日益增长的网络风险意味着业主应该做好接受更多监管的准备

ABS 网络安全总监 Angeliki Zisimatou 写道，围绕航运网络安全的呼声日益高涨，船东需要做出明智的选择

海上网络事件的数量和复杂性不断增加，新的连接形式和新的数字技术给长期以来感觉免受直接、有针对性的网络攻击的行业带来了额外的风险。

为了应对这些风险，业界已经看到了由行业主导的举措推动的各种法规的实施，但尚未制定全球统一标准。船东必须应对最新的法规，同时密切关注制定更实质性监管框架的前景。

IACS 针对船舶和系统的新统一要求、美国海岸警卫队针对美国国旗船舶的新规则、EMSA 和 BIMCO 的指导方针均已到位或即将推出。自ISM规则出台以来，国际海事组织一直关注网络安全问题，并将于近期再次将这一话题作为讨论议题。

网络给航运业带来了多方面的问题，而按照熟悉的路线划分的不同解决问题的方法使这一现实变得更加复杂。许多运营商正在认真对待这个问题，但反应通常取决于他们的规模和能力，以及他们以前是否有网络事件的经验。

一些企业正在大力投资，建立自己的安全运营中心和网络团队，并解决供应链漏洞。较小的运营商在评估和准备过程中不太先进。

同样的模式广泛适用于供应商，大型原始设备制造商致力于 IEC 标准，而小型技术提供商有时很难满足 IACS 要求。

在造船厂中也可以观察到同样的趋势，一些造船厂充分参与，而另一些则认为他们作为集成商的作用主要是从供应商那里收集信息。事实上，IACS UR 的要求在船舶和系统安全方面的要求非常具体，并且收集的数据可能存在差距。

了解风险

运营商面临的挑战之一是，有效的网络安全通常需要基于风险的方法，而大多数海事法规试图在本质上是规范性的，以更好地指导运营商并协助他们实施工作。缺乏通用数据格式以及假设最低安全控制级别的实施足够好可以导致合规性，但不一定安全。

一些船舶运营商仍然认为，与互联网“隔离”或仅使用最少的连接可以将风险降低到可接受的低水平。这一假设忽视了这样一个事实：83% 的组织报告称，至少有一次攻击是由内部人员（通常是员工）发起的，无论是有意还是无意。

所有运营商，无论规模大小，都应该从相同的基线开始，但进一步发展没有任何限制。所有人至少都应该完成风险管理计划，以了解其资产、相关漏洞和缓解措施。

制定该计划的一个主要因素是了解人为因素以及因缺乏培训和意识而产生的风险。船员培训尤其重要，因为许多船员没有接受过网络安全培训，并且不了解风险。

与此同时，围绕这个主题的噪音和竞争产品的混乱让买家感到困惑，他们发现很难确定什么会产生影响，什么不会产生影响。如果船级社提供更多信息和资源，买家将能够更好地了解网络风险和市场，并能够做出更明智的决策。

下一步

最重要的一步是不要仅仅依靠法规提供的控制来感受网络安全。以它们为起点，船舶运营商必须承认采取额外措施的必要性，这将不可避免地需要增加投资和资源。这种对增强网络安全的承诺应该是一项持续的努力。

该行业还将受益于匿名报告系统，以便可以共享经验和风险，类似于几年前由 ABS 和拉马尔大学开发的船舶安全数据库。美国海岸警卫队已经要求就网络事件进行一定程度的信息共享，因此这一趋势将会加速。

该行业还需要仔细考虑航运新技术的网络安全，以及连接第三方设备和系统供应商与运营商的长供应链所带来的始终存在的风险。

机器学习、工业物联网、区块链技术和数字孪生的潜力是显而易见的，但其中一些应用程序带来的技术风险尚未经过足够的测试，无法提供历史漏洞数据。人工智能在航运领域的前景对一些人来说是令人兴奋的，但用户是否了解它如何被用于恶意目的？

在船东可以获得如此多信息的时代，船级社作为公正建议来源的作用从未如此重要。 ABS 于 2016 年率先发布指南，正在更新其新船和现有船舶的网络符号，并引入新的灵活符号，以便根据船舶运营商的需求遵守多种标准。

一些数字安全专家认为，某种类型的网络事件实际上是不可避免的，最好这样考虑。风险确实存在，但船级社在帮助捍卫航运业方面负有集体责任，这是我们认真对待的责任。