全民战“疫”仍在继续,一些行业已经积极准备复工复产,为了防控新冠肺炎疫情,许多公司都采取线上办公模式。“受疫情影响,让大家的办公模式发生了变化,无纸化、无接触式办公成为常态,疫情过后,航运业数字化转型一定会加速推进。”上海国际航运研究中心航运信息研究所所长徐凯在近日接受记者采访时表示,在数字化进程中,网络安全问题也一定会与之相随,我们不能因噎废食,但也必须正视问题,积极防御。
就在近日,360公司旗下的网络安全防御雷达系统——360安全大脑,首次拦截到了以“新冠病毒”为主题的网络袭击,经分析,不法分子仿冒新加坡航运公司Nova的官方域名“www.nova-ship.com”,由此可以推断,此次攻击主要针对航运业。
航运业进入黑客视野
随着航运业向自动化和数字化转型,船舶、企业由“离线”进入“在线”,越来越多接入网络的数据、隐私、资产等信息变得更有价值,利用网络攻击从外部入侵变得越来越有利可图。网络安全威胁对于航运企业正常业务的开展,影响也越来越大,轻则数据泄露,重则业务瘫痪。
自从2017年行业巨头马士基遭受网络病毒攻击,遭受巨大损失,网络安全成为全行业关注的焦点。随后,一项由哥本哈根贸易协会全球海事论坛、大联盟经纪公司Marsh以及国际海事保险联盟联合发布的调查研究报告显示,“网络攻击和数据窃取”正在成为航运业的致命弱点。
某种程度上,受黑客攻击的可能性大小与目标的价值成正比,在这一点上,航运业体现得更为明显。“一般来说,黑客攻击一定会选择代价小收益高的领域。”徐凯说,航运业在国际经济贸易中占据着举足轻重的地位,而随着船舶大型化,一艘远洋船舶的货物价值可能达到十几亿。“但海运费与船货价值相比,占比非常低,一些黑客攻击航运企业网站,截取相关信息,更多的可能是达到勒索的目的。”徐凯分析。2017年勒索病毒的漫延也印证了这个观点。
而且,整个行业防范网络安全的意识不强,也是易受网络攻击的原因之一。调查显示,在全球五十大船公司里面,有44%的船公司网络安全防范十分薄弱。
矛盾相生相伴
“海运业作为一个古老的行业,在企业信息化方面与新兴行业相比,存在明显差距,对于网络风险方面的防范仍显不足。”武汉理工大学智能交通中心交通信息与智能系统所所长马枫在接受本报记者采访时表示,网络风险主要来自两方面,一是对于一般公司信息系统的攻击,从这个层面上来说,航运公司与其他公司需要采取的网络安全防护措施并没有太大差别;另一方面是技术上,由于船舶长期远离陆地,数据传输受到限制,船舶所应用的软硬件系统、病毒防御系统更新缓慢,更容易受到网络攻击。
“黑客和网络安全就像矛和盾的关系,不存在最锋利的矛,也没有坚不可摧的盾。”徐凯说,“安全是需要成本的,企业要把有限的精力和资金用到最有价值的信息保护上,为核心信息穿上坚硬的盔甲。”
据了解,一趟海运航程通常需要十多天甚至几个月,参与各方包括船代、货代、船公司、港口等公司,资金、货物、单据等信息严重不同步,这都会给不法分子带来可趁之机。记者梳理2011年至今航运业界网络安全的典型事件,包括船舶行程、货物、船员、地点以及有无武装警卫等信息被海盗窃取,导致船舶被劫持;港口信息系统被攻破,货物数据被篡改,使得毒品走私计划得逞;勒索病毒使多家著名航运企业在全球多处办事机构及部分业务单元的IT系统出现故障,遭受重大损失。伦敦船东保赔协会曾发布消息称,船舶网络诈骗数量正日益增加,其中包括拦截船舶代理商的邮件,入侵其电子邮箱账号,以实施将原支付账户换成新的银行账户等计划。
规范指导防御网络攻击
针对层出不穷的网络病毒、网络攻击,还没有一个全面的解决方案,只能积极防御,马枫告诉记者,2017年以后,业界加大了对网络安全的重视,目前很多国家和组织相继出台了有关网络安全的指南,国际海事组织(IMO)批准的《海事网络风险管理指南》为业界应对船舶网络安全提供了指导。
据了解,国际海事组织同时批准的《安全管理体系中的海事网络风险管理》决议强调公司的安全管理体系应结合ISM(国际安全管理认证)规则的目标和功能要求考虑网络风险管理,鼓励各国政府不迟于2021年1月1日之后的首次DOC(安全符合证书)初次审核、换证审核或年度审核时,应核查安全管理体系是否包括了网络风险管理的相关内容,这是国际海事届为应对海事网络风险开展的实质性行动。波罗的海航运公会(BIMCO)发布的全球首份《船舶网络安全指南》进一步细化了IMO指南,为业界提供了操作性非常强的指导;与此同时,BIMCO还发布了针对网络安全的合同条款,明确各方的责任,规避因网络安全风险带来的损失。
我国也出台了一系列网络安全法律法规。2017年6月1日,我国《网络安全法》施行,2019年12月1日《网络安全等级保护基本要求》开始实施,这也为航运企业和船舶网络安全管理提供了切实的法律保障和根本遵循。
2019年5月16日,交通运输部等七部门联合印发《智能航运发展指导意见》,明确提出加强智能航运环境下的网络安全风险分析,研究智能航运网络和信息安全策略,重点开发事前感知、事中防御、事后分析的网络安全技术,创新智能航运网络与信息安全管理服务体系,从制度上降低网络安全风险。
针对船舶网络安全,中国船级社(CCS)于2017年发布了《船舶网络系统要求及安全评估指南》,就如何建立航运业适用的船舶网络安全相应管理要求,规范相关操作流程、维护过程等方面提出了要求,并以此为依据对船舶网络状况及网络产品进行安全评估。CCS 同时成立了船舶网络空间安全研究中心,在网络安全技术与管理体系方面展开研究,为航运企业提供系统的网络测试、评估及技术咨询服务。2019年5月8日,13500TEU智能集装箱船“中远海运荷花”轮首次通过了CCS整船网络安全评估后交付使用,CCS为该轮签发了首份“船舶网络安全符合证明”,标志着智能船舶发展进入与网络安全并重的阶段。
运用新技术筑起安全屏障
除了遵循相关的法律要求、指南规范,要有效地防范网络风险,企业安全意识也必须加强。航运业产业链非常长,涉及的领域也非常多,船代、货代、船东、中介、船公司、班轮公司、港口企业等等,这些行业信息化程度参差不齐,核心信息也各不相同。“航运业有自身业务特点和需要特别保护的数据信息,对于企业而言,业务信息,比如客户订单、账户、船舶货物、提单等信息;内部管理数据,比如船员信息、船舶安保措施、邮件信息等都是需要重点保护的。可以从防泄漏、防篡改、防伪造三个方面考虑将这些关键的信息进行隔离或防护,加强防护,避免外部入侵。”徐凯说。
除此之外,业内专家认为,建立有效的网络安全管控制度也相当重要。首先要审视企业本身的安全,整个网络系统包括岸上和海上的每一个环节都要进行风险评估,确定哪些系统、数据和接口没有受到保护,进入的数据会出现哪些风险要予以关注,建立起适合自身架构及运行机制的网络信息安全管控制度。
“同时,由于海运信息传输在国际互联网上,缺乏物理隔离条件,需要应用区块链技术,消除一些数据被恶意损坏或篡改的风险。”在徐凯看来,区块链的分布式存储架构,让篡改难以隐匿,使航运企业的网络系统、调度系统、结算系统更加干净透明,令黑客无所适从。
“除了区块链技术,量子通信技术将运用于汽车、船舶的远程驾驶,也值得我们关注。”马枫说,量子通信在原理上可以提供一种无条件安全的通信手段,将大幅度提升信息安全水平,未来可应用于船岸协同,实现船岸信息共享,协同瞭望、驾驶,甚至共享资深船长、轮机长,真正实现智能航运。