亟需解决航运业与日俱增的网络安全风险敞口

Jennifer Tiang, 韦莱韬悦亚洲区域网络安全保险负责人

针对航运业和更广泛的关键基础设施行业的网络攻击正在全球和亚洲迅速增长。随着航运业正快速实现数字化，勒索病毒攻击也在不断升级。黑客正在将目标锁定为那些在网络安全方面投入不足的航运公司，一旦遭受攻击将给他们造成重大营业中断。

图片来源网络仅供示意

航运业一直以来都是黑客“青睐”的对象。

威胁不断升级

为了应对网络攻击可能造成的财务及运营影响，自2021年起，船东和运营商都面临着更严格的网络安全合规要求。现在，全球包括亚洲在内的船东和运营商，都必须遵守国际海事组织（IMO）关于网络安全管理的决议和指南。每一个安全管理系统必须参照国际安全管理规则，将网络安全管理及网络安全评估流程纳入其中。

据网络安全专家Naval Dome发现，自从疫情划暴发以来，全球针对航运业的网络攻击增长了400%。包括IT网络、电子邮件、电子手册和证书、维修计划、工作许可、备件管理和调用、行政管理、账号和船员名单在内的信息技术领域都遭受威胁，致使公司财产和名誉面临巨大威胁。

除了与IT相关的风险之外，包括全球定位系统在内的运营技术以及可能威胁生命、财产和环境的发动机和货物则面临更大风险。正如海事网络安全专家Ocean Shield所说，由于船载数字资产清单和网络基础设施缺乏可见度，也不被视为IT资产进行规划，船运应对网络攻击的能力被进一步削弱。

亚洲地区航运业的网络安全风险

亚太地区是全球勒索软件和国家支持的高级持续性威胁组织盯上的目标，2020年5月-2021年5月，该地区遭受网络攻击的次数增长了168%。新加坡太古海上服务公司和韩国现代商船分别于今年11月和6月遭到网络攻击，解决航运业网络安全威胁的任务已迫在眉睫。

如果亚洲几大港口因网络攻击被迫关闭，会造成什么影响？根据新加坡2019年开展的网络风险管理（CyRiM）项目的场景分析，如果对亚洲15个港口一起发动网络攻击，全球经济损失最高将达到1100亿美元。

如果真的发生这种情况，保险公司的赔偿金额将达到83亿美元，这也充分说明目前对此类网络攻击风险的投保力度还不够。保险公司的赔偿范围包括营业中断、连带营业中断、事故响应费用及数据与软件损失等。

除了损失数据和赔案发生的实际可能性之外，人们对网络安全风险和保险仍存在严重的误解。

消除误解

误解1:我们已经在网络安全控制上投入了大量人力和物力，所以已经彻底消除了网络安全风险

对网络安全加以控制是消除网络风险的重要一环。但这种控制只能不断增强抵御风险的能力和降低风险。彻底消除风险是不可能的，没有任何安全措施是100%有效的。此外，内部威胁也是一大问题。员工可能会犯错，甚至有些时候，他们也会故意给公司制造麻烦。

误解2:传统海上保险条款可以保障网络安全造成的损失

当然，根据保险合同的条款规定，这一点可能没错。不过，船体和机器保险条款通常不包含网络攻击造成的损失或损害。有些保险条款可能并未明确是否涵盖网络风险造成的损失，因此很容易产生纠纷。

误解3:尽管船体和机器保险条款不包含网络攻击造成的损失，但网络攻击不会带来财产损失

这种说法已被证实为错误。例如，2008年土耳其一条石油管道因其控制系统遭到黑客攻击而发生爆炸。同样，2014年德国一家轧钢厂的控制系统遭到黑客攻击后，给机器设备造成了重大损失，这些均属于因网络攻击导致的第一方财产损失。

尽管目前还没有网络攻击对船只造成财产损失的报道（并不意味着这类事件没有发生），但越来越多地依赖GPS、AIS和ECDIS等船载操作技术无疑增加了网络攻击带来财产损失的威胁。

造成财产损失的可能性

受疫情后数字化风潮的影响，船只操作越来越依靠近岸计算机系统，随之而来的是网络攻击带来的极高的财产损失风险。如果这样一个关键行业发生网络攻击事件，带来的声誉影响是极其严重的。

根据我们与多家公司合作的经验表明，在网络安全保险条款中增加财产损失的保障，可以帮助企业大幅降低网络攻击带来的损失。不过，想要增加此项保障，被保险人必须首先证明自己有强大的网络风险控制力和安全事件应急响应能力。

弥补安全空白

尽管数字化给航运业带来了无限可能，但随之而来的网络安全风险也必须得到航运公司足够的重视。

网络安全对海事运营商而言至关重要，但目前还未得到应有的资金支持、关注和风险管控。随着亚洲区域的船东和运营商相关的网络攻击量与日俱增，我们应抓住当下的机遇，公开合作，讨论风险控制，分享经验。