数字化发展日新月异,其发展印记遍布全球各行各业。
然而,随之而来的网络安全问题引起了大众的担忧。
2024年7月19日,“微软蓝屏”登上热搜。
不少打工人随即晒出电脑蓝屏画面,关注度高的背后,是数字化快速发展过程中日益凸显的网络安全问题。
安全警钟鸣响
2024年7月19日,美国网络安全企业“群集打击”(CrowdStrike)软件出现问题并引发了操作系统蓝屏、全球宕机事件。
此次微软蓝屏影响全球近千万台使用Windows的设备,导致生活相关的各个行业陷入混乱,包括航空公司、银行、电信公司和媒体、健康医疗等。
航运业也在此次事故中受到波及,不少航运公司的船舶和岸上系统都受到了影响,同时,一些地区的港口运营和物流运输也受到了影响,例如美国外国货物处理量最大的港口休斯顿港、波罗的海最大港口之一的波兰格但斯克港、英国规模最大的集装箱港口费利克斯托港等,当天均因CrowdStrike系统的技术故障而暂时停止运营。
近十多年来,航运业的数字化发展已取得重大进展,网络安全问题的讨论也一直伴随行业发展成为航运业的重要议题。
因为一旦遭遇网络攻击,不仅给企业带来高昂的代价、造成重大损害,同时还将影响岸上和船舶作业的安全。
2017年至2020年,是航运业遭遇网络攻击的爆发期,夏礼文律师事务所(HFW)的全球航运主管Paul Dean表示:“在截至2020年的最近3年内,对航运业的网络攻击增加了900%。每10秒就有一次勒索软件攻击。”
2017年6月,名为Petya的网络病毒袭击全球,多家知名航运企业及管理公司业务单元的IT系统受到影响,遭受重大损失。
马士基就在被波及名单中,因此次网络攻击事件导致的经济损失约2.5亿至3亿美元。
2020年4月,地中海航运(MSC)疑似遭遇黑客袭击,公司官网陷入瘫痪,无法正常登录和使用,事发5天后才恢复正常。
2020年和2021年,达飞海运(CMA CGM)在一年间遭遇了两次网络袭击,旗下众多全球网站也都陷入瘫痪,无法正常提供服务。
2020年5月,世界最大船舶管理公司之一的中英船管(Anglo-Eastern)遭到勒索软件的攻击,官方网站无法打开。
好在事态很快就被控制住,据称并没有发生数据丢失。
2020年9月,国际海事组织(IMO)遭遇网络攻击。
这些网络安全事故给航运企业敲响了警钟,也引起了IMO的关注与重视。
2017年,IMO海上安全委员会(MSC)第98届大会正式批准了《海事网络风险管理指南》(MSC-FAL.1/Circ.3),该通函为航运企业应对船舶网络安全提供指导。
此外,本次会议还通过了MSC.428(98)号决议——《安全管理体系中的海事网络风险管理》,强调经批准的安全管理体系应结合ISM规则的目标和功能要求考虑网络风险管理,IMO鼓励不迟于2021年1月1日之后的首次《符合证明》(DOC)年度审核时,完成海事网络风险管理的实施。
2024年8月,IMO推出了最新网络安全工具包,旨在帮助全球海运业更好地应对不断变化的“内部威胁”。
2018年,国际船级社协会(IACS)发布了针对船舶网络安全的12项建议案(REC153-164)。
2020年4月,IACS发布了新的网络弹性建议案REC166,该建议案对12项建议案进行了整合,适用于使用数字通信将船内系统与船舶系统互连的船舶网络系统以及船外设备或网络能够访问的船舶系统。
2023年,IACS推出最新URE26/27船舶网络安全要求。
为了帮助业界更好地应对日益严峻的船舶网络安全问题,中国船级社(CCS)在IMO MSC第98届大会之后便立刻发布了《船舶网络系统要求及安全评估指南》(2017),旨在规范船舶网络建设,指导船舶网络安全评估,提升船舶网络风险意识,提高船舶网络安全防御能力,为智能船舶提供条件与保障。
2019年,CCS又发布了《海事网络风险评估与管理体系指南》,该指南已于2020年2月1日生效。
2020年1月,CCS对2017版指南进行改版,推出了全新《船舶网络系统要求及安全评估指南》(2020)。
2023年3月,CCS结合IACS船舶及系统的网络韧性新要求(UR E26/27)、IMO的MSC 428(98)决议及海事网络风险管理指南、IEC有关船舶设备及等标准的最新要求,在CCS《船舶网络系统要求及安全评估指南》(2020)指南实施实践的基础上,进行了修订,调整了船舶网络安全分级,细化了船舶及系统的网络安全技术要求及检验验证要求,形成了《船舶网络安全指南 》(2023),2024年CCS对指南进行修订,形成《船舶网络安全指南》(2024),于7月15日起正式生效。
提升安全等级
全新的要求、指南以及工具包,都是为了帮助业界更好地应对日益复杂的网络安全威胁。
那么,新要求和新工具包重点关注了哪些突出的网络安全问题呢?
IACS UR E26/27。
为了增强船舶网络安全韧性,IACS于2022年4月正式发布了两项新的统一要求UR E26《船舶网络韧性》和UR E27《船载系统和设备的网络韧性》,并明确要求对于建造合同日期为2024年1月1日及之后的船舶强制执行。
新要求旨在通过提升船舶与外界之间的网络安全或者船舶内部系统之间的网络韧性,降低船舶人员数据、人身安全、船舶安全及威胁海洋环境的网络攻击可能性。
之后经过一年的讨论与研究,IACS于2023年9月发布了UR E27(Rev.1),适用于建造合同日期改为2024年7月1日及之后的新造船,同时撤销了之前的版本。
UR E27(Rev.1)在原版内容基础上进行了3个方面的修订:
一是将所有船载计算机(CBS)的安全能力要求根据不同的防护目标进行了归类,并将“输入有效性”要求从一般要求变更为与不可信网络连接时的附加要求。
二是增加了符合性证明要求,明确了船载系统和设备开展符合性证明的流程,包括图纸审批、检验和工厂试验要求。
三是为应对在小型及非传统船舶上实施新要求面临的挑战,根据船舶的类型和尺度将UR适用的范围分为强制性和非强制性。
IACS于2023年11月发布了船舶网络韧性统一要求UR E26(Rev.1),适用于2024年7月1日及之后签订建造合同的新造船,同时撤销了之前的版本。
UR E26(Rev.1)在原版内容基础上进行了3个方面的修订:
一是新增了适用的船舶类型,并优化了适用的系统范围。
二是针对各项具体要求增加了符合性验证要求,并新增符合性验证章节,明确了从设计、建造、调试和营运各阶段应提交的材料及相关要求。
三是针对免除要求的CBS的风险评估,优化了接受准则。
CCS《船舶网络安全指南》(2024)。
指南提出了安全性、网络通信及可靠性的基本要求,对船舶网络安全进行分级。
该指南还结合UR E27以及IEC 62443-3-3对不同网络安全级别的船舶计算机系统及网络设备提出具体要求,并提出了计算机系统/设备安全开发的程序要求以及检验要求。
该指南结合UR E26以及等级保护2.0等相关要求,针对船舶M、P、S网络安全等级分别制定了具体要求,涵盖管理体系、识别、保护、监测、恢复、响应等方面。
此外,该指南还提供了详细的船舶CBS风险评估方法和可行的船舶网络安全管理要求。
IMO网络安全工具包。
IMO所提的“内部威胁”是指海事行业从业者由于意识缺乏、自满或恶意而实施或促成安全事件所产生的风险。
根据IMO的说法,对于那些不断寻求利用港口和船舶安全控制漏洞的恐怖分子和有组织犯罪团伙来说,内部人员可以提供战术优势,因为他们拥有访问安全地点、物品或敏感信息的特权。
为解决这一问题,IMO开发了这一专门针对内部威胁的网络安全工具包,该工具包包含了各种安全措施做法,包括背景调查和审查、出入控制措施、巡逻、监视和监测、先进技术和人工智能的使用等。
该工具包可供在海洋环境中运营的任何组织使用,包括海洋管理局、指定当局、航运公司、港口运营商以及其他海洋利益攸关方。
加装防护网
随着网络安全风险的日益严峻,相关监管法规与要求也逐步升级。
为更加有效应对这一全球性挑战,采用最新技术成为破解难题的关键路径。
近年来,行业各方积极开展了多项技术探索与创新实践,旨在为网络安全风险筑起“防护网”。
全球移动卫星通信网络的领先者Inmarsat推出了网络安全解决方案Fleet Secure。
这是全球首个专为海事行业设计的网络安全解决方案。
Fleet Secure结合了三个强大的组件:Fleet Secure Endpoint(FSE)、Fleet Secure Unified Threat Management(UTM)和Cyber Awareness Training(CAT),所有这些组件都旨在主动应对潜在威胁。
FSE可监测全船系统终端处所产生的安全漏洞,无论是恶意软件还是未安全安装的新设备(例如船员笔记本、USB、船上传感器等),FSE都将实时自动监控、识别并阻止任何威胁。
此外,FSE还可提供安全报告和风险评估报告,以供相关方更清楚了解船舶的安全状态,同时还可在需要时作为港口国检查的材料。
UTM是一套全面的网络安全工具,已整合在一台设备中,专为海事行业设计,用于持续检查、探测和保护整个船舶网络。
CAT是为海员提供有效的网络安全培训,旨在防止威胁升级为全面的网络攻击。选择Inmarsat网络安全解决方案的公司包括意大利知名船东Navigazione Montanari、太平洋气体船(香港)控股有限公司(Pacific Gas)等。
Marlink网络安全产品组合。
Marlink拥有完善的网络安全产品组合,包括风险管理、威胁检测、端点检测和响应、网络威胁情报、运营技术(OT)安全、安全远程访问、安全运营中心(SOC)。
随着安全威胁的增加,Marlink开发了该产品组合的最新成员——CyberGuardUTM,安全功能包括应用程序控制、网络过滤、入侵防御和防范病毒。
该解决方案今年还获得了知名海事媒体Safety4sea颁发的2024年SMART4SEA网络安全奖,理由是该方案使客户能够抓住数字化趋势,同时最大限度地保护其IT和OT资产免受网络安全威胁。
选择Marlink网络安全产品的公司包括全球最大集装箱船运营商地中海航运(MSC)、丹麦知名油轮船东Uni-Tankers等。
CyberOwl推出的海事领域网络安全监控和分析系统Medulla。
该系统用于运营资产的网络安全监控和分析,Medulla可帮助用户获得可见性、安全性和合规性。
该系统可实时可视化整个船上系统的网络风险;
可提供网络攻击早期预警,并确定补救优先级;
可提供内部威胁管理,搜索船上意外或故意的不安全行为;
可提供控制验证,提供证据表明网络安全政策得到适当实施、最新且有效;
可提供合规自动化,简化、标准化和自动化网络安全审计报告,使其符合IMO标准。
此外,该系统提供专家托管服务,最大限度地减少损失并防治未来的网络攻击。
选择CyberOwl网络安全产品的公司包括以色列船王Idan Ofer旗下东太平洋航运公司(EPS)、希腊著名船东Metrostar、知名干散货船东Star Bulk等。
除了这些在行业内广为人知且具有显著影响力的案例之外,行业内还有许多其他致力于网络安全的解决方案,这些方案的共同目标都是为了提升网络安全性,共同行业数字化发展构建起一道坚固的防线。
免责申明:本文来自中国船检;仅代表作者观点,不代表中国海员之家立场。其真实性及原创性未能得到中国海员之家证实,在此感谢原作者的辛苦创作,如转载涉及版权等问题,请作者与我们联系,我们将在第一时间处理,谢谢!联系邮箱:cnisu@54seaman.com