图片来源网络仅供示意
国际海事组织(IMO)规定在2021年1月1日前将网络安全管理纳入船舶安全管理系统,这个最后期限即将到来。
8月11日,BIMCO安全主管Jakob Larson在SAS网络研讨会上说:“航运公司要为这个最后期限做好准备,就需要制定适当的网络风险评估(RA)。我们建议公司所使用的网络风险评估方法与船岸其他安全风险评估常用的方法相同,因为高级管理层清楚地了解这些语言、术语和方法。”
因此,负责实施网络风险管理的人员更容易得到全公司的理解,并以熟知的语言进行沟通,以明确的方式获得必要资源,以此来减轻网络风险。
DNV GL网络安全与安保组组长Jarle Blomhoff对此表示赞同,他表示网络安全意识需要贯彻到船员的思想里,或者说是 "人肉防火墙"(一种监控出入数字流量的网络安全系统)。
“船舶进行搁浅应急演习,为什么不为网络安全事故做类似的演习呢?这将使我们对漏洞有更深入的了解。IMO要求让程序启动并运行起来,但没有人实施的文件没有任何意义,需要给船员指派一些实际工作。”
1988年7月6日,海上平台Piper Alfa发生了一起备受瞩目的爆炸事故,导致167名船员死亡,海上网络安全(Cyber Mariner)高级顾问Cris DeWitt表示,现在风险评估和安全案例的建立已经成为船上安全文化的一部分。这些方面是纳入网络安全意识和评估网络风险的关键。工作安全分析很容易融入意识,比如在换班的时候,可能会有一个安全和网络安保的时刻。
网络安保与安全密不可分,我们需要将这种文化融入到船上。IMO的指导意见只是做了一套最低要求,还有很多文化点可以实施,以提高船舶的网络安全。
总之,将网络安全管理纳入船舶安全管理系统(SMS)并不像业界担心的那样复杂,使用既定的安全方法是实施的关键。
