航运公司网络风险安全管理建议

图片来源网络仅供示意

一、相关案例

2017年6月27日，马士基IT系统遭受网络攻击，数据显示，因系统遭受攻击马士基损失近2.89亿美元，这个数字已经超过马士基2017年上半年总利润2.73亿美元。

2018年7月，全球第三大集装箱船舶航运公司——中远集团，遭到勒索软件恶意攻击，恶意攻击活动持续了数周之久。

2020年4月，全球第二大集装箱船和供应船运营商(瑞士/意大利)地中海航运公司受到未知的恶意软件攻击，导致其数据中心瘫痪数日。

2021年6月，韩国大型班轮公司HMM 受到网络攻击。该公司的声明显示，公司多个地区的电子邮件服务器受到了严重影响。

2020年8月，全球最大的邮轮运营商嘉年华公司(Carnival Corporation)遭受勒索软件攻击。

2021年9月，法国航运公司达飞轮船CMA CGM官网确认其再一次遭遇了网络袭击。这是这家全球第三大船公司自2020年9月份遭受黑客攻击后，再次受到类似攻击。

二、海上网络风险

海上网络风险是指技术信息或系统被破坏、丢失或泄露，从而影响船舶运输相关操作的安全保障，使航运资产受到威胁。

三、法规和规范要求

国际海事组织（以下简称IMO）第98届大会通过《安全管理体系中的海事网络风险管理》（MSC.428(98)）的决议，IMO 鼓励各国政府不迟于 2021年1月1日之后的首次符合证明年度审核时，核查安全管理体系是否包括了网络风险管理的相关内容。

便利委员会第41届会议和海上安全委员会第98届会议上批准的MSC-FAL.1/Circ.3通函《海事网络风险管理指南》，其提供的关于海事网络风险管理的建议可纳入现有的风险管理过程，并对IMO建立的安全管理方法予以补充。

四、易受攻击的网络系统

《海事网络风险管理指南》中提出易受攻击的网络系统包括：

1、驾驶台系统；

2、货物装卸和管理系统；

3、推进和机械管理及动力控制系统；

4、门禁系统；

5、旅客服务和管理系统；

6、面向旅客的公共网络；

7、行政和船员福利系统；

8、通信系统。

五、网络风险管理的功能要素

根据《海事网络风险管理指南》要求的网络风险管理的功能要素包括“标识、保护、发现、响应、恢复”5个方面。

1、标识：

确定网络风险管理人员的角色和职责，并标识在受到干扰时会给航运带来风险的系统、资产、数据和功能要求。

2、保护：

实施风险控制流程和措施以及应急计划，实现网络事件的防范并确保航运运营的连续性。

3、发现：

制定实施必要的活动以及时发现网络事件。

4、响应：

制定计划与实施活动，提供恢复能力并恢复航运运营或服务中因网络事件而受损的必要系统。

5、恢复：

明确相关措施来备份和恢复航运运营中受网络事件影响的必要网络系统。

六、建议

结合《ISM规则》具体条款对航运公司升级优化安全管理体系提出相关建议：

标识方面：

1、建议更新安全管理体系的安全与环境保护方针（ISM 2.1)，在将网络风险管理作为安全与环境保护方针的一部分。

2、建议更新安全管理体系中的责任和权限（ISM 3.2)，如包含将遵守网络风险管理方针和程序纳入船长和船上相关责任人员的现有责任和权限；规定公司岸基海机务人员和IT技术人员的职责和权限。

3、建议将网络管理体系的培训项目纳入体系(ISM 6.5) ，公司全体人员应接受基本的网络安全培训，承担网络风险管理职责的人员，接受与其职责 和权限相匹配的培训。

4、建议标识因网络安全导致危险情况的设备和技术系统的突发故障（ISM 10.3）对于出现故障会导致险情的设备和技术系统以及相关功能应进行了标识。

保护方面：

1、建议评估所有已标识的船舶、人员和环境风险，结合网络安全风险要求，建立适当的保护措施。（ISM 1.2.2.2）

2、建议更新依赖于网络系统的，涉及人员和船舶安全以及环境保护的关键操作的程序、计划和须知 （ISM 7）

3、建议更新应急计划，纳入涉及网络安全关键系统受损后网络事件的响应要求。（ISM 8.1）

发现方面：

1、建议更新不符合、事故和险情的报告程序，纳入网络事件的报告程序。（ISM 9.1 ）例如“关键系统所需数据可用性的丢失或受损”应界定为事故或者险情，而“未经授权使用可移动介质”等情况则可以界定为不符合。

2、建议增加网络安全检查程或者须知，及时排查网络安全风险(ISM10.2)。

响应方面：

1、建议确保足够的资源和岸基支持来支持指定人员应对网络安全关键系统的异常（ISM 3.3 ）例如：提供船舶与 指定人员之间的替代通信方式，必要时，应能够独立于所有其他系统使用。

2、建议更新纠正措施的执行程序，纳入防止网络事件再次发生的措施。（ISM 9.2 ）

3 、建议更新用于提高网络系统可靠性的特定措施。（ISM 10.3）例如：将软件维护作为操作维护程序的一部分。

恢复方面：

建议将网络备份的创建和维护，纳入船舶日常操作维护。（ISM10.4 ）例如：要求船舶定期测试备份和备份程序。