网络勒索事件在过去12个月飙升，网络风险将成为航运业未来十年的头号风险

信德海事 苏婉

(Image: Virus Bulletin)

随着船舶技术迅速引进，航运业更容易侵袭。

新的研究发现，海运业仍然是网络犯罪分子容易攻击的目标，在过去的12个月里，整个行业的因为网络攻击所产生成本和支付的赎金都出现急剧上升。

过去12个月网络勒索赎金支付暴涨

律师事务所HFW和海事网络安全公司CyberOwl共同完成了一份研究报告，该报告基于对150多名航运业内专业人士的调查，包括高层领导、网络安全专家、海员、岸上管理人员和供应商，揭示了航运组织和更广泛的供应链在网络风险管理方面存在的巨大差距。

报告发现，目前海事行业平均每起网络攻击造成的损失约55万美元，而2022年这一数字仅为18.2万美元。

CyberOwl团队回顾了2023年发生的船舶系统的网络攻击事件，分析得出结论，一个由30艘货船组成的典型船队平均每月要发生7起网络事件，即一年发生80多起事件。

虽然这些事件大多影响较小，但问题在于解决这些事件所需的时间很长，船舶系统发生的网络事件平均需要57天才能解决。

报告中的其他惊人数据还包括：如果全球网络犯罪看成是一个经济体，那么它将成为仅次于美国和中国的世界第三大经济体。

研究显示，越来越多的海运公司因为网络攻击而支付赎金，今年解锁计算机系统的平均成本达到了320万美元，高于去年的310万美元。

14%的航运公司在2023年遭受网络攻击后支付了赎金，而2022年只有3%，几乎翻了五倍。

报告还发现，24%的网络攻击受害者被骗向犯罪组织转移资金；25%的调查对象表示他们的组织没有购买网络风险的保险。

勒索软件攻击可追溯到2000年代初，但其复杂程度和规模都在不断扩大。它是一种恶意软件，可以阻止被袭击的组织访问重要文件，直到支付赎金（通常是比特币），以换取解锁系统的密钥。

美国反勒索软件专家Coveware的数据显示，2023年第二季度，约有34%的受害者向网络犯罪分子支付了赎金。

航运业面临的潜在风险在不断变大

HFW合伙人Tom Walters评论说："我们的调查结果表明，虽然海事网络安全有所改善，但该行业仍然很容易成为攻击目标。航运组织受到的网络攻击比以往任何时候都多，攻击成本和赎金要求也急剧上升。"

海事研究报告的作者说，在船舶乃至更广泛的供应链迅速引入了新技术的现状下，研究结果更凸显了该行业的脆弱性。

此前的研究表明，船舶的日均数据消耗量几乎增加了两倍。

报告称，主要航运公司正在试用新的通信卫星系统，以改善海上连接，但这些系统给了网络犯罪分子可乘之机"。

报告还说："航运业对网络黑客来说是一个令人兴奋且相对容易的目标，他们能快速得手，并有可能得到巨额赎金。"

随着自主航运的发展、海员通信的改善以及人工智能系统的增加，潜在的渗透风险也随之变大，这份报告只是对行业发出的最新警告。

挪威船级社（DNV）今年早些时候进行的一项研究表明，超过四分之三的海事专业人士认为，战略航道或主要港口将在两年内因网络攻击而关闭。

十分之九的调查者认为船舶或船队的运营在未来几年内可能会受到干扰，超过一半的调查者预计网络攻击会造成人员伤亡。

确实如此，在今年的7月4日早晨，日本名古屋港口的集装箱操作系统就因勒索病毒而瘫痪，导致无法分拣和搬运集装箱。

2017年，马士基被NotPetya病毒攻击，导致客户无法在线预订、内部系统损坏，在10天时间内重新安装了4000台服务器、4.5万台PC主机以及2500款应用程序，出货量下降20%，直接损失高达3亿美元。详见→《马士基董事长谈勒索病毒：重设45000台电脑！!》

此外，地中海航运公司（MSC Mediterranean Shipping Company）、达飞轮船公司（CMA CGM）、国际海事组织（International Maritime Organization）和挪威船级社（DNV）都遭受过网络攻击。

网络安全投入不足、人才紧缺

研究指出，航运业可能很难吸引到合适的专业人才选来应对网络威胁。因为网络从业人员的成本很高，而网络安全就业市场正在蓬勃发展，失业率不到1%。这意味着，在现实中，航运业必须支付高昂的费用才能获得这些专业人才。

报告明确指出，海事网络安全与企业IT网络风险管理面临着不同的挑战。例如，船上的遗留系统和老旧系统需要经常维护和处理。

此外，制定限制性的网络安全控制措施（如严格的登录程序），并不实用，因为航运业务对灵活性的要求也很高。

与此同时，随着行业运营技术面临的安全威胁日益加剧，根据DNV公布的研究，60%的海事专业人士认为在网络安全方面资金投入不足，这是2023年海事行业提升网络弹性面临的最大障碍。详见→《海事专业人士警告：互联时代的风险加剧但网络安全投入不足》

DNV海事网络安全咨询总监Svante Einarsson表示，“在系统和资产互联的时代，海事行业的考虑仍然停留在IT技术上，随着船舶系统与外部的联系越来越紧密，对运营技术的网络攻击可能在未来造成更大的冲击。”

DNV海事首席执行官Knut Ørbeck-Nilssen曾指出：“网络安全是日益严重的安全风险，甚至可能是未来十年最主要的风险。”

航运业采取船舶网络安全强制措施

如信德海事此前报道，2022年4月，国际船级社协会 IACS通过了最新网络安全要求。

UR E26：《Cyber resilience of ships 船舶网络韧性》以及UR E27：《Cyber resilience of on-board systems and equipment船载系统和设备的网络韧性》中明确要求：

对于建造合同日期为2024年1月1日或之后的船舶，IACS成员内需要强制执行，宣告航运业即将进入全面网络安全实操阶段，详细内容见→《事关船舶网络安全，这项新规明年起强制执行！》