MARITIME CYBER RISK
船舶网络安全
ISM规则
“ 随着现代船舶信息化程度越来越高,网络安全成为大家广泛关注的话题~”
2017年7月,IMO海安会通过了《安全管理体系下的海上网路风险管理》以提升网络风险意识,提高安全管理水平,保障船舶网络安全。它鼓励各国政府在不迟于2021年1月1日以后的首次DOC年度检签注时,确认安全管理体系中已体现网络风险管理相关内容。并批准了《海上网络风险管理指南》对船舶风险管理提出了高层建议。
——MSC.428(98)
Background
背景
CYBER RISK
船舶风险管理对于船舶安全输运至关重要,传统风险管理更加关注操作方面,但随着数字化,集约化,自动化进程的加速,对网络系统的依赖越来越大,网络风险管理需求也随之日益增长。因此,相关公司和人员应采取必要的措施,降低网络风险,保障船舶航行安全。
网络技术已应用于船舶的许多系统,这些系统又直接影响船舶的航行安全和对海洋环境的保护。即便确保船舶系统满足公约要求,也无法避免在访问、互联等过程中产生网络风险。船舶最易遭受网络攻击的系统如下(包括但不仅限于):
Elements
风险管理要素
网络风险管理是指识别、分析、评估和传达与网络有关的风险,并考虑采取措施的成本和收益,通过接受,避免,转移或降低风险,以求将风险降至可接受程度。
高级管理层应提升对网络风险的重视,以确保网络风险管理机制能够有效实施,并对机制进行不断评估和完善。
有效的网络风险管理机制应具备以下功能要素:
1、识别:应能明确人员职责,能识别出存在网络安全风险的系统、资产、数据、和功能,并对其进行风险评估,以采取相应控制措施。
2、保护:确保船舶具有防御网络风险的能力,保障船舶运营。
3、监测:确保能及时监测出网络安全事件。
4、响应:一旦发现网络安全事件,能及时启动响应计划开展应急处理。
5、恢复:应具备备份功能,能快速实现还原,使船舶在遭遇网络安全事件后能够恢复船舶航行所必要的网络系统。
Practice
如何实施
《网络风险管理指南》为更好的理解和管理网络风险提供了基础,除了参考本指南外,还应该结合船旗国政府和国际公约的相关要求。包括以下指南和标准(但不限于):
相关建议:
1、应连续检查网络安全措施的有效性。包括:评估实现网络安全目标的有效性、分析网络事件和事件报告、评估日志和入侵检测系统、网络安全事件响应演练、以及是否符合IMO要求。
2、组织各个级别的培训以提高各类船员网络安全的意识。
3、设立以网络安全为重点的职位,或建立相关工作组。
4、保持与相关海事组织、安全委员会的联系,信息共享对于抵制网络威胁至关重要。
