提升航運(yùn)業(yè)網(wǎng)絡(luò)信息安全需多管齊下,最終實(shí)現(xiàn)“外人進(jìn)不來(lái),進(jìn)來(lái)看不到、看到拿不走、拿走用不了、操作可追溯”的效果。
近日,一項(xiàng)由哥本哈根貿(mào)易協(xié)會(huì)全球海事論壇、大聯(lián)盟經(jīng)紀(jì)公司Marsh以及國(guó)際海事保險(xiǎn)聯(lián)盟聯(lián)合發(fā)布的調(diào)查研究報(bào)告顯示,“網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取”正在成為航運(yùn)業(yè)的致命弱點(diǎn),網(wǎng)絡(luò)安全問題在航運(yùn)業(yè)面臨的17個(gè)全球問題中位居榜首,網(wǎng)絡(luò)攻擊被認(rèn)為是最可能發(fā)生的問題,僅次于“全球經(jīng)濟(jì)危機(jī)”和“能源價(jià)格波動(dòng)”。
伴隨著航運(yùn)業(yè)向自動(dòng)化和數(shù)字化的轉(zhuǎn)型,網(wǎng)絡(luò)安全威脅對(duì)于航運(yùn)企業(yè)正常業(yè)務(wù)的開展,影響也越來(lái)越大,輕則數(shù)據(jù)泄露,重則業(yè)務(wù)癱瘓。如何更有效地應(yīng)對(duì)這些網(wǎng)絡(luò)威脅,是一個(gè)值得業(yè)界不斷思考和探索的問題。
攻擊連連 航運(yùn)業(yè)被黑客“盯上”
2017年,航運(yùn)業(yè)發(fā)生了多起嚴(yán)重的網(wǎng)絡(luò)攻擊事件。先是馬士基遭到Petya病毒攻擊,造成2.5億~3億美元的財(cái)務(wù)損失,此后克拉克森又遭遇未經(jīng)授權(quán)的計(jì)算機(jī)訪問系統(tǒng)事件,入侵者獲取數(shù)據(jù)后向克拉克森索取巨額贖金。甚至有一艘德國(guó)籍集裝箱船在行駛途中被黑客“劫持”導(dǎo)航系統(tǒng)10小時(shí),欲將該船引至控制區(qū)……
在某種程度上,受黑客攻擊的可能性大小與目標(biāo)的價(jià)值成正比,在這一點(diǎn)上,航運(yùn)業(yè)體現(xiàn)的更為明顯。因?yàn)橐环矫?,航運(yùn)業(yè)在國(guó)際經(jīng)濟(jì)貿(mào)易中占據(jù)著舉足輕重的位置;另一方面和航運(yùn)業(yè)的特點(diǎn)密切相關(guān),船舶使用壽命通常能達(dá)到數(shù)十年之久,而在網(wǎng)絡(luò)信息技術(shù)日新月異的今天,船岸信息交互難以滿足新時(shí)代網(wǎng)絡(luò)安全要求。此外,越來(lái)越多的商業(yè)調(diào)查機(jī)構(gòu)、獵頭、NGO、APT組織開始雇傭?qū)<遥秩牒竭\(yùn)公司內(nèi)網(wǎng)及信息系統(tǒng),獲取諸如設(shè)計(jì)圖紙、客戶名錄、協(xié)議報(bào)價(jià)、企業(yè)戰(zhàn)略規(guī)劃等信息對(duì)外販賣。
航運(yùn)信息安全專家孫輝在接受本刊記者采訪時(shí)表示,目前來(lái)看,針對(duì)航運(yùn)公司的網(wǎng)絡(luò)威脅主要有兩類。“一是無(wú)目標(biāo)的攻擊,內(nèi)網(wǎng)操作系統(tǒng)及第三方軟件漏洞是許多潛在的受攻擊目標(biāo),攻擊者利用0day(軟件破解)進(jìn)行廣撒網(wǎng)式無(wú)差別化攻擊。二是有針對(duì)性的攻擊,將某航運(yùn)公司設(shè)置為預(yù)定滲透目標(biāo),攻擊者為躲避網(wǎng)絡(luò)安全設(shè)備的防御機(jī)制,利用專門開發(fā)的更復(fù)雜的繞過技術(shù)和工具,實(shí)施多步驟攻擊,其破壞力較前者更大?!?/p>
此外,對(duì)于海上網(wǎng)絡(luò)安全而言,最棘手的挑戰(zhàn)之一就是每艘船都不盡相同,系統(tǒng)幾乎不存在標(biāo)準(zhǔn)化規(guī)定,尤其是很多船舶控制系統(tǒng)在設(shè)計(jì)之初并未考慮過網(wǎng)絡(luò)安全因素,并且隨著時(shí)間的推移,又增加了許多其他聯(lián)網(wǎng)技術(shù),導(dǎo)致網(wǎng)絡(luò)安全大門洞開。另外,航運(yùn)系統(tǒng)的操作環(huán)境也比典型的工業(yè)設(shè)備更具挑戰(zhàn)性,業(yè)內(nèi)曾有分析指出,大多數(shù)船舶都依賴VSAT/FBB衛(wèi)星通信進(jìn)行連接,其具有低寬帶和高時(shí)延的特點(diǎn),雖可以傳遞電子郵件和導(dǎo)航數(shù)據(jù)等通信信息,但卻無(wú)法實(shí)現(xiàn)漏洞補(bǔ)丁的實(shí)時(shí)修復(fù)和更新,這樣顯然給了黑客鉆空子的機(jī)會(huì)。
缺乏重視 航運(yùn)業(yè)“自吞苦果”
不得不說,對(duì)于網(wǎng)絡(luò)安全問題,長(zhǎng)期以來(lái)航運(yùn)業(yè)都未予以充分的重視。
據(jù)海事分析機(jī)構(gòu)SeaIntel和海事網(wǎng)絡(luò)安全公司Cyberkeel合作對(duì)航運(yùn)業(yè)的網(wǎng)絡(luò)安全防范調(diào)查結(jié)果顯示,在全球前50大船公司中,有44%的船公司網(wǎng)絡(luò)安全防范十分薄弱;2015 年Cyberkeel調(diào)查前20大船公司的系統(tǒng),發(fā)現(xiàn)有其中8家未對(duì)系統(tǒng)漏洞進(jìn)行修復(fù)。在馬士基遭遇勒索病毒攻擊事件后,Cyberkeel再次進(jìn)行調(diào)查,發(fā)現(xiàn)仍有兩家船公司沒有修復(fù)這些漏洞。
丹麥公司Cyber Keel,是一家自2013年以來(lái)專注于海運(yùn)行業(yè)網(wǎng)絡(luò)安全的公司。該公司首席執(zhí)行官兼創(chuàng)始人拉爾斯·詹森(Lars Jensen)表示,針對(duì)馬士基的攻擊,可以說是航運(yùn)業(yè)網(wǎng)絡(luò)安全變革的催化劑?!霸隈R士基遭到攻擊之前,我們處在行業(yè)大多數(shù)人都表示在認(rèn)真對(duì)待網(wǎng)絡(luò)風(fēng)險(xiǎn)的階段,但當(dāng)你從表面往下深入探討時(shí),發(fā)現(xiàn)很難找到大家有切實(shí)行動(dòng)?!闭采f道。
在這一點(diǎn)上,行業(yè)組織的作用也顯得有些滯后。BIMCO此前曾發(fā)布網(wǎng)絡(luò)安全指導(dǎo)方針,受到了IMO的稱贊,并被業(yè)界廣泛認(rèn)為是網(wǎng)絡(luò)援助的首選。此后,BIMCO于2017年發(fā)布了第二版指南,第三版計(jì)劃在今年年底前發(fā)布。
然而,BIMCO指南也有其局限性,因?yàn)樗粚?duì)海上船只提供指導(dǎo),雖然有一些陸地交叉,但仍然有一些差距,這意味著它不能被全行業(yè)采用。因此,目前仍沒有針對(duì)航運(yùn)業(yè)網(wǎng)絡(luò)潛在威脅的最佳實(shí)踐和風(fēng)險(xiǎn)緩解的官方指南。
著名信息安全咨詢公司NCC Group針對(duì)日益嚴(yán)峻的海上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)曾指出,海上網(wǎng)絡(luò)攻擊的潛在損失包括收益損失、環(huán)境破壞甚至人員傷亡,因此有必要制定并應(yīng)用一系列行動(dòng)指南或標(biāo)準(zhǔn)作為防護(hù)手段,還應(yīng)對(duì)海上信息系統(tǒng)、網(wǎng)絡(luò)、硬件設(shè)備、軟件等進(jìn)行安全測(cè)試,將網(wǎng)絡(luò)安全因素納入相關(guān)設(shè)備和系統(tǒng)的生命周期中。
亡羊補(bǔ)牢 如何有效防御
在發(fā)生一系列攻擊事件之后,越來(lái)越多的船公司開始投入大量資源以管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn),這顯然是一件好事。而優(yōu)化的方向就在于提高認(rèn)知、借助新技術(shù)建立防范制度、健全應(yīng)急預(yù)案等。
在提高認(rèn)知方面,航運(yùn)企業(yè)應(yīng)該充分確定哪些系統(tǒng)、數(shù)據(jù)和接口沒有受到保護(hù),從而計(jì)算一旦受到損害會(huì)造成的最大風(fēng)險(xiǎn),最終提出解決方案。在具體操作中,可以通過系統(tǒng)維護(hù)、補(bǔ)丁或軟件升級(jí)、船員系統(tǒng)(例如娛樂終端或個(gè)人電子郵件)與其他系統(tǒng)間保持獨(dú)立、關(guān)閉未使用的數(shù)據(jù)端口等方式來(lái)實(shí)現(xiàn)。
制定防范制度方面,在國(guó)際機(jī)構(gòu)和各個(gè)國(guó)家進(jìn)一步完善網(wǎng)絡(luò)安全指導(dǎo)方針的同時(shí),企業(yè)應(yīng)當(dāng)建立起適合自身架構(gòu)及運(yùn)行機(jī)制的網(wǎng)絡(luò)信息安全管控制度。
孫輝認(rèn)為,網(wǎng)絡(luò)信息安全問題從根本上說是人的問題,他表示:“航運(yùn)公司應(yīng)該建立健全內(nèi)部網(wǎng)絡(luò)信息安全組織架構(gòu),明確公司內(nèi)部首席信息安全官的基本職能。針對(duì)公司網(wǎng)絡(luò)架構(gòu)及信息系統(tǒng)特征,構(gòu)建網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及其措施,通過制度管理和技術(shù)防范,雙管齊下,規(guī)范員工行為,以達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的總體目標(biāo),最終實(shí)現(xiàn)‘外人進(jìn)不來(lái),進(jìn)來(lái)看不到、看到拿不走、拿走用不了、操作可追溯’的效果?!?/p>
在新技術(shù)運(yùn)用方面,區(qū)塊鏈技術(shù)或?qū)⒔o航運(yùn)業(yè)網(wǎng)絡(luò)安全帶來(lái)新的解決方案。孫輝表示,基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)架構(gòu)允許風(fēng)險(xiǎn)誕生且發(fā)展于局部,但始終不會(huì)突破全局,這很好的解決了當(dāng)前信息安全領(lǐng)域“中間人攻擊(身份竊取)、數(shù)據(jù)篡改、DDoS”等棘手問題。因此區(qū)塊鏈技術(shù)未來(lái)的發(fā)展應(yīng)用能夠提升航運(yùn)業(yè)的網(wǎng)絡(luò)安全指數(shù)。
應(yīng)急預(yù)案建立方面,上海國(guó)際航運(yùn)研究中心航運(yùn)信息化研究室主任徐凱指出,沒有能完全阻止病毒和網(wǎng)絡(luò)攻擊的方法,因此假設(shè)危機(jī)時(shí)刻會(huì)降臨并做應(yīng)急預(yù)案才是終極安全之道。網(wǎng)絡(luò)安全應(yīng)急預(yù)案主要由備份和容災(zāi)機(jī)制構(gòu)成,備份技術(shù)是將在線數(shù)據(jù)轉(zhuǎn)移成離線數(shù)據(jù)的過程,從而在數(shù)據(jù)損壞時(shí)進(jìn)行數(shù)據(jù)還原;容災(zāi)則是在現(xiàn)有系統(tǒng)外設(shè)置一套數(shù)據(jù)同步的備用系統(tǒng),當(dāng)系統(tǒng)發(fā)生故障時(shí),備用系統(tǒng)將接替工作保障正常地向網(wǎng)絡(luò)系統(tǒng)提供數(shù)據(jù)和服務(wù),以使系統(tǒng)不致停頓。
此外,保險(xiǎn)公司或許會(huì)助推航運(yùn)業(yè)在網(wǎng)絡(luò)安全方面持續(xù)進(jìn)步。目前,已經(jīng)有專業(yè)的保險(xiǎn)公司正在制定基于網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的政策。
科技引領(lǐng) 變挑戰(zhàn)為機(jī)遇
盡管有諸多優(yōu)化的方案值得借鑒,但面向航運(yùn)業(yè)更加信息化的未來(lái),機(jī)遇和挑戰(zhàn)始終共存。
隨著技術(shù)發(fā)展,未來(lái)的黑客可能會(huì)變得更加老練,他們將以更為巧妙的方式攻破現(xiàn)有的網(wǎng)絡(luò)信息安全防御架構(gòu),與此同時(shí),航運(yùn)業(yè)網(wǎng)絡(luò)信息安全學(xué)習(xí)曲線也將變得更加陡峭。
此外,隨著供應(yīng)鏈日益網(wǎng)絡(luò)化,以及整個(gè)行業(yè)不斷朝著無(wú)紙化的方向前進(jìn),攻擊面將日益增多,任務(wù)將變得更加艱巨。事實(shí)上,這不是某一個(gè)航運(yùn)公司是否會(huì)再次受到攻擊的問題,而是什么時(shí)候發(fā)生的問題。
拉爾斯·詹森表示:“值得欣慰的是,至少現(xiàn)在這個(gè)行業(yè)終于朝著正確的方向前進(jìn)了。”
即便如此,“因噎廢食”肯定不可取,航運(yùn)業(yè)追逐信息化的腳步也不應(yīng)該放緩。航運(yùn)信息技術(shù)服務(wù)商Cyberlogitec有限公司CEO崔長(zhǎng)林認(rèn)為,航運(yùn)業(yè)不能錯(cuò)過信息技術(shù)進(jìn)步所帶來(lái)的機(jī)遇,應(yīng)當(dāng)進(jìn)行深刻的變革,從改變管理實(shí)踐開始,到采用新的技術(shù)平臺(tái),以推動(dòng)行業(yè)的創(chuàng)新?!爸匾氖遣灰诳謶?,而是保持樂觀的態(tài)度,跟上時(shí)代的步伐,為不可避免的混亂做好準(zhǔn)備。”
孫輝則表示,未來(lái)的航運(yùn)業(yè),誰(shuí)站在網(wǎng)絡(luò)信息安全的制高點(diǎn)掌握核心科技,誰(shuí)就能實(shí)現(xiàn)贏家通吃。如果因?yàn)榫W(wǎng)絡(luò)信息安全出現(xiàn)紕漏,就會(huì)出現(xiàn)一著不慎,滿盤皆輸?shù)木置?。作為航運(yùn)從業(yè)者,應(yīng)該本著清醒的頭腦,未雨綢繆,有步驟,有計(jì)劃地提升企業(yè)網(wǎng)絡(luò)信息安全建設(shè),最終為我國(guó)航運(yùn)業(yè)的健康穩(wěn)定發(fā)展起到保駕護(hù)航的作用。