船公司网络安全风险的多重应对

01 航运业网络安全现状

2022年3月的一份报告显示，由于风险管理方面的数据安全漏洞，遇到网络安全事故，航运公司平均年要为每起事故支付310万美元左右的赎金，这一数据无疑令人担忧。针对航运业的网络攻击常见于网络钓鱼和勒索软件，以及出于经济或政治原因针对基础设施或船舶系统的攻击。该报告指出，过半数的船东每年在网络安全管理上花费不到10万美元。

在实践中，只有55%的行业供应商被船东要求证明他们已经制定了合理的网络风险管理程序，而25%的海员并不知道如果遭遇网络攻击会面临什么样的严重后果。

最令人担忧的是，航运公司没有投入足够的时间或资金来加强自己的网络防御系统，导致它们极易遭受攻击，无法达到国际海事组织对网络风险管理的要求。

*图片来源于网络

02 网络攻击影响船舶安全

从运营操作的角度来看，如未能建立保障措施以防止网络攻击对船舶、人员和海洋环境造成的风险，都可能会对航运公司造成损害。海上数字化的快速发展在效率、安全性和资产跟踪方面为船东提供了巨大收益。这种数字化已经逐渐成熟，也已然成为了船舶操作的一部分。以导航为例，在大多数船舶上，纸质海图早已被数字海图所取代，海员们使用传统导航技术的频率也越来越低。如今，一些船东更是走在了数字化前沿，实施了岸基动态航线管理，以全面优化船舶的效率和安全性。

但是，如果这些船载系统受到网络攻击，则可能会对船舶安全产生重大影响。如果导航控制被改变，或者海图被删除，船员将很难安全地操作船只；如果网络攻击针对连接到发动机或压载泵的数字系统，影响可能会更大。

自2021年1月以来，网络威胁已被纳入ISM Code的风险管理协议。根据新协议，网络风险现在必须纳入船舶安全管理系统。

这一更新意味着船公司必须对其船上的关键技术和数据资产(包括硬件和软件，IT和操作技术)进行识别，并对应建立一个清单，使其与陆基统连接起来。船公司还应评估这些资产面临的网络风险，并制定具体的应对风险措施，以管理和防范这类威胁。不仅如此，船员们也都必须要接受适当的培训，以全面了解网络风险，并能正确识别、从容应对这些风险，同时，船员也需要明确自己应当承担的角色和责任。

一个合适的安全管理系统应当涵盖针对最坏情况的预防措施，以确保船舶及其船员在系统发生故障时保持安全，其中可能包括纸质备份或手动记录。它还应当可以定期重新评估，以确保能够有效识别新的风险，并能够持续改进。

重要的是，船东应积极、主动地采取措施，以确保其安全管理系统是最新的，并完全符合目的，但这可能是一项复杂的任务。这样的系统本质上是通过技术实现的，船东可能需要一些外部支持来正确地评估和完善数据安全漏洞。

03 网络攻击影响航运公司岸基运营

船舶安全并不是船东面临的唯一网络风险。网络钓鱼攻击，即网络犯罪分子冒充合法机构，向个人或公司发送电子邮件以获取敏感信息——这可能是大多数船东最为担心的问题。

在这些攻击中，电子邮件针对一些高级管理人员或财务人员，使用个人词汇和信息来诱使他们合作。邮件通常来自与真实发现人邮箱地址高度相似的不真实的电子邮件帐户。

犯罪分子诱骗他们进行财务转移或共享机密材料。受骗者往往是在未察觉异常的情况下就已经被骗，等意识到这一点时为时已晚——这将对船东的岸上和海上业务造成破坏。

攻击者可以进入核心计算机系统，迫使船东的整个办公功能都无法使用。在这种情况下，公司将不得不煞费苦心地转而整理数百份纸质文件，而无法使用电子文件、记录和表格。这一后果也可能会延伸到船舶，船舶被困在港口或无法确保燃油安全，支付、物流和规划系统可能会被彻底摧毁，而合规文件可能会迫使一些船东不得不暂时停止某些交易。

04 航运公司如何应对网络攻击

船东及船员应当格外注意

1 IT和技术团队应该定期评估并识别所有潜在的网络威胁

2 员工们需要接受培训，以提高风险意识，要能够正确认识网络威胁、发现警告信号，并了解阻止黑客入侵。

3 员工们不应在公开的在线公共论坛上分享任何个人信息。例如，攻击者可以公开发布的LinkedIn个人资料中获取信息，然后利用员工的生日来验证其身份，从而进行诈骗。

4 即使是最好的防御也可能被攻破，所以船东也应该充分设置应急机制，一旦被成功攻击，需能在最短时间及最大限度上减轻网络攻击带来的影响。这可能包括维护适当的备份系统和服务器，以便在受到攻击时也可以保证各办公功能不受影响。

5 除此之外，船东还应当建立和维护强大的防御系统，以威慑或预防可能发生的网络攻击事件。建立迅速修复的体系对于船舶和后台功能都是至关重要的

05 航运公司网络安全与相关的保险

就目前情况而言，作为一般规则，IG协会为保赔险相关责任提供的承保范围并未明确排除网络风险（以保单/入会证书为准）造成的损害，但前提是此类责任是与入会船舶的运营相关的。

P&I 保险与网络威胁之间存在的共同因素是人为因素，其承保的大多数事故都涉及由人为错误引起的第三方责任。对船舶上发生的损失而言，目前P&I 保险中并没有特别说明由网络攻击造成的损失除外。

但是需要注意的是，一些海上的网络风险如果不是由于船舶操作导致的损失，其也无法通过保赔险获得补偿，不属于保赔险的承保范围（例如由于网络攻击导致网络数据或者网络系统遭受破坏，而被勒索支付赎金，导致金钱方面的损失）。并且，入会会员有义务确保保赔险项下的承保风险不会因“轻率、不安全、过度危险或不当”的行为而受到损害，并且此义务也同样适用于所有与网络风险相关的行为。换句话说，如果会员没有尽到基本的勤勉义务维护网络系统，因此遭受的损失可能会被除外。

除此之外，在保赔险承保范围中由于无纸化交易（Paperless trading）或者保赔战争风险（P&I war risks）原因导致的损失也不在承保范围中。协会提供的Excess War Risks P&I cover将使用计算机病毒导致的损失除外，Primary War Risks P&I cover也将此类特殊风险除外。

不仅如此，会员还有义务确保船舶由经批准的船级社入级，并合规持有船舶船旗国颁发的所有法定证书。船东需要遵守国际海事组织(IMO)“安全管理系统中的MSC 428/98 网络风险管理决议”，在船旗国维护经过认证的网络风险管理系统成为法定要求的情况下，如果船东不这样做可能会导致其保赔险的承保范围受到影响。

目前，总的来说协会对P&I与船舶网络安全的承保范围界限是“沉默”或者比较模糊的，并没有简单明了的清晰阐述。

商务岸基网络风险的保险，需要单独考虑安排。据了解，市场上承保海上网络安全保险的保险公司较少，但是并不是没有。已经有专业承保海上网络保险公司可以覆盖船公司的整个网络安全风险业务，包括岸基商业风险，提供特定的承保服务。需求带动供给，相信市场上会出现更多的保险产品。