网络风险管理:海事专业人员现在需要了解的内容

安德鲁金西13 六月 2019
©pickup / Adobe Stock
©pickup / Adobe Stock

国际海事组织于2021年1月将航运利益纳入其现有安全管理系统的截止日期即将到来。利益相关者了解他们的漏洞至关重要。国际海事组织发布了MSC-FAL.1 / Circ.3海上网络风险管理指南,该指南很好地概述了海上作业中的许多易受攻击的系统,包括:

1.桥梁系统;

2.货物处理和管理系统;

3.推进和机械管理和电力控制系统;

4.门禁系统;

5.乘客服务和管理系统;

6.面向公共网络的乘客;

7.行政和船员福利制度;和

8.通信系统。

IMO指南还提出了理解信息技术(IT)和运营技术系统(OT)之间区别的重要观点。简而言之,IT侧重于将数据用作信息,而OT侧重于使用数据来控制或监控物理过程。

在对您的运营进行风险评估时,这些区别变得非常重要。

在检查公司,码头或船舶的网络风险时,风险评估应该是第一步。需要识别由计算机系统控制或支持的业务的所有部分,并且可能比您意识到的更多。

美国海岸警卫队在如何开始了解和识别您的网络安全风险方面有很好的指导( https://homeport.uscg.mil )。

本指南包括来自国土安全部工业控制系统网络应急响应小组(ICSCERT)的信息,该小组提供广泛的信息,工具和服务,可帮助公司评估其安全性,确定建议的做法并改善其网络安全性。 ( http://ics-cert.us-cert.gov/

这对网络和海洋环境提出了非常重要的观点。我们经常面临海事领域的独特风险,虽然海上网络威胁确实具有一些独特的特征,但大多数威胁与岸边企业面临的威胁相同。如果您在港口或海上,网络威胁并不在意。只要您连接到互联网,您就有风险。国土安全部拥有大量的网络技巧和资源,可以帮助您教育您的船员和岸上支持人员。这包括停止。认为。连接。运动。诸如此类的简单信息应作为船上人员培训的常规部分包括在内。

国家网络安全和通信集成中心工业控制系统(NCCIC)开发了一个更全面的计划。其工业控制系统(ICS)团队已经制定了指导,以帮助业主准备他们的业务和网络,以处理和分析网络事件。 ( https://ics-cert.us-cert.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_Cyber_Incident_Analysis_S508C.pdf )此类指南应纳入安全管理体系的网络风险管理部分, IMO。

预防或最小化网络事件的准备工作是您的第一道防线,但是,公司仍需要制定响应计划,概述在网络事件发生时如何应对。该计划的一个重要部分是与您的保险经纪人和保险人合作,了解如何通过适当的保险范围正确管理您的风险。

这里的关键是确定目前涵盖的内容和目前未涵盖的内容。大多数未知数是大多数传统保险政策中所谓的“沉默”网络风险,这些保险政策是在网络尚未成为主要风险而未明确考虑的情况下设计的。这可能会给企业,经纪人和保险公司带来不确定性,包括哪些损失情景。集团范围内,Allianz正在审查其商业,企业和专业保险部门的财产和意外险(P / C)政策中的网络风险,并制定了新的承保战略,以解决“沉默”的网络风险,确保所有P / C政策将对网络风险进行更新和澄清。我们希望消除业务客户的不确定性。

我经常告诉我的客户,网络安全是一场没有完成的比赛。国际海事组织已经给海运业提供了在2021年1月之前完成网络风险实践的最后期限。很明显,这项工作不会在那里结束。随着我们越来越依赖技术,网络威胁将在频率和严重程度上不断发展。该技术将有助于提高船舶安全性并降低风险,但是,它需要对新出现的威胁保持警惕。这种警惕对行业的未来至关重要,因为自满不是一种选择。

关于作者:安联全球企业与专业高级海事风险顾问Andrew Kinsey上尉

分类: 技术, 政府更新