网络风险管理指南将于2021年1月1日起生效,适用于所有前往美国的船只。
USCG检查指南Q&A
1. 指南对谁产生影响?
在美国进行贸易或经营的所有船旗国的船东设备和海上设施。
2. 当USCG检查船舶/设施时,他们在寻找什么?
理想情况下,他们会找到一艘将网络安全纳入SMS中的船只,并且有足够的书面证据来证明这一点。然而,他们的任务是寻找不良网络环境的证据,包括但不限于以下方面:
A.不良的网络环境(例如公开显示的密码/登录名、常规登录名或没有登录名、软件/系统一段时间不使用后没有自动注销、严重依赖USB驱动器以及在使用前没有明显的病毒检查手段)。
B.船舶计算机上有恶意软件-弹出窗口/任何勒索软件。
C. 影响船上系统的不寻常网络活动/可靠性问题的记录或投诉。
D.疑似来自船长/船员的伪造/钓鱼电子邮件。
3. 如果发现网络安全存在缺陷怎么办?
如果发现任何网络环境不佳的迹象,检查官员被授权进一步询问是否存在缺陷,但仅限于为船舶的安全操作或航行所需的系统。不影响船舶安全操作或航行的独立系统或其他系统不应接受检查或审核。
提醒船东可以通过船上的八个关键系统进行网络安全检查:压载控制、发动机和推进控制、舵机控制、货物控制、导航(ECDIS /GPS)、雷达、卫星和3/4/5G通信以及船上福利系统。
最关键的是,如果MI/PSCO发现该船存在处理不当的缺陷,或因此而断定该船不再符合《海上人命安全公约》,因此不适合航行,该船很可能会被拘留。
4. 对于缺陷,检查官员如何处理?
当显露或发现缺陷时,检查官员通常有以下三种选择:
1.如果SMS中未包含网络安全风险管理,检查员可以发布一个缺陷以及行动代码30-即扣留船舶。
2. 如果MI清楚的知道船舶SMS中存在网络组件,但没有遵守(有不良网络环境的证据),检查官员可以发布行动代码17的缺陷-即船舶在离开前进行整改。
3. 如果或有证据表明,已经将网络安全纳入SMS中的船舶存在严重的网络安全漏洞,检查官员可以发布行动代码30的缺陷-即扣留船舶。
5. 船舶能被扣留吗?
是的,如上文所述。简而言之,如果网络风险管理没有实现或允许以这样一种方式实现,或未能防止网络安全事件,要么面临行动代码17即接受在到达下一个港口之前补救缺陷或面临行动代码30即扣留船舶,直到缺陷修复完成。
6. 船舶如果存在缺陷,船东应该如何应对?
如果有缺陷,并且在任何情况下,在重新进入美国之前,船东将需要在3个月内进行外部审查。如果缺陷更多的是偶然失误,船东将不得不在90天内进行内部审查,并且缺陷必须在出发前解决。
7. 如果船舶是一艘悬挂美国国旗的船呢?
类似的规则也适用:如果遵守2018年4月16日CVC-WI-004(1) 中解释的国际安全管理规则,则将按照《联邦法规》第33部分96颁布的规则操作,如携带超过12名乘客;排水量超过500GT;或参加替代合规计划。同时,船东也将服从CVC-WI-003规定,其中详细说明了USCG监督悬挂美国国旗船舶的安全管理系统。
评论
美国海岸警卫队提醒悬挂外国国旗的船舶经营人,如果他们到达美国港口没有符合所需的(尽管非常基本的)网络安全/网络环境规定,将面临船舶被扣押的风险,或至少需要进行快速修复。
文件中有迹象表明,网络安全将开始被视为海上适航的基本条件。很明显,USCG并不关心船舶悬挂哪一国旗帜—要么是符合要求,要么是有缺陷需要修复,否则这艘船就会被扣押。不太清楚的是,为什么USCG在他们的指南中为保护环境故意淡化了网络解决方案的要求。
美国海岸警卫队已经认识到,其他网络风险评估框架也在使用中(例如,BIMCO和ISO/IEC等国际组织所做的工作)。虽然他们显然更喜欢NIST标准,但也认识到IMO的评估遵循了这个框架的大致方向,因此也准备与之合作。
结论
船东需注意:船东应确保前往美国港口的每艘船舶都有清晰的网络系统安全相关的文件、标准和程序,以确保海事检查员/ (“PTSC”)对船舶网络安全风险管理方法有信心。即使关键系统中最小的故障也需要紧急和专业的补救。如果船舶抵达美国港口时发现关键系统出现故障,将被要求立即进行修复,通过审核,并能够在下次到港时向PSCO保证问题已彻底得到解决。否则,船舶将被扣留。
03-16 来源:石珣 中国船检
03-13 来源:中华人民共和国海事局
07-15 来源:青岛海事
05-16 来源:陈维工作室 浦东海事
10-08 来源:连云港海事
01-11 来源:航运运价交易SSEFC
09-08 来源:Capt.Jin 我的航海世界
11-04 来源: 海事综合服务平台
01-04 来源:青岛海事
09-23 来源:国际航运法律研究
