从El Faro获得教训评估网络风险

©aetb / Adob​​e股票

国际海事组织（IMO）2021年1月对船东和管理者将网络风险管理纳入现有安全管理体系的最后期限比许多人意识到的要紧密得多，特别是考虑到风险呈现的复杂情况以及需要详细程序帮助保护海洋资产和企业。未能妥善处理网络风险远远大于简单的事实，即如果发现船舶不合规，船舶可能被港口国当局扣留。网络事件对海洋利益带来的风险正在被提出，这是好事，但重要的是我们要记住，这只是我们面临的众多风险之一。通过研究过去在处理传统风险方面的失败情况，我们可以更好地理解我们如何低估或正常化我们环境中存在的风险。随着最近发布的关于El Faro下沉的NTSB最终报告 ，我花了一些时间审查报告并回顾自己的经历。我很难过地看到，在1983年El Faro损失和海洋电力公司损失情况方面存在许多相似之处。NTSB报告中的一些声明和结果影响了许多船上作业 - 不仅仅是恶劣的天气情况El Faro。受影响的船上操作将包括即将到来的网络安全保障和程序。

NTSB报告有关船舶安全管理系统的以下段落：

“安全管理体系。根据ISM规则，公司 - 船东或承担船舶运营责任的任何其他组织 - 负责为其船舶建立SMS，是公司的责任。根据守则第1.2.2条，SMS应该“评估所有确定的对其船舶，人员和环境的风险，并建立适当的保障措施”。通过这种方式，守则（第7条）指示“公司应建立程序，计划和指示，包括适当的检查单，用于关于人员安全，船舶和环境保护的关键船上作业。“此外，该守则要求公司”识别潜在的应急船上情况并建立程序以回应给他们。”

也：

“概要。仅仅使用短信不足以防止灾难发生。有必要派专门的人员为船长提供有效的指导和程序。强大的培训和审计确保遵循指导和程序。 DP应积极参与SMS的维护工作，并应在每次航行中监督其指定船舶。“

NTSB报告还包含以下建议：

• NTSB建议美国海岸警卫队在安全建议M-17-40中：审查和实施海岸警卫队检查员和认可的船级社检验员的培训，以确保他们具有适当的资格并得到支持，以执行有效，准确和透明的船舶检查，符合所有法定和监管要求。
  
• NTSB建议美国船级社在安全建议M-17-62中：加强对测量员的培训，确保他们具有合格的资格并得到支持，以执行有效，准确和透明的船舶检验，满足所有法定和监管要求。
  
• NTSB建议TOTE Services，Inc.参考安全建议M-17-69：独立于您的组织或班级社会，对整个安全管理体系进行外部审核，以确保符合国际安全管理规范并纠正指出的缺陷。
  

在规划即将到来的网络安全短信程序以及写作，实施和审核有效程序时会出现的问题时，应该记住这些段落以及源于El Faro事件的三条建议。

虽然船舶安全管理系统是网络安全计划的最佳平台，但我们不能忽视这是非传统风险的事实。我们不能像SMS中的大部分操作风险那样来处理我们的程序和审计流程。快速发展的网络安全世界及其存在的风险在很多方面与我们传统的海洋环境和我们几代人面临的风险直接对立。你不能听到它或将它看作传统风险。但它每天都在不断地对我们运营和管理船舶的方式进行额外的努力。这一事实不会改变，使用这项技术的风险不会消失。不幸的是，这是海事界许多人采用网络安全方式的风险方法。这一点必须改变，因为网络风险的性质使其可能在整个行业产生灾难性影响。港口和航道的性质使得一家公司的命运影响到所有人的命运。

我们需要提出的一些关键问题包括：

• 这些新技术在近期和短期内所需要的船上和岸上支持的要求水平是多少？
  
• 是否已经适当评估了特定技术的成本和额外风险？
  
• 利大于弊 - 底线是否合理？

当我们接近2021年海事组织网络最后期限时，牢记我们安全管理体系的目标并确保我们的网络安全程序切实可行，功能强大且有效。我们也要看到审计师和岸上支持在有效实施这些政策方面的作用。正如NTSB在El Faro报告中所述：仅仅通过SMS不足以防止灾难发生。有必要派专门的人员为船长提供有效的指导和程序。强大的培训和审计确保遵循指导和程序。

至此，独立网络安全审计确保程序充分的需要是我们正常的SMS审核标准的背离。但鉴于此风险的性质以及未能充分保护船舶的潜在影响，需要采取新的方法。安联全球企业与专业与我们的保证人共同提出的一个关键点是，网络安全是一场没有终点的比赛。随着我们进一步研究利用技术来解决海运问题和挑战，对主动，可定制的网络安全平台的需求将继续增长。这个过程的第一步是确定你当前的暴露。尽管网络风险不断演变和发展，但我们不能忽视船舶和水手所面临的传统风险。也许失去SS El Faro最重要的一课就是我们从集体过去中学习，以保护我们的未来。


（如发布于2018年4月版海事报道和工程新闻 ）