航运网络安全风险报告重磅发布，网络攻击平均支付约300万美元赎金

最新的研究探讨了航运业与网络安全风险的关系，并向船东和经营人提出建议，以改善其组织内部对网络风险的管理。海事网络安全公司CyberOwl、海事创新机构Thetius和HFW律所共同完成名为《The Great Disconnect》的报告，并在近期的一次网络研讨会上正式发布。

该报告综合考虑了200多名行业专业人士的意见，通过行业调查，同时与网络安全专家、利益相关者的研究访谈，试图阐明航运的网络安全准备情况。该报告还涵盖了俄罗斯与乌克兰发生冲突后网络攻击风险的增加。作者指出，为了免于遭受网络攻击，海事部门还有很多工作要做，为此，他们提出了一个“4点计划”，供行业遵循，以增强其网络抵御能力。

在网络研讨会上，怡安首席商务官Chris Bhatt表示：“航运业并不承担责任，而应该把所有的责任都交给IT部门，这是他们的工作。”出于这个原因，他建议海事部门花钱评估漏洞，找出潜在的风险点。海事数字化行业专家Ronald Spithout同意Bhatt先生的观点，并且认为，目前航运在网络安全方面仅采取了一部分措施以符合要求，但还不足以真正保护自己。

根据这份报告，在海事组织内部，对网络攻击的反应准备程度与实际情况之间存在脱节。无论在海上还是岸上，员工的职位越高，就越不可能知道自己的组织是否遭受了网络攻击。事实上，在海上，26%的海员不知道在发生网络安全事件时需要他们采取什么行动，32%的海员没有进行任何定期的网络安全演习或培训。在岸上，38%的高层领导要么没有网络安全应对计划，要么不确定他们的组织是否有网络安全应对计划。类似的问题也存在于整个海运供应链中，在船舶经营人努力达到的安全标准和行业供应商努力达到的标准之间存在着脱节。报告称，许多经营人对船上系统的安全性几乎没有控制能力，使得网络安全问题变得更加复杂，造成了风险暴露和控制风险能力之间的脱节。

 船东因网络攻击平均支付310万美元赎金

根据报告，44%的行业专业人士表示，他们的组织在过去三年内曾遭受过网络攻击。报告的主要发现指出：

■ 52%的行业专业人士认为，他们的组织有收集网络安全威胁情报的流程。

■ 36%的行业专业人士认为，他们的组织在过去三年中遭受过一次网络攻击。

■ 73%的受访者认为他们的组织有一个网络安全事件响应计划。

■ 3%的网络攻击导致被调查者的组织支付赎金。

■ 支付的平均赎金为310万美元。

■ 34%的行业专业人士认为，他们的组织已经为网络攻击提供了保险。

资料来源:CyberOwl、Thetius、 HFW

更重要的是，83%的航运公司岸上员工同意他们定期在组织内进行网络安全培训和演习，但只有67%的海员同意。此外，当被问及他们的组织是否在船队的安全管理系统中适当地处理了网络风险时，87%的海员和岸上雇员同意这一声明。

网络攻击平均每年给航运公司造成18.2万美元的损失。每12家航运公司中就有一家(8%)每年遭受网络攻击，平均成本为180万美元。最后，另一个有趣的发现是54%的航运公司每年在网络安全管理上的花费不到10万美元。

资料来源:CyberOwl、Thetius、HFW

 防损建议

由于海上威胁形势不断变化，该行业需要保持警惕并不断学习适应这种威胁，为保护航运免受网络风险的影响，报告提出了一些防损建议:

#1 在船队中设立专门的网络安全委员会，负责资讯科技及营运安保：至关重要的是，董事会承担安全的全面责任，并被赋予权力和资源，能够收集数据驱动的证据，以了解船队资产和操作中实际网络安全状态，并以此为基础做出改进的决定。

#2 实施全面的网络事件培训和演练计划：相关计划应基于实际场景，反映组织、人员、流程和技术的实际设置和安全态势。

#3 为供应商和合作伙伴制定最低安全标准：可以设计为供应商连接代码，在允许供应商连接到船舶系统或访问船舶数据之前，为供应商设定最低网络安全标准。

#4 对保单进行紧急审查，并寻求关于支付赎金的具体法律指导：所有船舶经营人都应对其各项保险进行紧急审查，以了解未完全覆盖的任何风险。同时还应根据自身情况就支付赎金寻求法律建议，并将调查结果纳入其网络安全应对计划。