每个企业和个人都可能受到网络威胁。网络犯罪是一个庞大的行业;黑客非常有组织,在发动网络攻击之前会投入大量时间和精力。在过去的几年里,网络安全也成为了海事行业的一个重大挑战。为此,国际海事组织决定将网络安全纳入安全管理系统。从2021年开始,船舶经营者将迎来一个新的时代。
尽管我们在过去几年里目睹了几次网络攻击,网络犯罪活动似乎增加了,利用在家工作的用户的脆弱性。在此背景下,海事协会曾举办网络安全研讨会,讨论了网络攻击的新趋势。这些攻击包括:恶意软件攻击、加密威胁、加密劫持、入侵企图、勒索软件攻击和物联网恶意软件。那么,为了确保网络安全,航运从业者应该做些什么?
新IMO要求
根据第MSC.428(98)号决议,船舶经营人需要确保其现有安全管理体系(以下简称“SMS”)在2021年年度验证前适当地解决网络风险。通过MSC-FAL 1/ Circ 3,IMO提供了六页指南,并提供了海上网络风险识别和管理的详细建议,以保护航运免受当前和正在出现的网络威胁和漏洞。
这些建议旨在纳入现有的SMS手册和程序,以及相关的ISPS系统,以便更新和加强这些程序。总体目标是支持安全可靠的航运,在操作上能够抵御网络风险。
特别是,国际海事组织(IMO)发布了《海上网络风险管理指南》(Guidelines on Maritime Cyber Risk Management),为企业如何应对MSC. 428 (98)号决议提供了必要的指导:
◆BIMCO、CLIA、ICS、INTERCARGO、INTERTANKO、OCIMF以及IUMI发布的《船舶网络安全指南》;
◆ ISO/IEC 27001信息技术标准;
◆ 美国国家标准和技术研究所改进的关键基础设施网络安全框架(NIST框架)。
要处理的关键项目
安全管理体系是每个船公司的关键文件,它解释了如何基于ISM规范和安全操作、人、船、货以及环境保护所需的政策进行安全操作。从本质上讲,SMS是动态系统,这意味着需要适应新的需求并解决当前需求和可能的风险。
在安全管理系统中应对网络风险,需要更多的关注、新的方法以及公司与船舶之间更多的互动。该系统的真正重点是实现保护岸上公司和船载系统免受任何类型的网络威胁。其目的是制定具体的程序和网络安全文化,以最大限度地减少被攻击或受攻击影响的可能性。此外,船舶经营人还可以创建响应技术来克服网络攻击带来的挑战,确保经营的连续性。
国际海事组织的新要求可以作为一个独立的系统(网络安全管理计划是现有SMS的一部分)来解决,也可以作为一个修订后的SMS来解决,并包含所有必需的步骤。
所需步骤
1. 制定网络安全政策。这是网络结构的基础,是公司为网络安全设定目标和主要行动的宣言,可能包括附加项目(如一般数据保护),因为所有这些项目都是相关的。
2. 在办公室和船上进行彻底的评估,以识别可能受到网络威胁的相关系统。系统要被识别、列出,并优先考虑其脆弱性。所有系统都应该被批准用于特定的任务。配套软件必须是正版的、最新的,并由有能力的人员安装。
3. 执行网络政策程序。程序应包括与上述系统相关的每个人的操作,为每个职位设置权限、权限级别和具体操作(形式为“应做”和“不应做”)。程序至少应包括:
1) 特权和权限,包括每个系统的访问级别;
2) 密码指令;
3) 删除媒体指令;
4) 第三方访问系统指令(如代理、施工人员、系统技术人员、引航员、码头人员和任何其他需要获准进入岸上或船上系统的个人或组织)。
4. 建立一个有效的响应系统。系统应具备即时回应措施、备份程序、整改程序和日常工作的替代方式,以保持系统运作的完美无缺。
5. 按照航运业的文化,所有相关事件都应进行调查,并汲取经验教训,采用最佳做法,以避免未来出现类似问题。
6. 通过审核/管理评审,定期对系统和程序进行评估,以检查其有效性。
船岸沟通
强烈建议在网络场景下进行船岸演习。BIMCO、CLIA、ICS、INTERCARGO、INTERTANKO、OCIMF以及IUMI编制和支持的《船舶网络安全指南》4.0版本包括了有用的现实生活事件,可用于此类演习的示例场景。
此外,由于COVID-19的爆发改变了经营方式,越来越多的公司现在使用远程检查和审计来监控其管理的船舶。这些操作要求程序能够有效地产生监控结果,但同时保护用于执行此类操作的系统。
操作要求
✔ 修订现有的SMS,使其包括网络风险管理和相关程序;
✔ 确保船上和岸上执行政策和程序的情况;
✔ 为设备(硬件)和/或软件升级提供所有必要的资源,以支持网络安全管理程序;
✔ 为相关人员提供岸上和船上培训,了解网络威胁/风险和解决这些问题的最佳实践。
✔ 遵循网络风险管理的程序和指引;
✔ 不要在公司系统上使用个人设备(无论岸上或船上);
✔ 注意与网络相关的所有风险和威胁;
✔ 如发现任何可疑或确定的网络问题,应立即通知授权公司人员,以便启动响应行动。
