新技术塑造船舶航运业新未来，网络安全迎新挑战

据悉，挪威海事技术公司康士伯海事（Kongsberg）将与挪威化肥生产商Yara合作建造全球第一艘零排放全自动船，新船将命名为“Yara Birkeland”号，这将是全球首艘全电动支线集装箱船，完全实现零排放，以减少噪音和烟尘排放、改善地方道路安全性、削减氮氧化物和二氧化碳排放。“Yara Birkeland”号预计将于2018年下半年开始投入运营，负责将Yara波斯格伦生产工厂的货物运送至布雷维克和拉尔维克。“Yara Birkeland”号最初将作为一艘人工操作船舶运营，到2019年转向远程操作，预计将从2020年起实现全自动操作。 

除此之外，还有其他一些正在进行的举措，如罗尔斯·罗伊斯和全球拖船运营商Svitzer已经在丹麦哥本哈根港口成功展示了世界上第一个远程控制商用船——“Svitzer Hermod”。两家公司还签署了一项协议，以继续合作对船舶远程控制和自主运营进行测试，包括自主航行、情景意识、遥控中心和通信等。这一切都标志着航运连接技术正在迈向新时代，而且表明这个跟价值2100亿美元的行业已经准备好迎接更为美好的未来。

这些进步是值得庆贺的，但同时它们也带来了更多危险因素，扩大了攻击面，因为技术的进步除了会吸引投资目光外，也会吸引网络犯罪分子的目光，未来航运业将面临我们在陆地上所熟知的一切网络安全问题。

关于工业环境中运营技术（OT）所面临的威胁问题之前已经做过很多报道了，而且我们已经习惯在海上开展业务所面临的传统挑战——从海盗到集装箱港口发展瓶颈等。但是我们所不习惯的一个事实是，认识到集装箱船和其他事物一样也是一个运营技术（OT）环境，且正在面临有针对性的网络攻击威胁。

这些威胁时真实存在的：研究人员已经证实了许多针对最常见的航运系统的“概念验证”（PoC）攻击证据，而且有迹象表明导航计算机被用于系统升级的USB感染恶意软件的问题已经非常普遍。更糟糕的是，还有一些公共报告称，由于无防护的接口和无法更改的默认凭证，关键通信系统将得不到有效保护。

航运业的性质确实为加强网络安全带来了非常独特的挑战，但它们并非是完全不可逾越的。对于那些实践得当的公司来说，网络安全将助力其实现更加自动化和无人航运领域的巨大发展。

将新技术整合进航运业的挑战

对于航运网络安全而言，最棘手的挑战之一就是每艘船都不尽相同。它们几乎不存在什么标准化规定，尤其是当涉及船载控制系统以及高度混合的遗留系统时，许多这些系统在设计之初甚至从未考虑过安全因素。

此外，随着时间的推移又增加了许多其他联网技术。但在整合新的船载系统时，对“安全设计”原则并没有予以足够的重视。因此，许多船只出现“扁平化”的网络结构（即管理层次少而管理幅度大的一种结构形态），在这种结构中，用于导航和通信的新增联网系统被放置在与老旧的控制硬件相同的网络上，这样一来就会将许多漏洞引入到不具备足够内置保护的系统中，从而触发安全危机。

除此之外，航运系统的操作环境也比典型的工业设备更具挑战性。大多数船舶都依赖“甚小孔径终端”（Very Small Aperture Terminal，简称VSAT）卫星通信进行连接，其具有低宽带和高时延的特点。它可以传递一些通信信息，例如电子邮件和导航数据，但是在完成行业最佳安全实践方面却显得不那么可靠，如定期补丁修复和更新等。

当然也可以采取手动更新的方式，但是该行业的特性决定船只需要尽可能少地在港口停留，而当船只停留且宽带可用的情况下，安全更新项目往往排在优先列表非常靠后的位置，甚至排在升级导航软件和为机组成员下载新的数字娱乐之后。

此外，船载成员同样存在技能缺失的现象。IT负责人常常身兼数职，精力分散，很少有机会监控网络安全事件并对其做出有效响应。对于可能存在安全漏洞的问题进行远程监控是一种选择，但是由于海上缺乏可靠的宽带，使得这一操作变得很难实现。

推动航运安全迈向未来

虽然改变网络安全方式是亟需解决的事情，但它必须结合航运业本身特性。我们所看到的关于地面基础设施的规定和政府干预措施在海上执行起来将会比较困难。

事实上，很可能是保险公司而不是政府为航运公司提供动力以认真投资于更好的保护。专业保险公司正在制定基于网络攻击风险的政策，并可能成为更好实践的主要驱动因素。在政策发布和索赔处理之前，其可能会加紧尽职调查。

目前，业界确实认识到了这个问题。去年，国际海事组织（IMO）发布了关于网络安全的极佳指导方针，以确保航运安全可靠。这些指导方针是合理的，并且倡导了网络安全风险管理方法。

风险管理方法首先要确定哪些系统、数据和接口没有受到保护，以及一旦受到损害会造成的最大风险是什么，以及如何保护它们并缓解成功攻击所造成的后果。在航运环境中，这就意味着需要通过关闭未使用的数据端口来保护设备和网络，并确保OT和IT系统之间的全面网络隔离。重要的是，船员系统（例如娱乐终端或个人电子邮件）应该与其他一切系统间保持独立。因为针对航运系统最主要的威胁之一仍是通过U盘或邮件附件无意中感染恶意软件。

为此，需要加强对员工的安全意识培训工作。正如国际海事组织的指导方针所述：“高级管理层应该将网络风险意识文化融入组织的各个层面，确保完整且灵活的网络风险管理制度持续运行，并通过有效的反馈机制进行持续评估。”

此外，航运环境中还缺乏一些基本的安全防护措施部署，例如使用VPN进行通信和数据传输，以及对船载系统实施强大的用户身份验证，以便在全面安全审计中找出问题并加以解决。而且最重要的一点是，这些都是可解决的问题，是最基础的安全防护措施。

事实上，即便是利润再低的行业也需要对网络安全项目进行相应水平的投资，而目前，缺乏资源也已经成为行业面临的最重要的挑战因素之一。由于每艘船都是传统系统和增量升级（其原理就是将应用的旧版本Apk与新版本Apk做差分，得到更新的部分的补丁，例如旧版本的APK有5M，新版的有8M，更新的部分则可能只有3M左右）的独特配置，使得安全解决方案在整个航运系统范围内的部署工作变得异常艰难。

有效的网络安全也必须是业务高效的网络安全。这也就解释了为什么提高网络安全防御能力和加强航运网络应变能力的最佳途径之一，就是与正在通过经验发展所需专业知识的合作伙伴进行合作，与具备现有系统和新部署的供应链相关知识的合作伙伴进行合作。

航运业可以从改进的自动化和数据服务中获益，但其本身无法安全地实现这一点。