网络风险管理是一场“马拉松”

2021-04-05 21:23来源： 信德海事网

网络风险管理是一场“马拉松”

信德海事苏婉

随着国际海事组织对网络风险管理的新要求迫在眉睫，Campbell Johnston Clark (CJC)律所的高级律师Richard Murray和技术公司IEIT Cyberlogic认为，使船舶真正实现网络安全是一项马拉松而非短跑运动。

根据 Resolution MSC. 428(98)，国际海事组织管理机构要确保在安全管理系统中适当地处理网络风险，对船舶合规性文件进行首次年度核查，最迟不得晚于2021年1月1日。

该决议最初是在2017年6月通过的，虽然可以原谅许多利益相关者因这动荡的一年而分心，但航运合规的另一个最后期限即将到来。

然而要记住，'IMO 2021'不是在真空中制定的。二十多年来，管理海事领域的网络风险一直是一个热门话题，2003年“CL380协会网络攻击除外条款”一经发布，保险公司就其涉及的概念迅速理解并全面采纳，许多保赔协会也采用了相同语言的变体。

传统的网络免责条款

该条款排除了对 “因使用或操作任何计算机、计算机系统、计算机软件程序、恶意代码、计算机病毒或程序或任何其他电子系统作为造成损害的手段而直接或间接造成、促成或引起的损失。”

起草的广泛性导致人们误以为该条款排除了与网络相关的所有损失，但事实并非如此。排除的条件是，必须存在旨在利用计算机或电子系统造成 "恶意 "损害的危险。即使某种损失与网络事件或过程有关，也不应认为在任何情况下都可以排除承保。

然而，在保单条款对网络保险范围未作规定的情况下，船东保险公司都在考虑某些非恶意网络相关损失是否真的得到了承保。例如，在装有自动索具或推进器的超级游艇上，意外下载错误软件，所造成的损失仍可能引起承保索赔。

2019年1月30日，英国审慎监管局（PRA）致函所有公司，指出应通过改进量化评估、索赔专业知识和增加风险知识，提高保险商对已确认和未确认网络风险的认识。

改变风险认知

在对CL380的概念有争议的索赔中，英国法院没有作出任何司法裁决，这或许给人略带误导性，认为投保人与网络保险的第一损失保险人之间可以进行讨价还价。

风险所有者对网络事件的认知也是相对不对称的，由于越来越担心岸上系统被黑客入侵，通过精心设计的网络钓鱼和欺骗手段转移租金或运费，航运公司购买了相应的商业责任保险，但事实上船舶因网络攻击而遭受的物理损失的可能性似乎要小得多。

然而，面对广为人知的网络事件的威胁、更严格的监管环境、政府已经对关键部门施压。2019年7月4日，伦敦劳埃德公告（编号：Y5258）规定，2020年1月1日或之后生效的损失保单都要向投保人提供明确的网络保险，保险是在基于一切险还是指定险、是否适用于续保和新业务，这些规定都需要进行明确的澄清。

预防损失与管理索赔

2020年11月3日，英国国家网络安全中心（NCSC）公布了该组织成立以来的第四次年度评估；据报道，今年处理了723起网络安全事件，创下历史最高纪录。

从2021年1月起，所有的船舶安全管理计划都必须包括网络风险评估。，网络攻击本身是恶意行为，在一个网络威胁在不断增加的时期，不要畏惧对抗这些攻击。IMO决议鼓励所有船舶，通过更好地了解其当前的安全态势和理想状态，开始其网络风险管理之旅。

正如IEIT进一步解释的那样，船舶及其机械设备可能不是唯一的弱点。船上的船员往往是最容易被网络攻击的目标，通过网络钓鱼，恶意软件等，为此，网络风险意识和培训在进一步保护船只方面有很大的作用。

同时要制定政策，升级访问控制、连接和防火墙的工具也将有助于防止入侵。此外，还必须有最新的备份，以便在出现攻击时能够快速有效地恢复。

在决定是否接受包括网络保险在内的海上保险时，风险所有者要能够履行其对保险公司的责任，公平陈述该风险的弹性政策和程序细节，航运业在这一领域需要继续创新。

综上所述，值得注意的是，增强网络适应力的道路是一场马拉松，而不是短跑。航运业的每一个利益相关者都在学习的过程中。承保人在提供明确的承保范围条款时，将越来越熟练地审查船东的网络管理实践，而不断变化的风险将需要持续监测，以达到预防损失和管理索赔的目的。