近日,一艘深吃水船舶遭遇了網絡惡意軟件入侵事件并對船上網絡造成了嚴重影響,這一事件暴露了商船上存在的潛在安全漏洞,美國海岸警衛隊(USCG)就此發布下附06-19號海上安全警報。從這次的調查結果來看,USCG認為此次事故并不是一個簡單的IT問題。他們指出,在21世紀的海運環境中,確保網絡安全是一項基本的操作。USCG強烈建議所有船舶、船舶所有者及其經營人進行網絡安全評估,以便更好地了解其潛在的網絡缺陷。
典型案例有哪些
近年來,航運業界相繼出現了一些網絡安全的典型事件:
2011年,“耶沃利”號油船從阿拉伯灣啟程前往地中海,由于該輪的行程、貨物、船員、地點以及有無武裝警衛等各項信息被海盜雇傭的技術人員提前獲悉,從而被海盜鎖定并劫持;
2011、2013年,安特衛普港的信息系統遭到網絡攻擊,貨物數據被篡改,使得毒品走私計劃得逞;
2014年,燃料供應商全球燃料服務公司(WFS)因被保險公司指控卷入一起網絡攻擊事件,付出了繳納罰款約1800萬美元的代價;
2015年,倫敦船東保賠協會發布消息稱,船舶網絡詐騙數量正日益增加,其中包括攔截船舶代理商的郵件,入侵其電子郵箱賬號,以實施將原支付賬戶換成新的銀行賬戶等計劃;
2017、2018年,Petya的網絡病毒襲擊全球,多家著名航運企業在全球多處辦事機構及部分業務單元的IT系統因此出現故障,遭受重大損失。
從席卷全球的“WannaCry”勒索病毒,到卷土重來的“暗云Ⅲ”病毒,再到升級傳播手段的“Petya”勒索病毒,計算機黑客們正在利用計算機系統、工控系統、網絡系統的漏洞對電力、供水、航運乃至國家部門的通信和網絡系統發起攻擊,因此,快速識別網絡威脅并降低風險變得越發重要。
風險點在哪里
通常,船用網絡可分為兩類,第一類是用于信息收集和信息管理服務的網絡,如,用于報告,調度,庫存管理,運營和維護管理,電子郵件,電話,打印服務及船岸通信系統,這類網絡通常稱為信息網絡(IT網絡),其組成包括船員使用的計算機、網關、路由器、文件服務器、數據庫服務器、應用服務器等設備;第二類是負責采集、監視和控制全船設備的運行狀態,服務于船舶操控系統的網絡,稱為控制網絡(OT網絡),例如,分布于機艙的主推進監控系統、輔機監控系統、電站監控系統、火災報警系統等以及駕駛臺上的導航系統、綜合船橋系統等。
隨著網絡技術在航運業的廣泛應用,船舶網絡在許多涉及船舶安全和防污染的關鍵系統中發揮越來越重要的作用,但伴隨著網絡的運用,網絡風險隨之而來。網絡風險來自多方面的,如程序中的操作錯誤、軟件缺陷、未經授權訪問的系統入侵、管理公司對船舶網絡未能采用有效的風險控制程序等。通過調查發現,智能船舶易受網絡風險攻擊的系統包括船橋系統、貨物操作和管理系統、推進和機械設備管理以及動力控制系統、訪問控制系統、乘客服務和管理系統、乘客公共網絡管理及船員保障系統、通信系統等。
“保障網”如何搭建
如何化解可能存在的重大風險已日益成為交通運輸行業急需解決的問題之一。
(一) 國際層面
國際海事組織(IMO)海上安全委員會(MSC)在第96屆大會通過了《海事網絡風險管理暫行指南》(MSC.1/Circ.1526),后由第98屆大會批準的《海事網絡風險管理指南》(MSC-FAL.1/Circ.3)替代,為業界應對船舶網絡安全提供了指導。同時根據第98屆大會通過的決議MSC.428(98)-《安全管理體系中的海事網絡風險管理》,該決議強調公司的安全管理體系應結合ISM規則的目標和功能要求考慮網絡風險管理,鼓勵各國政府不遲于2021年1月1日之后的首次DOC初次審核、換證審核或年度審核時,應核查安全管理體系是否包括了網絡風險管理的相關內容,這是國際海事屆為應對海事網絡風險開展的實質性行動。
(二) 國家層面
我國于2016年11月7日頒布了《網絡安全法》,并于2017年6月1日起施行。這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑,也是是依法治網、化解網絡風險的法律重器。此外,剛剛頒布的國家標準《網絡安全等級保護基本要求》(GB/T 22239-2019)將于2019年12月1日開始實施,標志著網絡安全等級保護進入2.0時代,適應了云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域網絡安全保護需求。一系列法律和國家標準的相繼出臺,也為船舶網絡安全管理提供了切實的法律保障和根本遵循。2019年5月16日,交通運輸部等七部門聯合印發了《智能航運發展指導意見》,對防范智能航運安全風險提出了明確的要求。
(三) 行業層面
近年來,國際和國內行業相關的機構相繼開展了船舶網絡安全的研究,并相繼發布了應對船舶網絡安全風險的指導性文件。如波羅的海航運公會(BIMCO)自2016年2月發布全球首份《船舶網絡安全指南》(第一版)以來,受到了國際海事界的廣泛關注,近日又聯合業界有關航運組織和船公司發布了第三版指南,進一步細化了IMO指南,為業界提供了操作性非常強的指導;與此同時,BIMCO還發布了針對網絡安全的合同條款,明確各方的責任,規避因網絡安全風險帶來的損失。
中國船級社(CCS)作為國家船檢主力軍,對網絡安全也進行了深入的研究,于2017年發布了《船舶網絡系統要求及安全評估指南》,通過對軟件、硬件及風險三方面的指導意見,進一步針對網絡狀況及網絡產品進行安全評估,協助航運業防范網絡風險;CCS 同時成立了船舶網絡空間安全研究中心,在網絡安全技術與管理體系方面展開研究,為航運企業提供系統的網絡測試、評估及技術咨詢服務。2019年5月8日,CCS級首艘13500TEU智能集裝箱船“中遠海運荷花”輪首次通過了CCS整船網絡安全評估后交付使用,CCS為該輪簽發了首份“船舶網絡安全符合證明”,標志著智能船舶發展進入與網絡安全并重的階段。
除此以外,業內專家強烈建議所有船舶、船舶所有者及其經營人進行網絡安全評估,以便更好地了解其潛在的網絡缺陷。同時,美國海岸警衛隊強烈建議船舶和船舶所有人、經營人和其他相關方采取以下基本措施來提高其網絡安全:首先,建議將網絡分為“子網”,讓對手不會輕易訪問到重要的系統和設備;其次,將訪問/權限限制在每個員工工作所需的級別,只有在必要的時候才能謹慎使用管理員帳戶;再次,任何外部媒體在接入任一船載網絡之前,都必須先在獨立的系統上掃描惡意軟件。永遠不要在沒有信任證書的情況下運行可執行的文件;最后,安裝基本殺毒軟件并定期更新非常有必要,同時切記要及時修補漏洞。
