悬挂巴拿马国旗的重型货轮“长赐”号3月23日在苏伊士运河新航道搁浅,造成航道堵塞。经过连续数天救援后,搁浅货轮于3月29日成功起浮脱浅,目前仍停留在苏伊士运河的泊位中。埃及方面和货轮管理方正对事故原因进行调查。4月13日,国际知名自动化专家Joe Weiss在国际自动化网站controlglobal.com上发文质疑,难道“长赐”号是被黑客攻击了吗?并大胆推测,使用民用船只阻止航道航行的能力,可能是一种损害经济和军事能力的新方法。Weiss的猜测其实抛出了一个很值得思考的问题,大型商船乃至海事基础设施的网络安全问题,这显然还是一个未受重视的领域!

搁浅原因追问

上海海事大学商船学院船长、副教授王德岭在接受《中国科学报》采访时表示,天气原因应该不是造成搁浅的主要原因,一方面苏伊士运河很少发生超强大风,另一方面“长赐号”货轮前后同行的几艘货船都是同样类型的船舶。但他也指出,货轮搁浅处的航道宽度只有300多米,而“长赐号”货轮长约400米,如此狭窄的航道,一旦遭遇突发情况,驾驶员需要在1分钟甚至更短时间内作出反应。他告诉记者,通常情况下,船舶搁浅的原因包括外力、驾驶不当、设备故障等。外力而言,例如船舶在航行中遇到大风、风暴潮、急流等情况,稍有不慎就容易偏航导致搁浅。“通常而言,船体越大抗风能力越强,但也意味着受力面积更大。”

实际上,船舶也有“黑匣子”,即“船舶航行数据记录仪”。“它能将驾驶台的各种声音、船舶动态、机舱主机工作状态等数据全部记录下来。与航海日志等其他记录方式不同,它具有不可修改性,是事故调查取证的关键。”王德岭说。

另据央视新闻4月2日消息,当地时间4月2日,据意大利NOVA新闻社报道,苏伊士运河管理局两名官员透露,由于“长赐号”货轮船长的错误操作,导致该船在完全驶入苏伊士运河航道前船首严重偏离航向并“产生剧烈摇摆”,随后在运河中搁浅。苏伊士运河管理局两名官员同时表示,船长的错误操作与伴随着沙尘暴的强风几乎“同时发生”,但天气因素并不能“完全造成船只搁浅”。

看来船长误操作的可能性较大,但这样一个现代化的货轮,应当有完备的自动化响应机制来弥补误操作的错误。眼下的解释似乎还不能让人信服。

网络攻击的猜测

Joe Weiss的文章称,尽管他无法找到具体的细节,包括什么类型的设备或网络能力。因为这艘船相当现代化,预计它有多个备用电源。他被告知船周围的动力是通过手动开关板来实现的。它也可以预期,因为这是一艘现代化的船,它将配备最先进的远程可访问仪表、控制系统和通信系统。

Weiss称他收集的控制系统安全事件数据库中,包括30多个海上控制系统网络事件(总共他有超过1300个控制系统网络事件的数据库)。海上控制系统网络事件包括失去推进力、船舶设备损坏、船舶偏离航向以及码头起重机掉下集装箱。俄罗斯、中国、伊朗和其他国家曾多次入侵全球定位系统(GPS),影响船只、无人机等。英国《泰晤士报》2018年6月22日报道,防范不力的船舶极易受到货船集装箱船常用的电子海图显示和信息系统(ECDIS)的网络攻击。ECDIS系统应该在每次端口调用时更新。破坏ECDIS系统可能会使船只的明显位置移动300米,给船员和其他交通造成错误读数。导航系统的微小变化可能会在繁忙的航线上造成碰撞或导致船只搁浅。

Weiss称,商船往往具有扁平的计算机网络。也就是说,这些网络通常是没有防火墙或其他网络安全措施的未分区网络。默认口令不仅在防火墙上很常见,而且在可编程逻辑控制器(PLC)和卫星通信设备上也很常见。这是一个潜在的安全问题,因为PLC控制的方向舵可以远程访问。此外,还有一些例子表明,导航通信系统已被秘密地访问,从而能够访问推进、转向控制等。在来自不同国家的变压器等大型设备中恶意安装硬件后门的行业经验非常丰富。因此,它不会意外如果有后门安装在一些关键设备用于推进和转向,其他网络通路存在影响软件和/或硬件通过预先执行的命令,或其他方法可以控制船的关键系统。

Weiss称有人告诉他,这艘船的速度是变化的——有快有慢。在该船转向并搁浅之前,据说该船失去了所有动力,尽管有备用系统来维护操舵。事件发生后,对船长进行了采访,其中一名船长表示,船上有三个备用发电机来阻止这种情况的发生,他不明白为什么船失去了所有的电力,而锚却没有部署到位。在船舶的安全管理系统中应该有处理这类故障的程序。有人向他解释,如果船长在控制(引航员发出指令,但仍然是船长的责任),如果船长有时间做出反应,就应该抛锚。在这种紧急情况下,一般有安全仪表开关来启动。

Weiss称,有人告诉他这艘船的反常行为有两种最合理的解释要么是动力供给问题,要么是网络攻击。动力供应问题应该导致无数的警报和不影响方向舵控制,而网络攻击可以压制任何或所有的警报和潜在的危及方向舵控制。WEIss称其无法查明是否有任何警报是由于操控失灵或失去动力、转向问题等引起的,或者是否这些警报是故意静音的。如果船失去了所有的动力,预计驾驶室将没有可用的系统,舵的位置也不会改变。

难以打消的疑问

Weiss在文章最后写道,问题肯定比答案多。他想到的一些问题还包括:

1、在失去动力后多久船才会搁浅?

2、锚是在失去动力后掉落的吗?

3、是否有告警显示主电源和备用电源功率下降?

4、关键系统是否从可疑地点被远程访问?

5、为什么在最后转弯前,这艘船没有直行穿过苏伊士运河?

6、失去动力后,为什么该船实际上向左转朝向苏伊士运河河岸,而不是继续向前行驶?

Weiss在最后的结论部分写道,在现代战争中,网络威胁提供了最终的推诿责任。可能导致上述事件的网络攻击已经发生。因此,使用民用船只阻止航道航行的能力,可能是一种损害经济和军事能力的新方法。2017年,美国海军和民用船只在海上发生了一系列碰撞事件。人们将碰撞归咎于海军船只,而不是对民用船只进行网络调查,以确定它们是否是发生碰撞的真正原因。“长赐”号和其他基础设施事件需要一个协议来执行控制系统网络取证,包括网络取证和工程取证。当然,这只是一种推测,可能并不是对苏伊士运河上具体发生的事情的确切描述。但这些问题似乎值得研究。

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。