船舶经营人:不要对网络安全视而不见
在调查一艘船舶的网络事故时,USCG发现,在事故发生之前,船员们非常了解船上网络所带来的安全风险。
在最近发布的06-19海上安全警报中,美国海岸警卫队(USCG)分享了对一艘商船上网络事件的调查结果:
2019年2月,一艘深吃水船在前往纽约和新泽西港的国际航行中报告称,他们遭遇了一起严重的网络事故,影响了船上的网络。一个由美国海岸警卫队(Coast Guard)领导的跨部门网络专家小组对此做出了回应,并对该轮的网络和基本控制系统进行了分析。研究小组的结论是,尽管恶意软件显著降低了船载计算机系统的功能,但基本的船舶控制系统没有受到影响。然而,跨部门应急小组发现,该轮在没有有效的网络安全措施的情况下作业,使关键的船舶控制系统受到重大漏洞的侵害。”
此次调查得出的最令人震惊的结论应该是,在事故发生之前,船上网络所带来的安全风险在船员中是众所周知的。虽然大多数船员对使用船载计算机网络处理个人事务(如检查银行账户)没有足够信任,更不用说该网络用于公务时,如更新电子图表、管理货物数据和与岸上设施、引航员、代理和港口国当局沟通。
建议
鉴于调查网络事故的结果,USCG强烈建议船舶经营人采取以下基本措施,以改善其网络安全:
- 将船上网络分割成“子网络”,以防止未经授权进入重要系统和设备;
- 通过为每名员工创建唯一的、受密码或身份认证保护的网络配置档,取消多名员工通用登录账号的使用;
- 向每个用户授予有限的权限,即把用户的网络访问权限限制在其执行工作所需的最低权限;
- 建立清晰的外部媒体的使用程序,例如U盘和其他通过U盘传输数据的设备;
- 安装基本防毒软件;
- 建立软件补丁/更新管理策略。影响操作系统和应用程序的漏洞是不断变化的,及时更新是保护计算机系统免受网络犯罪攻击的最重要步骤之一。
USCG明智地指出:“通过鼠标点击控制引擎,以及对电子海图和导航系统的日益依赖,用适当的网络安全措施保护这些系统与控制对船舶的物理访问或对传统机械的日常维护一样重要。”
2018年12月12日,Gard保赔协会发表了题为“是时候加强机上网络安全程序了”的分析(见文末链接①),其中也提出了额外建议。
Gard网络安全意识运动
尽管国际海事组织要求船东和经营人在2021年之前将网络风险纳入船舶安全管理系统,但网络犯罪分子已经开始行动。数据是一种资产,保护它需要在保密性、完整性和可用性之间保持良好的平衡。网络安全不仅取决于船载系统和流程的设计,还取决于如何使用它们,即人为因素。
因此,对船员进行适当的培训,帮助他们识别和报告网络事故是很重要的。基于对涉及网络安全的案例的分析,Gard和DNV GL制作了一段增强防损意识的视频(文末链接②),并就航运业如何解决该问题提出了一些建议。这些材料并不是要暗示任何行业的变化或规则的变化,而是人们行为和行为方式的变化。
相关链接(请将链接复制到浏览器中查看):
①http://www.gard.no/web/updates/content/26742440/it-is-time-to-strengthen-your-onboard-cyber-security-procedures
②http://www.gard.no/web/content/cyber-security-awareness-information-package
(来源:Gard保赔协会;原文题目:Ship operators cannot afford to turn a blind eye to cyber security;日期:2019/07/10)