“网络安全是个骗局”及其他海事误解

版权所有 LailaBee/AdobeStock

随着美国海岸警卫队出台新的网络安全法规，美国船级社网络安全总监 Angeliki Zisimatou 有机会全面讨论海上网络安全问题，并就法规草案的所见所闻提供见解，并就新法规对船东的意义提出建议。

网络安全及其所包含的一切正在迅速成为海运业的优先考虑事项，因为对连通性的日益依赖是一把既有希望又有危险的双刃剑。

虽然各行业的网络安全准备程度各不相同，但最大的担忧或许是有些行业甚至不承认这种风险。ABS网络安全总监 Angeliki Zisimatou 表示：“过去八年里，我多次听到‘网络安全是个骗局’；船员、运营商和船东都曾反复说过这种话。”他们认为，他们的船上系统与船上连接是“物理隔离”的，这导致他们产生了一种虚假的安全感。

ABS 的第一步是告知、教育和说明威胁确实存在。问问AP Moller-Maersk Group就知道了，它是世界上最大的航运公司之一，2017 年遭受了NotPetya攻击，导致运营中断 10 天，损失了数亿美元。

尽管整个海事行业在网络安全方面的反应一直比较缓慢，但 Zisimatou 表示，大型船队所有者和运营商正在认真对待这一风险，并大力投资自己的安全运营中心。她开始看到整个行业的态度发生变化，尤其是当 NotPetya 等备受瞩目的事件成为头条新闻并表明该问题的潜在范围时。同样，推动因素还包括国际海事组织和美国海岸警卫队出台的新规则。

“对于中小型运营商和业主来说，我认为法规是推动他们行动的因素，因此他们试图坚持最低限度，做规定或建议的事情，”齐西马图说。

美国海岸警卫队新网络安全规则

参加 2024 年 11 月 13 日在新奥尔良莫里尔会议中心举行的“网络安全午餐与学习”活动。该活动是有关新 USCG 网络安全规则及其对船东运营商的潜在影响的主持式讨论。单击此处免费注册。

填补空白

随着新型联网船舶越来越多地投入使用，新一代海员（网络原住民）越来越多地掌控海洋空间，网络安全意识和行动也将随之而来。在此之前，还有很多工作要做。

齐西马图表示：“对这一主题缺乏了解，[加上]缺乏培训和意识；这适用于船员和岸上人员”，这可以说是当今最大的差距。“即使知道需要采取行动的航运公司，他们也可能会将任务分配给其 IT 部门，并且通常，IT 人员对船上系统知之甚少或一无所知”，这对从何处入手提出了挑战。

现有吨位船上运行的遗留系统（包括 Windows NT 和其他过时的软件）很古老，在漏洞方面也带来了同样巨大的挑战。

整个海上供应链中的另一个潜在问题是缺乏对船上系统维护和升级的充分了解，因为通常船东和管理者会让供应商亲自上船访问和升级系统，因此几乎无法了解船上实际更新和安装了哪些系统。完全控制和了解关键系统的更新和维护是船东/管理者“待办事项”清单上的另一项优先事项。

但尽管差距和问题可能很大，解决方案却很容易，至少在开始时是这样的。

“我会从显而易见的事情开始，”Zisimatou 说。“首先，认真对待它。将其视为对您的运营和业务的实际风险。遵循强制性规定，或 IMO 推荐的内容，NIST 推荐的内容，网络安全框架。按照步骤进行。从非常严格的风险评估开始，并让合适的人参与其中；运营人员和 IT 方面的人员。集思广益；认真思考风险以及如何减轻风险。如果您的风险识别不佳，那么要实施的控制措施也会很差。”

“还有其他项目，比如法规要求每三个月进行一次网络安全演习，我们认为这个频率有点太频繁了。然后没有具体说明；这是什么意思，需要测试什么？”
Angeliki Zisimatou，ABS 网络安全总监


海岸警卫队新规定

今年早些时候， 海岸警卫队在《联邦公报》上公布了一项拟议规则，提议更新海上安全法规，增加专门针对为悬挂美国国旗的船只、外大陆架设施和受《2002 年海上运输安全法》监管的美国设施制定最低网络安全要求的法规。新规则预计将于今年晚些时候完成，但关于这些规则将强制执行哪些内容，以及最终将如何影响船舶所有者/运营商的程序和成本，仍存在许多问题。

“我们向海岸警卫队提供了一些反馈，说明哪些方面可能缺失，或者对运营商可能有哪些挑战，”Zisimatou 表示。“[目前] 我们真的不知道新法规是否适用于新建船舶，还是也适用于现有船舶。这将对悬挂美国国旗的船只产生巨大影响。”她说，拟议规则中有一些要求，例如，涉及网络分段，特别是在现有船只中，因为现有船只的网络通常是扁平的，“这将需要一些额外的努力。”

但事情并没有结束。

“还有其他项目，比如法规要求每三个月进行一次网络安全演习，我们认为这个频率有点太频繁了，”Zisimatou 说。“然后没有具体规定；这是什么意思，需要测试什么？”

她说，船级社建议海岸警卫队考虑国际船级社关于新建船舶的建议，如何处理整个供应链，从船舶的设计、调试、建造和使用寿命，以及如何处理具体的控制，更清楚地了解船级社需要做什么、船东需要做什么、船厂需要做什么。

“我正在等待法规出台，我相信海岸警卫队已经收到了很多意见，他们现在正在努力解决，”齐西马图说。“我迫不及待地想看到这一点，然后我认为这将产生巨大的影响，特别是[稍后]其他船旗国政府将根据海岸警卫队制定的法规出台更多法规。”

观看海事记者电视台对美国船级社网络安全总监 Angeliki Zisimatou 的完整采访：