北英格兰保赔协会将人道主义带入网络合规

2020-10-03 20:23来源： 信德海事苏婉

在这篇文章中，Colin Gillespie先生，北英格兰保赔协会(North P&I Club)的主管，分析了一个组织的网络弹性（衡量一个组织在遭受数据泄露或网络攻击期间,保持其业务正常运营能力的一个指标）的要点，强调雇佣合适的人是网络安全的核心。

为了满足国际海事组织2021年的指导方针所提出的期望，要实施系统的网络弹性，就需要在人类层面上改变行为。

一般来说，船东和运营商对网络威胁可以采取两种应对方式:技术应对(处理设备和系统);以及程序响应(关注系统是如何使用的以及人是如何与之交互的)。

技术提升可以带来快速起效，企业在网络安全方面的政策可能是一致的、明确的、经过演练的，但人的行为没有改变也会破坏这些政策的效用。改变指需要改变做法和态度，提高认识和进行培训。所有这些都需要时间，而且在一定程度上，还取决于改变的意愿。

IMO决议(MSC.428(98))要求安全管理系统包括网络风险管理。新规定将不迟于2021年1月1日以后船舶的第一个年度合规验证文件。

为了遵守这一规定，船东和船舶需要对其IT、操作技术系统和船员进行风险评估，以展示对网络攻击的防范能力，以及在系统受损时应采取的行动。

在“IMO 2021”出台之前，该指南仍在进行调整，这表明网络安全是一个需要持续和全面处理的问题。

例如，BIMCO将很快发布经修订的《船上网络安全指引》，更新船员培训、SMS中的风险评估程序、任何船舶安全计划中必须包含的基本网络风险，以及卫星系统漏洞等不同主题。

距离2021年只有短短几个月的时间，积极主动的船东或管理者可以有效地进行网络合规自我评估。

自我评估标准

今年年初，在与HudsonCyber的联合倡议中，North邀请成员在有时间限制的基础上免费访问HACyberLogix网络风险管理平台。该系统符合许多行业指南，包括IMO自身的2021年网络安全指南，如msc - fal1 /Circ.3中所述。它还支持虚拟化协作，支持企业网络安全计划(非常适合在疫情环境中运行)。

HACyberLogix评估工具是一个三层网络风险管理工具，包括12个自我评估域，用于评估公司如何收集网络安全能力信息，以识别和管理漏洞。每个领域的设计涵盖了组织网络安全有效性的不同方面。该模型在一份机密报告中对结果进行分析和基准，以确定一个组织的“网络能力”，其中包括旨在改善网络风险管理的优先建议。这些建议有效地作为组织实施和维持网络安全计划的路线图，该计划与成员SMS固有的变更规程管理相一致。

当然，当他们的网络风险管理进行审查时，每个北英格兰保赔协会成员建立的优势和劣势仍然是保密的。可以披露的是，近40个成员国已经完成了HACyberLogix“一级”网络风险管理评估。

一系列的网络研讨会对该平台的虚拟性质、可按需访问性和处理多个用户的能力的评价都很积极。由于HACyberLogix方法涵盖了成员组织的所有方面，从而推动了跨职能协作，因此它作为一种催化剂，推动了人类层面的文化变革。

完成第1级将使用户了解他们的网络恢复能力，并可以将网络风险管理纳入SMS。Cyberlogix软件包的2级和3级可用于更详细和彻底的评估。

这一方法与SCORA(安全文化组织评估)相一致，后者是由North的损失预防小组和Green-Jakobsen在2019年推出的一种针对高级船员和岸上管理者的工具，受到了一些好评。SCORA通过对安全领导能力、健康和福祉、学习/发展、报告文化和风险管理等方面的评分，来报告一个组织的“安全能力”。

网络文化转变

North的观点是，雇佣“合适的人员”是网络韧性的核心。该俱乐部认为，提高意识的活动，结合定期测试网络安全基础，是启动行为改变的一种方式。

显然，面对不断发展的威胁，如果要在岸上和海上实现网络弹性，提高警惕是至关重要的。在这里，适当的工具可以使网络安全最佳实践成为日常业务意识的一部分。将人置于网络安全弹性的核心是保护公司安全的关键。