2017年,航运业遭遇有史以来最严重的网络攻击。2月,黑客劫持一艘德国集装箱船使其导航系统失灵约10小时,欲将其引至控制区。6月,航运巨头马士基(MAERSK)遭到Petya勒索病毒攻击,导致公司系统瘫痪,并关闭了几个港口。马士基被迫重设4000台服务器,并更新50000台设备,损失金额高达3亿美元。11月,航运业知名咨询公司克拉克森遭遇未经授权的计算机访问系统入侵,入侵者获取数据后向克拉克森索取巨额赎金。
网络攻击轻则使航运公司数据泄露、业务瘫痪,重则使船舶漏油甚至发生爆炸。2018年11月,一项由哥本哈根贸易协会全球海事论坛、国际保险经纪公司达信以及国际海上保险联盟联合发布的调查研究报告显示,网络攻击和数据窃取正成为航运业的致命弱点,网络安全问题在航运业面临的17个全球问题中位居榜首。
一、航运业网络空间威胁正不断加剧
近年来,海洋大国均视智能航运为当前航运业发展的前沿与趋势,积极推动智能船舶以及数字港口建设,连接到船舶、港口的互联网基础设施数量不断增多。但在信息化和数字化方面投入巨大的马士基遭遇的网络攻击事件使业内意识到,航运业对于网络攻击准备不足。据2017年海事分析机构SeaIntel和海事网络安全公司Cyberkeel对航运公司的网络安全防范调查结果显示,在全球排名前50的航运公司中,有44%的航运公司网络安全防范体系十分薄弱。对此,有关专家解释称,航运公司不愿直面网络攻击问题主要是担心自身IT安全网络漏洞会被外界认为存在高风险点。如果此问题无法根除,则更容易使人误解为公司默许客户机密信息被泄露。
此外,航运业目前还未建立适用于自身特点的网络安全体系,互联网连接设备的增多或使其在种类、频率方面增加被攻击的可能性。以船舶网络安全体系为例,有关文献报道,造船业通常采用通用的操作系统及通信协议、工业PLC和其他高度商业化的产品构建信息化系统。这些软硬件产品通常具有公开资料,从而降低了攻击者对船舶发起网络攻击的难度。此外,大多数船舶都依赖海事宽带FBB和通信卫星VSAT进行连接,其虽可以传递电子邮件和导航数据等通信信息,但却无法实时更新和修复漏洞,因此给黑客提供了攻击机会。由此可见,当前船舶所用的网络技术体系存在较大隐患,而该隐患在船舶信息化发展过程中将愈发凸显。
航运业以往对网络安全建设的忽视给黑客提供了许多攻击机会。虽然目前航运业面临的网络安全问题主要集中在数据信息泄露方面,但不排除网络攻击持续升级的可能性,甚至可能出现恐怖主义行为。例如,恐怖分子通过渗透船舶网络直接控制船舶,从而使船舶相撞、触礁、搁浅或导致危险品泄露。航运业如何规避网络安全风险,以及风险发生后如何应对,这些都是亟待解决的问题。
二、主要国家与组织对此采取的措施
鉴于航运业当前面临的严峻网络安全问题,世界主要国家与组织均对此做出响应,出台一系列政策最大程度规避其可能带来的风险。
航运组织层面发布的权威网络安全指南是2016年波罗的海国际航运工会联合国际邮轮协会、国际航运协会、国际干散货船东协会和国际独立油轮船东协会等组织,发布的全球首个船舶网络安全指南——《船舶网络安全导则》。该导则旨在向行业提供清晰全面的网络安全风险信息,以助力相关方采取恰当措施,应对网络威胁事件。但值得注意的是,该导则也有局限性,因为其只对船舶提供指导,并不能广泛应用于航运业全产业链,如港口、物流运输等环节中。因此,目前仍没有针对航运业网络攻击风险缓解的官方指南。预计未来随着网络空间威胁不断加剧,国际组织将对此制定一个更为完善的指导方针。
除航运组织外,主要海洋国家也意识到航运网络安全建设的重要性,其中以美国最为积极。美国政府层面由海岸警卫队和国土安全部推动网络安全相关工作,致力于减轻网络攻击对航运部门造成的威胁。2015年6月,美国海岸警卫队发布《网络安全战略》,讨论了对海岸警卫队未来实施网络安全战略最重要的几个因素,包括对网络空间的重视程度、界定并发展维护网络安全指导方案及任务类型、分享实时信息、增加专业人员维护网络安全等。与此同时,国土安全部也不断提高对网络安全风险的认识,其于2016年3月发布名为《恶意网络活动对港口操作带来的后果》报告,阐述网络攻击对港口及其他行业基建产生的连带影响。此外,非政府组织如美国船级社十分重视网络安全建设,其于2016年7月推出业界首个基于风险的管理计划——“网络安全”(CyberSafetyTM)计划。该计划旨在降低有关网络安全、自动化系统安全、数据完整性和软件验证的风险。近年来,美国船级社在世界各地积极召开研讨会推广其网络安全计划,意欲使该计划演变成航运业网络安全标准指南。
此外,欧洲、亚洲等国家也重视航运业面临的网络安全问题,相继公布系列举措。2017年9月,英国政府推出《船舶网络安全实操规则》,旨在就船上实施和维护良好的网络安全实操提供详细信息。2018年6月,挪威船级社发布首个网络安全船级符号,旨在帮助船东和运营方保护其资产免遭网络安全攻击。2019年5月,新加坡成立一个新的全天候海事网络安全行动中心,旨在使新加坡海事及港务管理局与海事关键信息基础设施展开密切合作,确保这些基础设施的安全,并调查任何网络安全相关的威胁或事件。
尽管主要航运组织与国家对航运网络安全体系建设已有一定意识,但其对于网络风险应对措施的研究还处于探索阶段,远不如像对金融、互联网等行业的网络安全问题研究得深入,航运网络安全保障工作还有很长的路要走。
三、加强航运网络安全建设对我国的重要意义
作为航运大国,加强航运网络安全建设对我国具有重要的现实意义。其一,航运网络安全与“海上丝绸之路”建设密切相关。“海上丝绸之路”中大部分贸易运输依靠航运完成,建设通畅的海上运输通道和安全的航海环境,是构建“海上丝绸之路”的基本条件。其二,智能船舶是《中国制造2025》中明确重点发展的领域,代表船舶未来发展方向。但近年来日益凸显的网络安全问题,成为制约智能船舶发展的障碍之一。为此,2017年7月,中国船级社推出《船舶网络系统要求及安全评估指南》,旨在为日益严峻的船舶网络安全问题提供解决方案。但随着船舶智能化水平的不断提升,船舶遭受网络安全威胁的风险将逐渐加大,网络安全管理也将变得越来越复杂。对此,我应把网络安全防护技术、影响网络安全的因素结合起来,采取有效防护措施,增强内部人员的网络安全意识和技能,真正从源头上解决网络安全问题。
作者简介
武志星,国务院发展研究中心国际技术经济研究所研究三室助理研究员
声明:本文来自全球技术地图,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
