航運評論
HangYunPingLun
全民戰“疫”仍在繼續,一些行業已經積極準備復工復產,為了防控新冠肺炎疫情,許多公司都採取線上辦公模式。“受疫情影響,讓大家的辦公模式發生了變化,無紙化、無接觸式辦公成為常態,疫情過後,航運業數字化轉型一定會加速推進。”上海國際航運研究中心航運信息研究所所長徐凱在近日接受記者採訪時表示,在數字化進程中,網絡安全問題也一定會與之相隨,我們不能因噎廢食,但也必須正視問題,積極防禦。
就在近日,360公司旗下的網絡安全防禦雷達系統——360安全大腦,首次攔截到了以“新冠病毒”為主題的網絡襲擊,經分析,不法分子仿冒新加坡航運公司Nova的官方域名“www.nova-ship.com”,由此可以推斷,此次攻擊主要針對航運業。
航運業進入黑客視野
自從2017年行業巨頭馬士基遭受網絡病毒攻擊,遭受巨大損失,網絡安全成為全行業關注的焦點。隨後,一項由哥本哈根貿易協會全球海事論壇、大聯盟經紀公司Marsh以及國際海事保險聯盟聯合發佈的調查研究報告顯示,“網絡攻擊和數據竊取”正在成為航運業的致命弱點。
某種程度上,受黑客攻擊的可能性大小與目標的價值成正比,在這一點上,航運業體現得更為明顯。“一般來說,黑客攻擊一定會選擇代價小收益高的領域。”徐凱說,航運業在國際經濟貿易中佔據著舉足輕重的地位,而隨著船舶大型化,一艘遠洋船舶的貨物價值可能達到十幾億。“但海運費與船貨價值相比,佔比非常低,一些黑客攻擊航運企業網站,截取相關信息,更多的可能是達到勒索的目的。”徐凱分析。2017年勒索病毒的漫延也印證了這個觀點。
而且,整個行業防範網絡安全的意識不強,也是易受網絡攻擊的原因之一。調查顯示,在全球五十大船公司裡面,有44%的船公司網絡安全防範十分薄弱。
矛盾相生相伴
“海運業作為一個古老的行業,在企業信息化方面與新興行業相比,存在明顯差距,對於網絡風險方面的防範仍顯不足。”武漢理工大學智能交通中心交通信息與智能系統所所長馬楓在接受本報記者採訪時表示,網絡風險主要來自兩方面,一是對於一般公司信息系統的攻擊,從這個層面上來說,航運公司與其他公司需要採取的網絡安全防護措施並沒有太大差別;另一方面是技術上,由於船舶長期遠離陸地,數據傳輸受到限制,船舶所應用的軟硬件系統、病毒防禦系統更新緩慢,更容易受到網絡攻擊。
“黑客和網絡安全就像矛和盾的關係,不存在最鋒利的矛,也沒有堅不可摧的盾。”徐凱說,“安全是需要成本的,企業要把有限的精力和資金用到最有價值的信息保護上,為核心信息穿上堅硬的盔甲。”
據瞭解,一趟海運航程通常需要十多天甚至幾個月,參與各方包括船代、貨代、船公司、港口等公司,資金、貨物、單據等信息嚴重不同步,這都會給不法分子帶來可趁之機。記者梳理2011年至今航運業界網絡安全的典型事件,包括船舶行程、貨物、船員、地點以及有無武裝警衛等信息被海盜竊取,導致船舶被劫持;港口信息系統被攻破,貨物數據被篡改,使得毒品走私計劃得逞;勒索病毒使多家著名航運企業在全球多處辦事機構及部分業務單元的IT系統出現故障,遭受重大損失。倫敦船東保賠協會曾發佈消息稱,船舶網絡詐騙數量正日益增加,其中包括攔截船舶代理商的郵件,入侵其電子郵箱賬號,以實施將原支付賬戶換成新的銀行賬戶等計劃。
規範指導防禦網絡攻擊
針對層出不窮的網絡病毒、網絡攻擊,還沒有一個全面的解決方案,只能積極防禦,馬楓告訴記者,2017年以後,業界加大了對網絡安全的重視,目前很多國家和組織相繼出臺了有關網絡安全的指南,國際海事組織(IMO)批准的《海事網絡風險管理指南》為業界應對船舶網絡安全提供了指導。
據瞭解,國際海事組織同時批准的《安全管理體系中的海事網絡風險管理》決議強調公司的安全管理體系應結合ISM(國際安全管理認證)規則的目標和功能要求考慮網絡風險管理,鼓勵各國政府不遲於2021年1月1日之後的首次DOC(安全符合證書)初次審核、換證審核或年度審核時,應核查安全管理體系是否包括了網絡風險管理的相關內容,這是國際海事屆為應對海事網絡風險開展的實質性行動。波羅的海航運公會(BIMCO)發佈的全球首份《船舶網絡安全指南》進一步細化了IMO指南,為業界提供了操作性非常強的指導;與此同時,BIMCO還發布了針對網絡安全的合同條款,明確各方的責任,規避因網絡安全風險帶來的損失。
我國也出臺了一系列網絡安全法律法規。2017年6月1日,我國《網絡安全法》施行,2019年12月1日《網絡安全等級保護基本要求》開始實施,這也為航運企業和船舶網絡安全管理提供了切實的法律保障和根本遵循。
2019年5月16日,交通運輸部等七部門聯合印發《智能航運發展指導意見》,明確提出加強智能航運環境下的網絡安全風險分析,研究智能航運網絡和信息安全策略,重點開發事前感知、事中防禦、事後分析的網絡安全技術,創新智能航運網絡與信息安全管理服務體系,從制度上降低網絡安全風險。
針對船舶網絡安全,中國船級社(CCS)於2017年發佈了《船舶網絡系統要求及安全評估指南》,就如何建立航運業適用的船舶網絡安全相應管理要求,規範相關操作流程、維護過程等方面提出了要求,並以此為依據對船舶網絡狀況及網絡產品進行安全評估。CCS 同時成立了船舶網絡空間安全研究中心,在網絡安全技術與管理體系方面展開研究,為航運企業提供系統的網絡測試、評估及技術諮詢服務。2019年5月8日,13500TEU智能集裝箱船“中遠海運荷花”輪首次通過了CCS整船網絡安全評估後交付使用,CCS為該輪簽發了首份“船舶網絡安全符合證明”,標誌著智能船舶發展進入與網絡安全並重的階段。
運用新技術築起安全屏障
除了遵循相關的法律要求、指南規範,要有效地防範網絡風險,企業安全意識也必須加強。航運業產業鏈非常長,涉及的領域也非常多,船代、貨代、船東、中介、船公司、班輪公司、港口企業等等,這些行業信息化程度參差不齊,核心信息也各不相同。“航運業有自身業務特點和需要特別保護的數據信息,對於企業而言,業務信息,比如客戶訂單、賬戶、船舶貨物、提單等信息;內部管理數據,比如船員信息、船舶安保措施、郵件信息等都是需要重點保護的。可以從防洩漏、防篡改、防偽造三個方面考慮將這些關鍵的信息進行隔離或防護,加強防護,避免外部入侵。”徐凱說。
除此之外,業內專家認為,建立有效的網絡安全管控制度也相當重要。首先要審視企業本身的安全,整個網絡系統包括岸上和海上的每一個環節都要進行風險評估,確定哪些系統、數據和接口沒有受到保護,進入的數據會出現哪些風險要予以關注,建立起適合自身架構及運行機制的網絡信息安全管控制度。
“同時,由於海運信息傳輸在國際互聯網上,缺乏物理隔離條件,需要應用區塊鏈技術,消除一些數據被惡意損壞或篡改的風險。”在徐凱看來,區塊鏈的分佈式存儲架構,讓篡改難以隱匿,使航運企業的網絡系統、調度系統、結算系統更加乾淨透明,令黑客無所適從。
“除了區塊鏈技術,量子通信技術將運用於汽車、船舶的遠程駕駛,也值得我們關注。”馬楓說,量子通信在原理上可以提供一種無條件安全的通信手段,將大幅度提升信息安全水平,未來可應用於船岸協同,實現船岸信息共享,協同瞭望、駕駛,甚至共享資深船長、輪機長,真正實現智能航運。
本文采自 中國水運報
閱讀更多 航運評論 的文章
