提升航運業(yè)網絡信息安全需多管齊下,最終實現“外人進不來,進來看不到、看到拿不走、拿走用不了、操作可追溯”的效果。
近日,一項由哥本哈根貿易協會全球海事論壇、大聯盟經紀公司Marsh以及國際海事保險聯盟聯合發(fā)布的調查研究報告顯示,“網絡攻擊和數據竊取”正在成為航運業(yè)的致命弱點,網絡安全問題在航運業(yè)面臨的17個全球問題中位居榜首,網絡攻擊被認為是最可能發(fā)生的問題,僅次于“全球經濟危機”和“能源價格波動”。
伴隨著航運業(yè)向自動化和數字化的轉型,網絡安全威脅對于航運企業(yè)正常業(yè)務的開展,影響也越來越大,輕則數據泄露,重則業(yè)務癱瘓。如何更有效地應對這些網絡威脅,是一個值得業(yè)界不斷思考和探索的問題。
攻擊連連 航運業(yè)被黑客“盯上”
2017年,航運業(yè)發(fā)生了多起嚴重的網絡攻擊事件。先是馬士基遭到Petya病毒攻擊,造成2.5億~3億美元的財務損失,此后克拉克森又遭遇未經授權的計算機訪問系統事件,入侵者獲取數據后向克拉克森索取巨額贖金。甚至有一艘德國籍集裝箱船在行駛途中被黑客“劫持”導航系統10小時,欲將該船引至控制區(qū)……
在某種程度上,受黑客攻擊的可能性大小與目標的價值成正比,在這一點上,航運業(yè)體現的更為明顯。因為一方面,航運業(yè)在國際經濟貿易中占據著舉足輕重的位置;另一方面和航運業(yè)的特點密切相關,船舶使用壽命通常能達到數十年之久,而在網絡信息技術日新月異的今天,船岸信息交互難以滿足新時代網絡安全要求。此外,越來越多的商業(yè)調查機構、獵頭、NGO、APT組織開始雇傭專家,侵入航運公司內網及信息系統,獲取諸如設計圖紙、客戶名錄、協議報價、企業(yè)戰(zhàn)略規(guī)劃等信息對外販賣。
航運信息安全專家孫輝在接受本刊記者采訪時表示,目前來看,針對航運公司的網絡威脅主要有兩類。“一是無目標的攻擊,內網操作系統及第三方軟件漏洞是許多潛在的受攻擊目標,攻擊者利用0day(軟件破解)進行廣撒網式無差別化攻擊。二是有針對性的攻擊,將某航運公司設置為預定滲透目標,攻擊者為躲避網絡安全設備的防御機制,利用專門開發(fā)的更復雜的繞過技術和工具,實施多步驟攻擊,其破壞力較前者更大。”
此外,對于海上網絡安全而言,最棘手的挑戰(zhàn)之一就是每艘船都不盡相同,系統幾乎不存在標準化規(guī)定,尤其是很多船舶控制系統在設計之初并未考慮過網絡安全因素,并且隨著時間的推移,又增加了許多其他聯網技術,導致網絡安全大門洞開。另外,航運系統的操作環(huán)境也比典型的工業(yè)設備更具挑戰(zhàn)性,業(yè)內曾有分析指出,大多數船舶都依賴VSAT/FBB衛(wèi)星通信進行連接,其具有低寬帶和高時延的特點,雖可以傳遞電子郵件和導航數據等通信信息,但卻無法實現漏洞補丁的實時修復和更新,這樣顯然給了黑客鉆空子的機會。
缺乏重視 航運業(yè)“自吞苦果”
不得不說,對于網絡安全問題,長期以來航運業(yè)都未予以充分的重視。
據海事分析機構SeaIntel和海事網絡安全公司Cyberkeel合作對航運業(yè)的網絡安全防范調查結果顯示,在全球前50大船公司中,有44%的船公司網絡安全防范十分薄弱;2015 年Cyberkeel調查前20大船公司的系統,發(fā)現有其中8家未對系統漏洞進行修復。在馬士基遭遇勒索病毒攻擊事件后,Cyberkeel再次進行調查,發(fā)現仍有兩家船公司沒有修復這些漏洞。
丹麥公司Cyber Keel,是一家自2013年以來專注于海運行業(yè)網絡安全的公司。該公司首席執(zhí)行官兼創(chuàng)始人拉爾斯·詹森(Lars Jensen)表示,針對馬士基的攻擊,可以說是航運業(yè)網絡安全變革的催化劑。“在馬士基遭到攻擊之前,我們處在行業(yè)大多數人都表示在認真對待網絡風險的階段,但當你從表面往下深入探討時,發(fā)現很難找到大家有切實行動。”詹森說道。
在這一點上,行業(yè)組織的作用也顯得有些滯后。BIMCO此前曾發(fā)布網絡安全指導方針,受到了IMO的稱贊,并被業(yè)界廣泛認為是網絡援助的首選。此后,BIMCO于2017年發(fā)布了第二版指南,第三版計劃在今年年底前發(fā)布。
然而,BIMCO指南也有其局限性,因為它只對海上船只提供指導,雖然有一些陸地交叉,但仍然有一些差距,這意味著它不能被全行業(yè)采用。因此,目前仍沒有針對航運業(yè)網絡潛在威脅的最佳實踐和風險緩解的官方指南。
著名信息安全咨詢公司NCC Group針對日益嚴峻的海上網絡安全風險曾指出,海上網絡攻擊的潛在損失包括收益損失、環(huán)境破壞甚至人員傷亡,因此有必要制定并應用一系列行動指南或標準作為防護手段,還應對海上信息系統、網絡、硬件設備、軟件等進行安全測試,將網絡安全因素納入相關設備和系統的生命周期中。
亡羊補牢 如何有效防御
在發(fā)生一系列攻擊事件之后,越來越多的船公司開始投入大量資源以管控網絡安全風險,這顯然是一件好事。而優(yōu)化的方向就在于提高認知、借助新技術建立防范制度、健全應急預案等。
在提高認知方面,航運企業(yè)應該充分確定哪些系統、數據和接口沒有受到保護,從而計算一旦受到損害會造成的最大風險,最終提出解決方案。在具體操作中,可以通過系統維護、補丁或軟件升級、船員系統(例如娛樂終端或個人電子郵件)與其他系統間保持獨立、關閉未使用的數據端口等方式來實現。
制定防范制度方面,在國際機構和各個國家進一步完善網絡安全指導方針的同時,企業(yè)應當建立起適合自身架構及運行機制的網絡信息安全管控制度。
孫輝認為,網絡信息安全問題從根本上說是人的問題,他表示:“航運公司應該建立健全內部網絡信息安全組織架構,明確公司內部首席信息安全官的基本職能。針對公司網絡架構及信息系統特征,構建網絡安全技術和信息防護策略及其措施,通過制度管理和技術防范,雙管齊下,規(guī)范員工行為,以達到網絡和信息資產安全可控的總體目標,最終實現‘外人進不來,進來看不到、看到拿不走、拿走用不了、操作可追溯’的效果。”
在新技術運用方面,區(qū)塊鏈技術或將給航運業(yè)網絡安全帶來新的解決方案。孫輝表示,基于區(qū)塊鏈技術的網絡架構允許風險誕生且發(fā)展于局部,但始終不會突破全局,這很好的解決了當前信息安全領域“中間人攻擊(身份竊取)、數據篡改、DDoS”等棘手問題。因此區(qū)塊鏈技術未來的發(fā)展應用能夠提升航運業(yè)的網絡安全指數。
應急預案建立方面,上海國際航運研究中心航運信息化研究室主任徐凱指出,沒有能完全阻止病毒和網絡攻擊的方法,因此假設危機時刻會降臨并做應急預案才是終極安全之道。網絡安全應急預案主要由備份和容災機制構成,備份技術是將在線數據轉移成離線數據的過程,從而在數據損壞時進行數據還原;容災則是在現有系統外設置一套數據同步的備用系統,當系統發(fā)生故障時,備用系統將接替工作保障正常地向網絡系統提供數據和服務,以使系統不致停頓。
此外,保險公司或許會助推航運業(yè)在網絡安全方面持續(xù)進步。目前,已經有專業(yè)的保險公司正在制定基于網絡攻擊風險的政策。
科技引領 變挑戰(zhàn)為機遇
盡管有諸多優(yōu)化的方案值得借鑒,但面向航運業(yè)更加信息化的未來,機遇和挑戰(zhàn)始終共存。
隨著技術發(fā)展,未來的黑客可能會變得更加老練,他們將以更為巧妙的方式攻破現有的網絡信息安全防御架構,與此同時,航運業(yè)網絡信息安全學習曲線也將變得更加陡峭。
此外,隨著供應鏈日益網絡化,以及整個行業(yè)不斷朝著無紙化的方向前進,攻擊面將日益增多,任務將變得更加艱巨。事實上,這不是某一個航運公司是否會再次受到攻擊的問題,而是什么時候發(fā)生的問題。
拉爾斯·詹森表示:“值得欣慰的是,至少現在這個行業(yè)終于朝著正確的方向前進了。”
即便如此,“因噎廢食”肯定不可取,航運業(yè)追逐信息化的腳步也不應該放緩。航運信息技術服務商Cyberlogitec有限公司CEO崔長林認為,航運業(yè)不能錯過信息技術進步所帶來的機遇,應當進行深刻的變革,從改變管理實踐開始,到采用新的技術平臺,以推動行業(yè)的創(chuàng)新。“重要的是不要屈服于恐懼,而是保持樂觀的態(tài)度,跟上時代的步伐,為不可避免的混亂做好準備。”
孫輝則表示,未來的航運業(yè),誰站在網絡信息安全的制高點掌握核心科技,誰就能實現贏家通吃。如果因為網絡信息安全出現紕漏,就會出現一著不慎,滿盤皆輸的局面。作為航運從業(yè)者,應該本著清醒的頭腦,未雨綢繆,有步驟,有計劃地提升企業(yè)網絡信息安全建設,最終為我國航運業(yè)的健康穩(wěn)定發(fā)展起到保駕護航的作用。
