网络威胁可否有效监管?
又一数字化挑战迫在眉睫,但这一次不像千年虫,尽管造成了混乱,却几乎没有产生实际影响。国际海事组织对《国际安全管理规则》的修订将于 2021 年 1 月 1 日生效,但行业可能还没做好应有的准备。
2020 年再一次证明,业已吃紧的海事供应链极易遭受网络攻击的侵害;从大型航运公司到行业自身的监管机构,网络威胁不断干扰着航运运营。
国际海事组织成员国,尤其是美国海岸警卫队,主张通过一项决议,鼓励船舶运营商实施更严格的 IT 安全政策和做法。
众所周知,在技术方面,海事行业并不是积极的先行者,这涉及摈弃落后的方法,采用更新的船上 IT 系统,而行业总是不愿接受新的技术。考虑到网络攻击可能带来的负面影响,国际海事组织认识到,网络威胁构成了一定的风险,需得到更严格的监管和监控。
从表面上看,其中的变化很简单。从 2020 年 1 月 1 日起,国际海事组织要求《国际安全管理规则》合规文件中必须订明网络安全预防措施。
船东所面临的主要挑战是如何解释以非常宽泛的术语编写的决议,这些术语有着多种解读。他们必须采取什么行动?要实现合规必须至少做到什么?简单来看,可以说,实施 IMO2021 中所述的建议措施意味着在三个不同方面采取行动,即意识、程序和技术。
IMO2021 提出,企业必须在整个组织内自上而下建立充分的网络风险意识。网络风险存在于整个组织中,故不应被视为 IT 部门的问题来单独解决。业内人士大都已熟悉波罗的海国际航运公会、国际独立油轮船东协会、国际邮轮协会颁布的最佳做法准则,行业可以以此作为起点。
该法规进一步指出,船上和岸上都应执行适当的程序,以有效防止和检测网络攻击。企业应为船员制定相关船上程序,阐明硬件、软件更新、网站方面的行为准则,以及有关网络钓鱼和其他风险的信息。同时还应让他们知道在发现风险时该怎么做——船舶可能需要将风险告知岸上人员,并说明与纠正措施相关的注意事项或行动。
意识和程序问题主要涉及行为、知识及对如何将风险降至最低的理解。而技术直接代表着可用以减少网络风险的工具。
传统的防护手段通常包括防病毒保护、防火墙、内容过滤器及独立的网络。另外还有一些更复杂的工具,例如系统监控,这包括编写远程和自动脚本以及更新 PC 操作系统和 ERP 程序。
还有网络检测服务可进行更深入的检查,并渗透到 IT 网络中,以识别防火墙或防病毒程序未发现的风险。但有一点要意识到的是,越来越多威胁不是来自 IT 风险,而是来自运营技术 (OT),还有船上导航、动力、货物系统以及其他连接互联网但不一定安全的系统。
网络也很重要,人们普遍认为,随着航运业数字化的发展及连通性的增强,安全性将变得更加重要。船东和运营商所面临的问题是如何尽可能减轻船员的合规负担,而使用基于系统的方法来识别威胁及管理风险,从而让技术发挥积极作用。
长期处于这个行业中的大型企业可能已经达到 IMO2021 的要求,但对于 IT 装备有限的小型运营商而言,这些要求代表着额外负担,且关系重大。对于拥有涵盖 IT 和 OT 系统的复杂网络的运营商而言,这代表着船员需承担一系列额外任务,除非可通过最少的额外管理来有效应对。
对于现在的自愿性网络安全准则,人们是否能够遵守往往取决于人为因素,即依赖于人行正确之事的意图。正是由于任务执行和更新记录方式方面这种透明性的缺乏,法规才寻求改变。
最起码,企业应施行适当的风险控制流程和措施以及应急计划,尤其是制定并实施检测网络事件所必需的活动。企业应制定并实施相关活动和计划,以实现良好的恢复能力,并让航运运营或服务所必需的系统在因网络事件受损后能够迅速恢复。
从降低风险的角度来看,网络威胁能否真正得到有效“监管”很难说。国际海事组织所提出的要求是所有运营商都应达到并超过的最低基准要求。SIRE 和 TMSA 等行业审核系统已经达到其要求,与网络相关的审查有望继续加强。
采取积极的策略保护 IT 和 OT 系统免受网络威胁意味着时间和资源的持续投资,但不作为是万万行不通的。船东和运营商必须高度重视网络安全问题,否则将面临更大风险。
More about new Cyber Security Regulations
Individual companies will clearly vary in terms of systems, personnel, procedures and preparedness. The risks to a specific ship will also be unique and dependent upon the specific integration of cyber systems aboard.
It is nonetheless up to ship owners and operators to assess their cyber risks and to implement appropriate mitigating measures. Each ‘Document of Compliance’ holder must consider their own cyber risks and implement necessary measures in their SMS.
For this reason, Voyager Worldwide has implemented a number of security measures. We have also prepared instructions that may help mitigate security risks. You can read more about these provisions here in our Voyager Cyber Security Procedures.