在一切监控正常的情况下船舶莫名其妙驶入错误的水域,并落入海盗的包围圈;在港口正常装载货物,由于压载系统的失控,船舶在合理的配载方案下倾覆。

这听起来像莫名其妙像是电影里的场景,但在现实中的又是的确可能出现的事情。在对船上导航定位系统进行入侵后,入侵者恶意修改相应数据,船舶在神不知鬼不觉的情况下便发生了意外。不怕海盗会打架,就怕海盗有文化。如今大多数海上海盗不再只是在海驾驶快艇搜寻船舶、登船抢劫。相反,他们坐在千里之外的办公室电脑前。通过自制的电脑系统侵入船舶系统,了解所有装载货物的舱单信息,确定了哪些集装箱装载了货值较高的货物,然后派遣传统海盗登上船只,将船员扣为人质,并精确的找到他们想要的东西。

上世纪末至本世纪初,计算机技术和移动网络技术已经彻底改变了人类的生产方式,被称为第三次工业革命和第四次工业革命。与此同时,网络安全问题始终处在风口浪尖的位置。

过去,大多数远洋船舶使用隔离的专用工业控制系统,该系统具有定制的网络协议,只要端点和通信的物理安全性良好,系统安全问题几乎不会出现。唯一的入侵途径,只能来自硬件的手脚和内部的系统控制师。如伊朗的离心机事件。

而如今船舶上配备了一系列电子导航、指挥和控制系统,通过卫星与全球互联网相连, 加上船员对互联网的使用,意味着船只充满了连接和自动化系统,使得它们在内部和外部都受到特别的攻击。

航运业正面临哪些威胁

船舶操作系统安全

虽然现今的船舶还未达到无人船、自动化那样理想的高科技,但自动化模块,信息操控系统的运用在船上已经相当普遍。一般的商船系统主要包含

  • 船舶导航系统(GPS,ECDIS,AIS等)

  • 通信系统(V-SAT,FBB等) -

  • 机械系统(主机,辅助发动机,转向机等) -

  • 船舶监控和安全系统(CCTV,SSAS),门禁系统等。) -

  • 车辆操纵系统(V / V遥控系统,液位/压力监测系统等)。

这些系统在船上属于高危系统,由于船舶投资的特殊性,很多系统无法做到及时的更新,运用的程序很有可能是好几年前,甚至十几年的。在信息化发展如此之快的今天,这显然是矛盾出现的根结所在。落后对的系统面临当下先进的黑客技术不堪一击,这简直就是降维打击。恶意入侵和篡改数据绝对不是空穴来风。

接管命令和控制系统、向GPS接收机发送错误的星历数据,这都将使船舶在“不知不觉”的情况下失控。随着船舶向自动化程度的增加,这些危险将进一步提高。在这个角度看来,智能无人船的实现绝非一个简单的过程。

公司安全

公司网站、操作系统的漏洞可能比船上的漏洞更容易入侵的。由于缺乏这方面的重视和网络安全保护的必要性,很多船公司在网站构建时运用的技术相当简单,甚至有些落后。存在的很多漏洞可能在很多年前已经在网上披露出来,但船公司因为自身经营状况对此无动于衷,直到近几年安全事故频频爆出。

对于船公司的网络攻击主要的形式包括勒索软件、入侵邮箱和数据库信息泄露。

迄今为止,与网络相关最大的经济损失是勒索软件和恶意软件造成的2017年马士基受勒索病毒影响,损失高达3亿美元。2017年勒索软件事件在全球范围内爆发,航运业由于其脆弱的网络安全体系成了重灾区之一。入侵马士基的勒索软件名为Petya,导致马士基系统20小时的瘫痪,公司离线十天,并关闭了几个港口。马士基被迫重设了4000台服务器,并更新了50000台设备。

同年航运业知名咨询公司克拉克森也声明遭到了黑客的入侵,一个独立的未经授权的访问者非法进入该公司电脑系统,导致此次网络安全事件。数据泄露的直接经济损失虽然不是特别明显,但是对于公司的发展和潜在的利益损失却是巨大的。

黑客利用公司系统的漏洞隐瞒身份并篡改数据,还可以授权shell访问权限,shell访问可以通过向终端屏幕输入指令来重置e-mail,修改密码,发送邮件或关闭安全监控来上传恶意文件,这样的结果将是灾难性的。2013年荷兰一个毒品团队就曾雇佣黑客来修改船公司的集装箱调度,企图将两个装有毒品的集装箱转移到其熟悉的港口。

针对员工个人

恶意的入侵可能也会直接面向公司的员工和船上的船员个人。正如现在经经常会面临的网络钓鱼和骚扰邮件、短信。个人信息在网上不知什么地方已经被泄露了,当有人故意去搜集并把相关信息整理到一起时,网络安全漏洞就暴露在敌人眼前。个人移动网络和公司的局域网络在没有充分保护的情况下混杂在一起,信息的漏洞由此打开,通过个人辐射到整个服务部门,影响供应链,总部,港口,码头和船舶。历史上一些著名的黑客事件都是通过这种方式在网络上得以迅速传播并造成广泛的社会危害。

IHS Fairplay Maritime Cyber-security 2017年调查显示,其中284名受访者中有74%认为其公司最容易受到网络攻击的节点在于员工。这些调查结果表明船公司明显缺乏对互联网安全基础知识的培训。

航运企业能做什么

1、基于政策重视安全评估

2017年6月7-16日,国际海事组织(IMO)海上安全委员会第98届会议(MSC 98)批准MSF-FAL.1联合通函Circ.3“海上网络风险管理指南”。同时还通过了《有关安全管理体系的海上网络风险管理的MSC.428(98)号决议》,该决议强调批准的安全管理系统应结合ISM规则的目标和功能要求考虑网络风险管理,鼓励各国政府确保不迟于2021年1月1日之后的首次DOC年度验证时,安全管理系统应反映网络风险管理相关内容,请相关公司考虑建立船舶网络风险管理程序文件,并纳入ISM体系。

同年,中国船级社也推出了《船舶网络系统要求及安全评估指南》,作为指导性文件为船公司提供了参考。

船公司不仅需要评估船舶IT(信息技术)设备,还要评估船上OT(操作技术:对船上软件、硬件和相关网络的检测和控制技术系统)设备产生的风险,同时要确立适当的保护措施,防范涉及IT或OT设备的网络事件。

除了ISPS规则和ISM规则中的要求之外,船公司还需要关注地区法律规范,如欧盟的《通用数据保护条例》。

2、及时更新软件、操作系统

船公司现有的常见网络漏洞包括:

  • 操作系统过时或不受支持

  • 防病毒软件以及恶意软件防护过期或缺失

  • 未采取适当的安全配置和最佳做法,包括无效的网络管理以及使用默认的管理员帐户和密码

  • 船上计算机网络缺乏边界保护措施和网络分段

  • 对保证安全起关键作用的设备或系统始终与岸侧相连接

  • 对第三方(包括承包商和服务供应商)的访问控制不足。

这一切漏洞都源于系统软件和操作系统的落后,由于船舶的使用寿命很长,在海上航行的时间较长,速度较慢,因此很容易与互联网发展脱节。

快速、便捷地研究、评估、测试和部署补丁是关键,由于绝大多数漏洞会影响到第三方应用,因此,仅是修补和更新操作系统还不够。广泛集成,最好将修补作业引入更大规模的安全生态系统。

除了自己建立IT技术部门,船东也可以投资James Fisher Mimic,Gatehouse Maritime和SRT Marine Systems等提供商的反黑客安全产品。这些公司生产和销售网络监控系统,可以检测并响应入侵或黑客攻击并恢复船舶的功能。这些安全系统包使用IDS(入侵检测系统)监视内部和外部网络流量,并防止使用IPS(入侵防御系统)进入。

3、积极组织安全培训

当今,网络安全中最薄弱的环节是人为因素。因此,通过给予员工适当的培训,来帮助其识别和报告网络事件,具有重要意义。

网络安全培训应该分为陆上员工培训和针对船员的网络安全培训,因为两者面临的工作环境完全不同。目前面向公司的网络安全培训随着人们安全意识的上升已经越来越成熟和专业化,公司只需要提高重视并投入相应的资金组织培训课程。但是面向船员的安全培训仍有不足,并受到现实因素的制约。培训和意识教育应根据包括船长、高级船员、普通船员在内的船上人员的资历进行量身定制。

4、网络安全保险

网络安全保险是一种新兴的险种,目前仍在发展起步阶段。对于中小型企业来说,投资网络安全险不失为一种有利的选择。

但是目前这个险种的问题存在仍然很多,比如网络安全的评判,止赔额度的确定,都还没有形成成熟的模式。

2017年,网络保险的市场份额为35-40亿美元,但到2020年预计将增长到80亿至90亿美元。

声明:本文来自中国水运报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。