluklarına uygun olarak gemideki zabitler tarafından erişilebilir olmalıdır. Her özel planın amacı ve kapsamı, görevliler ve potansiyel harici BT personeli tarafından tanımlanmalı ve anlaşılmalıdır. Bir siber olayın ardından kurtarmanın gerçekleştirilebilmesini sağlamak için temel bilgiler ve yazılım yedekleme olanakları mevcut olmalıdır. Geminin güvenli işletimi ve seyrüseferiyle ilgili temel gemi veya sistem işlevlerinin kurtarılması, karadan yardım alınarak gerçekleştirilmelidir. Örneğin bir limana giderek nasıl ve nereden yardım alınacağı, geminin gemi sahibi veya işletmecisi ile işbirliği içinde yürüttüğü kurtarma planının bir parçası olmalıdır. 2. Güvenlik açığı DERİNSU SUALTI MÜHENDİSLİK VE DANIŞMANLIK HİZMETLERİ LTD ŞTİ., bir ekipman veya sistemin güvenlik açığını belirlemek için, ekipmanın siber saldırıya uğramasının ne kadar kolay ve/veya yaygın olduğu faktörünü değerlendirdi.Güvenlik açığının üç düzeyi vardır: • Düşük: Sistem zor saldırıya uğrayabilir veya engellenebilir • Orta: Sistem saldırıya uğrayabilir ve önemli koşullar altında engellenebilir / saldırıya uğrayabilir. • Yüksek: Sistem, siber saldırganlar tarafından çok kolay bir şekilde saldırıya/hasara uğrayabilir veya saldırıya uğrayabilir