提升航运业网络信息安全需多管齐下,最终实现“外人进不来,进来看不到、看到拿不走、拿走用不了、操作可追溯”的效果。
近日,一项由哥本哈根贸易协会全球海事论坛、大联盟经纪公司Marsh以及国际海事保险联盟联合发布的调查研究报告显示,“网络攻击和数据窃取”正在成为航运业的致命弱点,网络安全问题在航运业面临的17个全球问题中位居榜首,网络攻击被认为是最可能发生的问题,仅次于“全球经济危机”和“能源价格波动”。
伴随着航运业向自动化和数字化的转型,网络安全威胁对于航运企业正常业务的开展,影响也越来越大,轻则数据泄露,重则业务瘫痪。如何更有效地应对这些网络威胁,是一个值得业界不断思考和探索的问题。
攻击连连 航运业被黑客“盯上”
2017年,航运业发生了多起严重的网络攻击事件。先是马士基遭到Petya病毒攻击,造成2.5亿~3亿美元的财务损失,此后克拉克森又遭遇未经授权的计算机访问系统事件,入侵者获取数据后向克拉克森索取巨额赎金。甚至有一艘德国籍集装箱船在行驶途中被黑客“劫持”导航系统10小时,欲将该船引至控制区……
在某种程度上,受黑客攻击的可能性大小与目标的价值成正比,在这一点上,航运业体现的更为明显。因为一方面,航运业在国际经济贸易中占据着举足轻重的位置;另一方面和航运业的特点密切相关,船舶使用寿命通常能达到数十年之久,而在网络信息技术日新月异的今天,船岸信息交互难以满足新时代网络安全要求。此外,越来越多的商业调查机构、猎头、NGO、APT组织开始雇佣专家,侵入航运公司内网及信息系统,获取诸如设计图纸、客户名录、协议报价、企业战略规划等信息对外贩卖。
航运信息安全专家孙辉在接受本刊记者采访时表示,目前来看,针对航运公司的网络威胁主要有两类。“一是无目标的攻击,内网操作系统及第三方软件漏洞是许多潜在的受攻击目标,攻击者利用0day(软件破解)进行广撒网式无差别化攻击。二是有针对性的攻击,将某航运公司设置为预定渗透目标,攻击者为躲避网络安全设备的防御机制,利用专门开发的更复杂的绕过技术和工具,实施多步骤攻击,其破坏力较前者更大。”
此外,对于海上网络安全而言,最棘手的挑战之一就是每艘船都不尽相同,系统几乎不存在标准化规定,尤其是很多船舶控制系统在设计之初并未考虑过网络安全因素,并且随着时间的推移,又增加了许多其他联网技术,导致网络安全大门洞开。另外,航运系统的操作环境也比典型的工业设备更具挑战性,业内曾有分析指出,大多数船舶都依赖VSAT/FBB卫星通信进行连接,其具有低宽带和高时延的特点,虽可以传递电子邮件和导航数据等通信信息,但却无法实现漏洞补丁的实时修复和更新,这样显然给了黑客钻空子的机会。
缺乏重视 航运业“自吞苦果”
不得不说,对于网络安全问题,长期以来航运业都未予以充分的重视。
据海事分析机构SeaIntel和海事网络安全公司Cyberkeel合作对航运业的网络安全防范调查结果显示,在全球前50大船公司中,有44%的船公司网络安全防范十分薄弱;2015 年Cyberkeel调查前20大船公司的系统,发现有其中8家未对系统漏洞进行修复。在马士基遭遇勒索病毒攻击事件后,Cyberkeel再次进行调查,发现仍有两家船公司没有修复这些漏洞。
丹麦公司Cyber Keel,是一家自2013年以来专注于海运行业网络安全的公司。该公司首席执行官兼创始人拉尔斯·詹森(Lars Jensen)表示,针对马士基的攻击,可以说是航运业网络安全变革的催化剂。“在马士基遭到攻击之前,我们处在行业大多数人都表示在认真对待网络风险的阶段,但当你从表面往下深入探讨时,发现很难找到大家有切实行动。”詹森说道。
在这一点上,行业组织的作用也显得有些滞后。BIMCO此前曾发布网络安全指导方针,受到了IMO的称赞,并被业界广泛认为是网络援助的首选。此后,BIMCO于2017年发布了第二版指南,第三版计划在今年年底前发布。
然而,BIMCO指南也有其局限性,因为它只对海上船只提供指导,虽然有一些陆地交叉,但仍然有一些差距,这意味着它不能被全行业采用。因此,目前仍没有针对航运业网络潜在威胁的最佳实践和风险缓解的官方指南。
著名信息安全咨询公司NCC Group针对日益严峻的海上网络安全风险曾指出,海上网络攻击的潜在损失包括收益损失、环境破坏甚至人员伤亡,因此有必要制定并应用一系列行动指南或标准作为防护手段,还应对海上信息系统、网络、硬件设备、软件等进行安全测试,将网络安全因素纳入相关设备和系统的生命周期中。
亡羊补牢 如何有效防御
在发生一系列攻击事件之后,越来越多的船公司开始投入大量资源以管控网络安全风险,这显然是一件好事。而优化的方向就在于提高认知、借助新技术建立防范制度、健全应急预案等。
在提高认知方面,航运企业应该充分确定哪些系统、数据和接口没有受到保护,从而计算一旦受到损害会
造成的最大风险,最终提出解决方案。在具体操作中,可以通过系统维护、补丁或软件升级、船员系统(例如娱乐终端或个人电子邮件)与其他系统间保持独立、关闭未使用的数据端口等方式来实现。
制定防范制度方面,在国际机构和各个国家进一步完善网络安全指导方针的同时,企业应当建立起适合自身架构及运行机制的网络信息安全管控制度。
孙辉认为,网络信息安全问题从根本上说是人的问题,他表示:“航运公司应该建立健全内部网络信息安全组织架构,明确公司内部首席信息安全官的基本职能。针对公司网络架构及信息系统特征,构建网络安全技术和信息防护策略及其措施,通过制度管理和技术防范,双管齐下,规范员工行为,以达到网络和信息资产安全可控的总体目标,最终实现‘外人进不来,进来看不到、看到拿不走、拿走用不了、操作可追溯’的效果。”
在新技术运用方面,区块链技术或将给航运业网络安全带来新的解决方案。孙辉表示,基于区块链技术的网络架构允许风险诞生且发展于局部,但始终不会突破全局,这很好的解决了当前信息安全领域“中间人攻击(身份窃取)、数据篡改、DDoS”等棘手问题。因此区块链技术未来的发展应用能够提升航运业的网络安全指数。
应急预案建立方面,上海国际航运研究中心航运信息化研究室主任徐凯指出,没有能完全阻止病毒和网络攻击的方法,因此假设危机时刻会降临并做应急预案才是终极安全之道。网络安全应急预案主要由备份和容灾机制构成,备份技术是将在线数据转移成离线数据的过程,从而在数据损坏时进行数据还原;容灾则是在现有系统外设置一套数据同步的备用系统,当系统发生故障时,备用系统将接替工作保障正常地向网络系统提供数据和服务,以使系统不致停顿。
此外,保险公司或许会助推航运业在网络安全方面持续进步。目前,已经有专业的保险公司正在制定基于网络攻击风险的政策。
科技引领 变挑战为机遇
尽管有诸多优化的方案值得借鉴,但面向航运业更加信息化的未来,机遇和挑战始终共存。
随着技术发展,未来的黑客可能会变得更加老练,他们将以更为巧妙的方式攻破现有的网络信息安全防御架构,与此同时,航运业网络信息安全学习曲线也将变得更加陡峭。
此外,随着供应链日益网络化,以及整个行业不断朝着无纸化的方向前进,攻击面将日益增多,任务将变得更加艰巨。事实上,这不是某一个航运公司是否会再次受到攻击的问题,而是什么时候发生的问题。
拉尔斯·詹森表示:“值得欣慰的是,至少现在这个行业终于朝着正确的方向前进了。”
即便如此,“因噎废食”肯定不可取,航运业追逐信息化的脚步也不应该放缓。航运信息技术服务商Cyberlogitec有限公司CEO崔长林认为,航运业不能错过信息技术进步所带来的机遇,应当进行深刻的变革,从改变管理实践开始,到采用新的技术平台,以推动行业的创新。“重要的是不要屈服于恐惧,而是保持乐观的态度,跟上时代的步伐,为不可避免的混乱做好准备。”
孙辉则表示,未来的航运业,谁站在网络信息安全的制高点掌握核心科技,谁就能实现赢家通吃。如果因为网络信息安全出现纰漏,就会出现一着不慎,满盘皆输的局面。作为航运从业者,应该本着清醒的头脑,未雨绸缪,有步骤,有计划地提升企业网络信息安全建设,最终为我国航运业的健康稳定发展起到保驾护航的作用。
来源:中国航务周刊
|