疫情期间,航运业似乎成为了黑客们最主要的目标之一。各大航运公司陆续受到不同程度的网络攻击,甚至引发了全球供应链中断的担忧。相较其他的行业而言,应对迟缓的航运业需要更加积极地进行网络安全防护。
针对航运业的网络攻击3年内增长9倍
9月底,全球第四大集装箱运输和海运公司——法国达飞 CMA CGM SA 信息系统遭受勒索软件攻击。这次网络攻击直接导致达飞公司在中国上海、深圳和广州等办事处的服务中断,为防止恶意软件传播,达飞公司被迫关闭网络。
紧接着,3天后,国际海事组织(IMO)宣称,其IT系统遭受高级网络攻击,导致其多项网络服务和官网无法使用。短短一周内,连续发生了两次重大的网络袭击事件,这对航运业所造成的的损失是非常巨大的。
据相关数据统计,过去三年以来,针对航运行业的运营技术(OT)系统的网络攻击增加了900%,到今年年底,报告的网络攻击事件数量将达到创纪录的数量。以色列网络安全公司Naval Dome报告称,光是今年2月以来,针对航运业的袭击数量就已经飙升了400%。欧洲最大的保险公司——德国安联集团在2019年的报告中,将网络安全定义为影响航运行业安全的第二大风险。
航运业网络安全这一问题已被讨论了近十年,十年间,船舶迅速朝自动化、集成化趋势发展,甚至能与数字网络相连接。根据航运咨询公司HudsonAnalytix 2019年的调查,过去3年中,各类船舶的互联网连接量翻番或增长三倍。船舶、港口的智能化建设带来更广泛的互联网连接,航运业对数字服务的依赖逐步增加,加上今年疫情的干扰更为网络攻击提供了契机,为网络威胁打开了新的大门。
海上网络安全公司Naval Dome业务发展副总裁Ido Ben-Moshe表示,在疫情期间和之后,远程工作和远程控制、自主技术的增长可能会加速,“如果不采取适当的保护措施,这将使航运公司面临新的网络安全挑战。”
航运业防范意识依旧落后
总部位于丹麦的网络安全公司Improsec通过对密码的设置、面向客户的Web服务和电子邮件系统三个参数评估了一些航运公司的IT安全。发现相较以前,使用密码的安全性有所提高,但其网络安全和电子邮件安全仍然相对较差。
其中,只有14%的航运公司实现了电子邮件身份验证协议DMARC(基于域的消息身份验证、报告和一致性)。四分之一的航运公司没有足够的措施来保护其Web服务,这些措施包括诸如交易和客户平台之类的外向工具。四分之一的航运公司仍使用HTTP,这是用于Internet上通信的非加密协议,意味着从客户的网络浏览器发送到航运公司的网络服务器的信息可以被任何人读取。
现如今,越来越多的企业意识到网络安全除了IT问题之外,对运营技术(OT)或控制系统同样有潜在影响。航运业的IT 包括办公室、港口和石油钻机的系统,OT 则涵盖更多种类,包括动力控制及相关系统、货物管理系统、导航系统、管理系统等。安全专家认为驾驶台系统、货物装卸系统、动力控制系统以及防护不佳的岸基系统将会易于受到网络攻击的影响。
此外,航运咨询公司HudsonAnalytix确认了船舶生态系统有20个子组件。由于港口运营参与方众多,港口生态系统则具有更高的复杂性。欧盟发布的《航运行业网络安全最佳实践》中,大型港口拥有高达900个相关利益相关方。
在全球推进数字化过程中,航运相关机构还没有为已经到来的攻击做好准备,航运业似乎对网络安全的警告反应迟缓。早在数年前,安全专家就已经提醒关注针对全球航运业的网络攻击。2014年,国际海事局警告称,全球运输和供应链可能会成为“黑客的下一个乐园”,知名咨询机构毕马威(KPMG)甚至将黑客称为“新海盗”。
网络攻击导致的数据丢失,将引发更加严重的后果,例如船舶搁浅、碰撞,货物被劫持,甚至船员丧命,以及船载有害物质对环境造成严重影响。但根据安全人员利用开源情报工具的分析,甚至国际海事组网站使用的仍是存在安全漏洞的老版本微软SharePoint。
全球法规亟待完善
2011年,欧洲网络信息安全局(ENISA)发布了第一套网络安全指南。此后,美国海岸警卫队(USCG)发布了一份全面的报告,BIMCO也发布了一套与此相关的指南。
近日,美国海岸警卫队(USCG)又发布了《网络风险管理指南》,将网络风险作为港口国监督检查(PSC)的内容之一,并表示于2021年1月1日对所有和美国有贸易往来的船舶生效。
2021年开始,网络安全问题将被列入IMO定期维护体系Planned Maintenance System(PMS)和安全管理体系Safety Management System (SMS)中,新规简称“IMO 2021”。
新的网络安全指南要求船东在今年年底之前加强数字安全措施,包括风险识别,风险检测,资产保护,风险应对以及攻击恢复等。根据国际海事组织的网络安全指南要求,航运公司需要实施各项政策保护船舶不受网络攻击。
人为操作和相关的培训和行为准则是最大的弱点。据统计,2015年,只有12%的航运人员接受了网络安全培训。波罗的海国际航运公会(Bimco)2017年的报告显示,只有47%的航运机组人员了解网络安全政策或网络卫生准则。此外,寻找和雇用具有复杂海事技术和工业设备知识的网络安全专家也是一大难题。
国际海事组织认为这些新规则至关重要,但大多数网络安全专家一直就此问题向国际海事组织(IMO)警告:IMO 2021的安全要求还远远不够。
网络安全防御升级中
近期,相关组织采取了不同的方法,进一步加强航运网络安全防护。据Tradewinds报道,ABB集团和挪威船级社DNV GL为一艘大型邮轮授予了网络安全认证,这一行为代表行业迈出新的一步。韩国船级社已向2009年建造的Songa Hawk轮授予了整套网络安全合格证书。
9月份,以色列航运公司ZIM宣布与网络安全专家Konfidas合作,成立了一家新的子公司ZKCyberStar,将提供针对海运行业量身定制的全方位网络安全服务,包括网络和监管态势,战略和计规划,网络意识和高管培训,事件响应能力,供应链风险管理,持续的威胁情报,监管警报和简报等。
11月13日,大连海事大学-奇安信船舶网络安全实验室成立,这是国内首个船舶网络安全实验室。实验室通过对传统船舶与智能船、无人船的网络安全实践应用,将网络信息安全技术应用于航海领域,为智慧航海提供网络安全保障。实验室将促进船舶网络安全创新技术和科技成果及时转化,实现人才与产业融合发展,为推动我国航运现代化、智能化建设和国家“一带一路”战略发展做出贡献。
(综合海事服务网CNSS、搜航网、虎符智库、信德海事)
