近日,一艘深吃水船舶遭遇了网络恶意软件入侵事件并对船上网络造成了严重影响,这一事件暴露了商船上存在的潜在安全漏洞,美国海岸警卫队(USCG)就此发布下附06-19号海上安全警报。从这次的调查结果来看,USCG认为此次事故并不是一个简单的IT问题。他们指出,在21世纪的海运环境中,确保网络安全是一项基本的操作。USCG强烈建议所有船舶、船舶所有者及其经营人进行网络安全评估,以便更好地了解其潜在的网络缺陷。
典型案例有哪些
近年来,航运业界相继出现了一些网络安全的典型事件:
2011年,“耶沃利”号油船从阿拉伯湾启程前往地中海,由于该轮的行程、货物、船员、地点以及有无武装警卫等各项信息被海盗雇佣的技术人员提前获悉,从而被海盗锁定并劫持;
2011、2013年,安特卫普港的信息系统遭到网络攻击,货物数据被篡改,使得毒品走私计划得逞;
2014年,燃料供应商全球燃料服务公司(WFS)因被保险公司指控卷入一起网络攻击事件,付出了缴纳罚款约1800万美元的代价;
2015年,伦敦船东保赔协会发布消息称,船舶网络诈骗数量正日益增加,其中包括拦截船舶代理商的邮件,入侵其电子邮箱账号,以实施将原支付账户换成新的银行账户等计划;
2017、2018年,Petya的网络病毒袭击全球,多家著名航运企业在全球多处办事机构及部分业务单元的IT系统因此出现故障,遭受重大损失。
从席卷全球的“WannaCry”勒索病毒,到卷土重来的“暗云Ⅲ”病毒,再到升级传播手段的“Petya”勒索病毒,计算机黑客们正在利用计算机系统、工控系统、网络系统的漏洞对电力、供水、航运乃至国家部门的通信和网络系统发起攻击,因此,快速识别网络威胁并降低风险变得越发重要。
风险点在哪里
通常,船用网络可分为两类,第一类是用于信息收集和信息管理服务的网络,如,用于报告,调度,库存管理,运营和维护管理,电子邮件,电话,打印服务及船岸通信系统,这类网络通常称为信息网络(IT网络),其组成包括船员使用的计算机、网关、路由器、文件服务器、数据库服务器、应用服务器等设备;第二类是负责采集、监视和控制全船设备的运行状态,服务于船舶操控系统的网络,称为控制网络(OT网络),例如,分布于机舱的主推进监控系统、辅机监控系统、电站监控系统、火灾报警系统等以及驾驶台上的导航系统、综合船桥系统等。
随着网络技术在航运业的广泛应用,船舶网络在许多涉及船舶安全和防污染的关键系统中发挥越来越重要的作用,但伴随着网络的运用,网络风险随之而来。网络风险来自多方面的,如程序中的操作错误、软件缺陷、未经授权访问的系统入侵、管理公司对船舶网络未能采用有效的风险控制程序等。通过调查发现,智能船舶易受网络风险攻击的系统包括船桥系统、货物操作和管理系统、推进和机械设备管理以及动力控制系统、访问控制系统、乘客服务和管理系统、乘客公共网络管理及船员保障系统、通信系统等。
“保障网”如何搭建
如何化解可能存在的重大风险已日益成为交通运输行业急需解决的问题之一。
(一) 国际层面
国际海事组织(IMO)海上安全委员会(MSC)在第96届大会通过了《海事网络风险管理暂行指南》(MSC.1/Circ.1526),后由第98届大会批准的《海事网络风险管理指南》(MSC-FAL.1/Circ.3)替代,为业界应对船舶网络安全提供了指导。同时根据第98届大会通过的决议MSC.428(98)-《安全管理体系中的海事网络风险管理》,该决议强调公司的安全管理体系应结合ISM规则的目标和功能要求考虑网络风险管理,鼓励各国政府不迟于2021年1月1日之后的首次DOC初次审核、换证审核或年度审核时,应核查安全管理体系是否包括了网络风险管理的相关内容,这是国际海事届为应对海事网络风险开展的实质性行动。
(二) 国家层面
我国于2016年11月7日颁布了《网络安全法》,并于2017年6月1日起施行。这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,也是是依法治网、化解网络风险的法律重器。此外,刚刚颁布的国家标准《网络安全等级保护基本要求》(GB/T 22239-2019)将于2019年12月1日开始实施,标志着网络安全等级保护进入2.0时代,适应了云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域网络安全保护需求。一系列法律和国家标准的相继出台,也为船舶网络安全管理提供了切实的法律保障和根本遵循。2019年5月16日,交通运输部等七部门联合印发了《智能航运发展指导意见》,对防范智能航运安全风险提出了明确的要求。
(三) 行业层面
近年来,国际和国内行业相关的机构相继开展了船舶网络安全的研究,并相继发布了应对船舶网络安全风险的指导性文件。如波罗的海航运公会(BIMCO)自2016年2月发布全球首份《船舶网络安全指南》(第一版)以来,受到了国际海事界的广泛关注,近日又联合业界有关航运组织和船公司发布了第三版指南,进一步细化了IMO指南,为业界提供了操作性非常强的指导;与此同时,BIMCO还发布了针对网络安全的合同条款,明确各方的责任,规避因网络安全风险带来的损失。
中国船级社(CCS)作为国家船检主力军,对网络安全也进行了深入的研究,于2017年发布了《船舶网络系统要求及安全评估指南》,通过对软件、硬件及风险三方面的指导意见,进一步针对网络状况及网络产品进行安全评估,协助航运业防范网络风险;CCS 同时成立了船舶网络空间安全研究中心,在网络安全技术与管理体系方面展开研究,为航运企业提供系统的网络测试、评估及技术咨询服务。2019年5月8日,CCS级首艘13500TEU智能集装箱船“中远海运荷花”轮首次通过了CCS整船网络安全评估后交付使用,CCS为该轮签发了首份“船舶网络安全符合证明”,标志着智能船舶发展进入与网络安全并重的阶段。
除此以外,业内专家强烈建议所有船舶、船舶所有者及其经营人进行网络安全评估,以便更好地了解其潜在的网络缺陷。同时,美国海岸警卫队强烈建议船舶和船舶所有人、经营人和其他相关方采取以下基本措施来提高其网络安全:首先,建议将网络分为“子网”,让对手不会轻易访问到重要的系统和设备;其次,将访问/权限限制在每个员工工作所需的级别,只有在必要的时候才能谨慎使用管理员帐户;再次,任何外部媒体在接入任一船载网络之前,都必须先在独立的系统上扫描恶意软件。永远不要在没有信任证书的情况下运行可执行的文件;最后,安装基本杀毒软件并定期更新非常有必要,同时切记要及时修补漏洞。