船公司网络安全风险提示

从2021年起，船东和经营人已经开始将网络风险纳入船舶安全管理系统。受COVID-19疫情影响，为了应对诸如无法登轮、船舶被隔离和外勤限制等客观问题，船东都在积极开发远程访问，并对船舶实施远程数字化管理，并鼓励岸上工作人员在家远程工作。也有越来越多的人使用移动设备来访问船舶上的操作系统和公司的核心业务系统。一些网络犯罪分子也利用这一契机，通过各种恶意方法进行犯罪活动。未受保护的设备可能导致船东数据丢失、隐私泄露，甚至是系统影响被勒索赎金。

当前互联网时代，随着更多的技术转型、云计算的使用以及针对船舶的更广泛的网络功能，网络安全带来的威胁继续增加。网络犯罪分子将以高度复杂的方式同时攻击操作系统和备份功能，从而造成破坏性的网络攻击。

网络风险不易被识别

犯罪分子组织严密，利用海运业、船舶及其船员的作案方式也在不断演变。这反映了网络风险总体不断发展的特点。尚未建立网络风险体系的船东和船舶经营者应该进行风险评估，并将处理网络风险的措施纳入其船舶安全管理系统（SMS）和船员意识培训中。船东和经营人也应该将网络风险意识的DNA植入到办公部门和船上各部门。所建立的应该是一个灵活的网络风险管理制度，该制度持续运行并通过有效的反馈机制不断进行评估。网络风险管理的方法需要针对公司和船舶，但也必须以相关的国家、国际和船旗国法规中的要求为指引。大多数船级社和一些海事咨询公司已经发布了关于船上网络安全的指南和建议。船级社作为代表船旗国当局的认可组织，现在也可以提供包括网络风险的ISM审计。

船级社还提供网络安全等级标识，用于验证安全的船舶设计和操作以及网络安全型式认证，以支持制造商使用网络安全系统和组件。作为顾问，船级社还可以在船上和岸基提供网络安全风险评估、改进、测试和培训支持。保赔协会建议采取整体方法来应对网络风险，通过涵盖流程、技术以及最重要的人员的措施来保护IT和OT系统的机密性、完整性以及可访问性。网络犯罪分子获得访问权限的最简单和最常见的方法是利用人员的疏忽或训练不足。

关注政策、程序和风险评估

最新的《船舶网络安全指南》指出，网络事件将导致一些影响以及潜在的安全和/或扩散事件。因此，公司不仅需要评估使用IT设备所产生的风险，还需要评估船上OT设备所带来的风险，并建立适当的保障措施，防止涉及其中任何一种的网络事件。公司的网络风险管理计划和程序必须与公司政策中包含的ISPS和ISM规则中的现有安保和安全风险管理要求保持一致。与关键网络系统的培训、操作和维护有关的要求也应包括在船上的相关文件中。

国际海事组织海事安全委员会（MSC）于2017年6月通过了关于安全管理体系中海事网络风险管理的MSC.428（98）号决议。该决议指出，根据ISM规则的目标和要求，经批准的安全管理体系应包括网络风险管理，应于2021年1月1日之间完成对公司合规文件的第一次年度核查。基于MSC-FAL.1/Circ.3《海事网络风险管理指南》中的建议，该决议确认应利用现有的风险管理实践来应对因越来越依赖网络化系统而产生的运营风险。该准则规定了可以采取以下行动来进行有效的网络风险管理。

识别：指定负责网络风险管理的人员，明确人员职责，并设置识别网络安全风险的系统、资产、数据和功能；一旦它们被破坏，将对船舶运营构成风险。

保护：实施风险控制措施和应急计划，以预防网络攻击并确保船舶正常运营。

监测：开发并实施必要的流程/防御计划，以及时监测网络攻击。

响应：制定和实施计划，在发生网络攻击时，确保因网络攻击而停止的航运业务或服务所需的系统快速回归正常。

恢复：应具备备份/恢复的功能，能快速实现还原，以确保船舶在遭受网络攻击后，能够恢复其航行所必要的网络系统，确保航行安全。

合规文件持有人对确保船上的网络风险管理负有重要责任。如果船舶由第三方管理，建议船舶管理人与船东达成协议，确定由谁来负责此事。双方应强调责任的划分、务实期望的一致性、对管理人具体指令的约定、可能参与的采购决策以及预算要求等。

除了ISM的要求，这样的协议应该考虑适用其他法律，如欧盟通用数据保护条例（GDPR）或其他沿海国家的具体网络法规。船舶经营人和船东应考虑以这些准则为基础，公开讨论如何最好地在船上实施一个有效的网络风险管理制度。任何关于网络风险管理责任的协议都应该是正式的和书面的。

公司还应该在供应商协议和合同中评估并涵盖服务提供商的实体安全和网络风险管理流程。同样，协调船舶的停靠港口是一项高度复杂的任务，既是全球性的，也是地方性的。它包括代理人的更新、与所有港口供应商协调信息、港口状态控制、处理船舶和船员的要求、以及船舶、港口和岸上当局之间的电子通信。代理商的质量标准很重要，因为像所有其他企业一样，代理商也是网络犯罪分子的目标。网络犯罪，如电子电报欺诈和虚假船舶预约，以及网络威胁，如勒索软件和黑客攻击，要求船东和代理之间的相互网络战略和网络加强关系，以减少这些风险。

图片

系统设计和安全配置

程序的问题在于，良好的意图可能会成为纸上谈兵的做法。因此，重要的是要确保那些执行涉及网络安全的任务的人明白，程序的目的是为了防止未经授权的访问，而不仅仅是为了满足监管者或应付他们的直接上级。与安全和安保的其他领域不同，在这些领域有历史性的证据，而网络风险管理由于缺乏关于事故及其影响的事实而变得更具挑战性。在我们拥有这些证据之前，攻击的规模和频率将继续是未知的。航运业和其他商业部门，如金融机构、公共管理部门和航空运输部门的经验表明，成功的网络攻击会导致服务的重大损失。现代技术可能会给船舶增加漏洞，特别是如果将其放置在不安全的网络上并可以免费访问船上的互联网。

此外，岸边和船上人员可能不知道某些设备制造商保持对船上设备及其网络系统的远程访问。对操作船舶的未知和不协调的远程访问应该是风险评估的重要组成部分。协会建议，公司应充分了解船舶的IT和OT系统，以及这些系统如何与岸边连接和整合，包括公共机构，海运码头和装卸工。这需要了解船上所有基于计算机的系统，以及网络事件如何损害安全、运营和业务。一些IT和OT系统可以远程访问，并且可能具有连续的互联网连接，用于远程监控、数据收集、维护、安全和保障。这些可以是"第三方系统"，承包商从远程位置监视和维护系统，并且可以是双向数据流或仅上传。

例如，具有远程控制、访问或配置功能的系统和工作站可以是：

- 船舶管理网络中的驾驶台和轮机舱计算机和工作站。

- 货物，如带有冷藏室温度控制系统的集装箱或被远程跟踪的特殊货物。

- 稳定性决策支持系统。

- 船体应力监测系统。

- 导航系统，包括电子导航图（ENC）和航行数据记录器（VDR）。

- 动态定位系统（DP）。

- 货物处理和积载，发动机，以及货物管理和装载计划系统。

- 安全和保安网络，如闭路电视（CCTV）。

- 专门的系统，如钻井作业、防喷器、海底安装系统。

- 紧急停机（ESD），用于油罐车，海底电缆得安装和维修。

以下是一些常见的网络漏洞，这些漏洞可能出现在现有船舶和一些新造船舶上：

- 过时的和不受支持的操作系统。

- 过时或缺失的防病毒软件和对恶意软件的保护。

-安全配置和最佳实践不足，包括无效的网络管理和使用默认的管理员帐户和密码。

- 船上计算机网络缺乏边界保护措施和网络分割。

- 安全关键设备或系统总是连接到岸边。

- 对第三方包括承包商和服务供应商的访问控制不足。

图片

船上意识和培训

今天，在网络安全方面最薄弱的环节仍然是人为因素。因此，必须对海员进行适当的培训，以帮助他们识别和报告网络事件。

最新的网络安全调查显示，业界对这个问题的认识有所提高，并增加了网络风险管理培训，但仍有改进的空间。15%的海员承认接受过网络安全培训，只有33%的人表示他们最后工作的公司有定期更改密码的政策。

在评估网络风险时，应同时考虑外部和内部网络威胁。船上人员在保护IT和OT系统方面起着关键作用，但也有可能粗心大意，例如使用可移动媒体在系统之间传输数据，而没有对恶意软件的传输采取预防措施。培训和意识应针对船上人员的适当资历，包括船长、高级船员和船员。

最后，在疫情下，我们建议大家保持更高的网络警惕，可以通过以下方尽可能避免"COVID-19网络钓鱼"的网络犯罪。

- 在处理任何带有COVID-19相关、附件或超链接的电子邮件时要谨慎小心，并警惕与COVID-19有关的社交媒体请求、短信或电话。

- 使用可信赖的来源，如合法的政府网站，以获得有关网络安全和COVID-19的最新事实信息。

- 不要在电子邮件中透露个人或财务信息，也不要回复索取这些信息的电子邮件。

- 在完成工作后，记得断开或关闭给任何外部方的临时远程访问。