運輸環境擁堵不堪，能見度受限，可控性不足，進港船只密集，這些都是港口危害的成因。據統計，42%的歐盟船舶事故(傷亡/船舶損失)都發生在港口區域，44%的作業船傷亡事故發生在拖輪上。自主航運可以帶來許多益處，包括將船員從危險、繁復的工作中解放出來，提高船舶安全性。然而，隨著網絡安全不斷威脅著各行各業，這項新生的技術也成了一個龐大的攻擊對象。如果說自主航行船舶是海運行業的未來，那么網絡威脅就是它的阿喀琉斯之踵。

羅羅公司已經推出了一艘自動化拖輪，系統供應商瓦錫蘭正在測試自動化靠泊解決方案，在這兩項設計中，網絡安全都是不可分割的一部分。西英格蘭保賠協會(West of England P&I)資深承保人Chris South指出，以下4種因素推動了海事業網絡安全需求：

● 自動化——機械越來越受軟件控制；

● 一體化——多種船上系統形成互聯；

● 遠程監控——企業陸上辦公室運用船-岸通訊持續監控船上設備；

● 所有系統都已連網。

網絡攻擊帶來極大風險

一旦上述系統發生故障或者網絡安全管理不當，船東、港口運營商以及他們的保險公司就會面臨極大的風險。風險就是潛在的損失(即來自于網絡攻擊)，它們不僅存在于辦公室環境，而且也會影響船舶公司所使用的實體資產。針對實體資產的攻擊并非沒有先例。2015年，烏克蘭電網遭遇網絡攻擊導致22.5萬人失去電力供應。船舶網絡安全攻擊也會利用船舶的分布式控制系統與發動機形成交互，或者利用港口自動化吊車移動貨物，其他脆弱的系統也容易受到攻擊。

網絡攻擊造成的損害可能影響公司的聲譽的品牌形象，干擾公司業務，從生理上傷害員工或者引發財務和法律后果。將網絡犯罪(在IT基礎設施上實施的犯罪活動)相關的直接、間接和機會成本都考慮在內，咨詢公司Accenture表示企業或機構由此遭受的平均損失高達1300萬美元。如果攻擊造成了人員傷亡，損失代價就會更大。

在考慮這些風險時，企業管理層會思考哪里可能出問題、網絡攻擊發生的可能性、攻擊造成的影響以及采取何種措施減輕或者將攻擊發生的可能性和造成的影響降到最低。不幸的是，有太多管理人員過度自信或者錯誤地判斷了自己的減災能力。網絡安全處理不當就會后患無窮，因此，具有風險規避意識并且謹慎的公司通常會雇傭外部網絡安全專家來給他們的策略把關，或者幫助他們確定安全目標狀態。這些錢花的很值。

哪些系統易受攻擊？

人為失誤是海上安全事故的主要成因。船舶可控性因素具有負面效應，但卻不是事故誘因。大部分情況下出錯的都是人。自主航運能夠減輕人為失誤的風險，但是船舶的自動化系統也可能會遭到網絡攻擊，進而操縱航行、轉向或者推進系統。由此帶來的后果非常嚴峻——船舶碰撞、擱淺，導致航道無法通行。事實證明，自主航運所涉及的三種航行系統相當脆弱：

● 全球導航衛星系統(GNSS)，該系統能夠提供準確的船舶定位，但也可能受到操縱欺騙船員變更航線；

● 電子海圖顯示與信息系統(ECDIS)，該系統能夠以數字化的形式存儲海圖和航線信息，但是如果遭到黑客攻擊并且接收了虛假信息就會導致船員制定出錯誤的路線；

● 船舶自動識別系統(AIS)，該系統能夠監控附近交通狀況防止船舶碰撞，但也可能遭到攔截，接收虛假船舶信息(位置、動向或者身份)。

GNSS欺騙攻擊已經十分常見。2013年，得克薩斯大學的一組研究人員演示了一例GNSS欺騙事件，他們僅用了一個價值3000美元的GPS欺騙攻擊系統、一個小型天線還有一臺筆記本電腦就使一艘8000萬美元的私人游艇偏離了航線。船舶位置變了，但是海圖顯示的、船員看到的僅僅是一條直線。

其他系統也面臨著風險。國際航運公會(ICS)列出了以下容易受到利用的船上系統：

● 貨物管理系統，用于控制貨物且有可能連接港口碼頭系統；

● 船舶駕駛臺系統，用于航行以及推進控制；

● 推進和機械管理以及電力控制系統，用于監測和控制船上機械、推進和轉向；

● 訪問控制系統，用于保護船舶和貨物實體安全，還用于船舶監視和報警系統；

● 乘客服務與管理系統，用于管理有價值的乘客數據；

● 面向乘客的公用網絡，接入互聯網供乘客使用；

● 行政和船員福利系統，用于網絡訪問和郵件應用；

● 通訊系統，通過衛星/無線通訊進行網絡連通。

這些系統如果暴露在不受控制的網絡中或者直接接入互聯網，危險就會發生。如果把船舶IT系統和操作設備都連接成網絡，然后又把它們都接入互聯網以供岸上監控，就會增加船舶的脆弱性。即便是最關鍵的船上系統也逃不脫黑客的訪問。因為操作技術(OT)與關鍵、敏感的設備和進程都有交互，因此它需要特殊的安全考慮。

在任何情況下，操作技術都不應該有直接的網絡訪問，包括用于自主控制的系統。

操作技術系統有專門的網絡安全指南，例如NIST 800-82，這是專為工業控制系統制定的安全框架。可惜的是，海事企業的網絡意識和網絡安保能力一直不高。不過，即便在網絡安全方面達到了“平均”水平也是不夠的。畢竟危險太大了。

網絡安全專家一致認為對抗網絡入侵和破壞的最好做法就是在多層防御中構筑多種安全防御屏障。雖然沒有什么能確保免疫，但是采用Zero Trust安全模式能夠顯著降低風險。這是一種基于“絕不信任任何連接，對每一個連接都要嚴格驗證”的概念的安全模式。

監管機構應該扮演什么角色？

面對網絡安全問題，監管機構應當發揮積極作用。歐盟的《通用數據保護條例》(GDPR)賦予了監管人員跨領土的權限，他們能夠對違反歐盟公民數據隱私的企業處以年度全球營業額4%或者2000萬歐元的罰款。國際海事組織(IMO)正在探索如何在其法規框架內解決自主航運相關的問題。一場針對海運業的網絡攻擊可能會激起眾多監管機構的怒火。

一些船舶利益相關方也在構建基于云端的自主航運平臺。許多岸上行業已經加入了云端，但需要提醒的是：將應用遷移到云端也會增加安全復雜性，新的威脅也會隨之出現。

一個AWS應用程序防火墻配置不安全就導致內部人員從一家大銀行盜取了1.06億個人記錄。細節決定成敗。在網絡安全方面，正確地掌握細節是必不可少的一步。

網絡安全不僅僅是一種防御手段，它還能促進業務發展，增強企業聲譽，提高客戶和合作伙伴的忠誠度和信任。如果一項設計融合了網絡安全措施，它的競爭力就會大大增加。William Saito在將網絡安全比作日本子彈列車的制動器時說得非常好——剎車決定了速度。“剎車的存在不是為了拖累子彈列車的表現，有了它們，子彈列車才能比傳統列車行駛得更快，因為它們讓列車司機得以控制速度。要是真想跑得快，你就需要有上好的剎車。”