在这篇文章中,Colin Gillespie先生,北英格兰保赔协会(North P&I Club)的主管,分析了一个组织的网络弹性(衡量一个组织在遭受数据泄露或网络攻击期间,保持其业务正常运营能力的一个指标)的要点,强调雇佣合适的人是网络安全的核心。
为了满足国际海事组织2021年的指导方针所提出的期望,要实施系统的网络弹性,就需要在人类层面上改变行为。
一般来说,船东和运营商对网络威胁可以采取两种应对方式:技术应对(处理设备和系统);以及程序响应(关注系统是如何使用的以及人是如何与之交互的)。
技术提升可以带来快速起效,企业在网络安全方面的政策可能是一致的、明确的、经过演练的,但人的行为没有改变也会破坏这些政策的效用。改变指需要改变做法和态度,提高认识和进行培训。所有这些都需要时间,而且在一定程度上,还取决于改变的意愿。
IMO决议(MSC.428(98))要求安全管理系统包括网络风险管理。新规定将不迟于2021年1月1日以后船舶的第一个年度合规验证文件。
为了遵守这一规定,船东和船舶需要对其IT、操作技术系统和船员进行风险评估,以展示对网络攻击的防范能力,以及在系统受损时应采取的行动。
在“IMO 2021”出台之前,该指南仍在进行调整,这表明网络安全是一个需要持续和全面处理的问题。
例如,BIMCO将很快发布经修订的《船上网络安全指引》,更新船员培训、SMS中的风险评估程序、任何船舶安全计划中必须包含的基本网络风险,以及卫星系统漏洞等不同主题。
距离2021年只有短短几个月的时间,积极主动的船东或管理者可以有效地进行网络合规自我评估。
自我评估标准
今年年初,在与HudsonCyber的联合倡议中,North邀请成员在有时间限制的基础上免费访问HACyberLogix网络风险管理平台。该系统符合许多行业指南,包括IMO自身的2021年网络安全指南,如msc - fal1 /Circ.3中所述。它还支持虚拟化协作,支持企业网络安全计划(非常适合在疫情环境中运行)。
HACyberLogix评估工具是一个三层网络风险管理工具,包括12个自我评估域,用于评估公司如何收集网络安全能力信息,以识别和管理漏洞。每个领域的设计涵盖了组织网络安全有效性的不同方面。该模型在一份机密报告中对结果进行分析和基准,以确定一个组织的“网络能力”,其中包括旨在改善网络风险管理的优先建议。这些建议有效地作为组织实施和维持网络安全计划的路线图,该计划与成员SMS固有的变更规程管理相一致。
当然,当他们的网络风险管理进行审查时,每个北英格兰保赔协会成员建立的优势和劣势仍然是保密的。可以披露的是,近40个成员国已经完成了HACyberLogix“一级”网络风险管理评估。
一系列的网络研讨会对该平台的虚拟性质、可按需访问性和处理多个用户的能力的评价都很积极。由于HACyberLogix方法涵盖了成员组织的所有方面,从而推动了跨职能协作,因此它作为一种催化剂,推动了人类层面的文化变革。
完成第1级将使用户了解他们的网络恢复能力,并可以将网络风险管理纳入SMS。Cyberlogix软件包的2级和3级可用于更详细和彻底的评估。
这一方法与SCORA(安全文化组织评估)相一致,后者是由North的损失预防小组和Green-Jakobsen在2019年推出的一种针对高级船员和岸上管理者的工具,受到了一些好评。SCORA通过对安全领导能力、健康和福祉、学习/发展、报告文化和风险管理等方面的评分,来报告一个组织的“安全能力”。
网络文化转变
North的观点是,雇佣“合适的人员”是网络韧性的核心。该俱乐部认为,提高意识的活动,结合定期测试网络安全基础,是启动行为改变的一种方式。
显然,面对不断发展的威胁,如果要在岸上和海上实现网络弹性,提高警惕是至关重要的。在这里,适当的工具可以使网络安全最佳实践成为日常业务意识的一部分。将人置于网络安全弹性的核心是保护公司安全的关键。
延伸阅读:
