IMO 2021已于今年1月1日生效,船东和船舶管理人员必须继续监控现有系统和流程,以确保船舶网络安全合规。GTMaritime商务总监Mike McNally先生讨论了航运公司如何确保网络安全,以及它们如何遵守新规定。
IMO 2021海上网络风险管理指南为建立更安全、更有弹性的海上网络安全实操提供了基础。它们为船东和运营商建立了一个框架,以开发严格的硬件、软件和船员培训体系,谨防日益增多的海上网络安全攻击。
船公司可以通过三种方式减少网络攻击,并将网络威胁的风险降到最低。
一是定期完成网络安全审计。船公司需要评估目前是如何管理网络安全的,然后识别和确定网络风险管理所需的工作和责任。这包括在船舶受到攻击后导致中断时,可以识别哪些系统、资产、数据和功能,对每艘船运营可能造成的风险。在讨论网络安全时,很多人都把IT作为数据泄露的源头。然而,随着海事行业的数字化,对操作运营技术(OT)的网络威胁尤其重要,因为网络攻击可能会对船员和船舶安全造成影响。
考虑到这一点,一旦船公司完成了审计,它就可以考虑如何在网络攻击事件中保护、检测、响应和恢复。每一步都很重要,有一系列的解决方案可以支持强大的网络安全管理。
其次,另一个明显需要警惕的领域,就是确保所有的软件都是最新更新的:只要有一个过时的软件就可以为网络犯罪提供渗透途径。个人忽略软件更新通知的情况并不少见,所以拥有能够自动提供整个船队更新的系统是有益的,特别是考虑到第三方系统与船舶网络的接口。
黑客们还会寻找软件中的漏洞,这种漏洞尤其在软件未更新时更为常见。拥有自动更新或确保所有软件按时更新的程序,可著减少攻击概率。
例如,GTMaritime的GTDeploy产品可允许船公司向偏远地区部署软件更新补丁,它是专门为海事行业设计的,以满足卫星连接的需求。通过管理控制面板,它很容易部署在所有船只和计算机上,以方便更新补丁安全漏洞,修复和删除漏洞,并添加新特性。像GTDeploy这样的软件在后台运行,允许公司远程安排和控制更新,从而简化了通常需要耗费大量人力和成本的过程。
最后,系统的警惕性必须与用户之间的警惕性相匹配:确保员工具有网络安全意识并培训如何在此类事件发生时作出反应是防止网络事件发生的关键因素。与外部世界的联系过于依赖物联网( IoT)的海员需要特别警惕钓鱼邮件,不鼓励他们点击未知来源的链接。
通过定期检讨现时的网络风险管理和解决漏洞,投资引用自动更新软件的系统,以及加强员工的防患意识和理解,船公司可确保合规、并减少受到网络攻击的风险。
