针对弹性组织的网络事件响应

（文件照片：APM终端）

即使在NotPetya之前，监管机构，保险公司，保赔协会，港务局和海运业的其他部门也开始采取措施，尽量减少行业遭受网络攻击的风险。

海运业已经觉醒。我们已经意识到数字化已经在整个行业中发挥了重要作用，并且我们从能够在互联的网络环境中运营中受益匪浅。同样，能够将船上机械诊断信息传输到岸上作业中心，能够利用源自太空的位置和导航数据在限制水域中导航，并且能够为船员提供来自网络的豪华流媒体视频海为整个行业和整个经济的相互关联部分带来重大风险。 2017年的NotPetya攻击是一个分水岭，迫使该行业评估其网络安全态势。很显然，如果像马士基这样的全球性公司受到重大影响，那么其他所有的海运公司都会受到攻击。最好的攻击会导致经济损失，更糟的是，攻击可能会迫使一家公司无限期地停止运营。

即使在NotPetya之前，监管机构，保险公司，保赔协会，港务局和海运业的其他部门也开始采取措施，尽量减少行业遭受网络攻击的风险。美国海岸警卫队发布了“海上运输安全法案（MTSA）受监管设施的应对网络风险指南05-17”导航和船舶检查通函草案，介绍在国家基础上为海运业创建网络风险框架的想法标准与技术研究所（NIST）网络安全框架。诸如BIMCO和ABS等航运协会已经发布了自己的网络安全指导方针，无数其他组织和团体已经发布了最佳实践来缓解海事行业的网络风险。虽然业界普遍意识到“必须要做的事情”，但是缓解行业内网络风险的进展与行业多样化一样多样化。行业中网络风险缓解的多样性基于不同组织和公司之间可用资源的不同水平，所使用的系统和技术以及组织和公司之间风险管理治理模式的差异。此外，构成“海运业”的航运业，港口和码头运营商，港口当局以及其他机构，公司和组织之间的网络安全要求和监管机构之间微妙但又显着的差异增加了额外的复杂层可能会减慢行业广泛采用全面的网络风险管理计划。

网络攻击行为。鉴于迫切需要了解必须采取哪些措施来限制损害并保护系统免受网络攻击，航运业也需要回答这样一个问题：“我们遇到网络攻击后必须做什么？”要回答这个问题，下列问题必须提出一个问题：“我们做什么准备进行网络攻击？”在这种情况下，海事行业拥有解决这个问题的谱系，并可以从现有法规，最佳实践和从对物理事件的响应中获得的经验如石油泄漏，搜索和救援响应，恐怖主义威胁以及确保由于重大风暴或其他物理威胁而导致运营连续性所需的行动。

网络事件响应和事件处理（IR / IH）意味着预先制定的行动计划，桌面演练和IR / IH资源已预先安排好，以尽量减少对海事和港口业务的损害。这些活动旨在最大限度地减少对商业，环境和海上生活或水上和水上生命安全的负面影响。此外，与重大环境灾难响应无异，业界必须准备好解决网络事件响应的各个方面，包括制定深思熟虑的公众，利益相关方和投资者关系参与计划。

预先确定的行动计划。与其他灾难，灾难或紧急情况相比，审慎机构将制定网络事件响应计划，以在发生网络事件时执行预先确定的行动计划。不幸的是，Ponemon Institute和IBM最近的一项研究发现，77％的受访者没有在其组织中一致地应用正式的网络事件响应计划。响应计划至少需要包括响应勒索软件，分布式拒绝服务（DDOS）攻击，网络渗透以及在组织网络中引入恶意软件的行动计划。正在进行的或移动资产还必须包括考虑其他场景的行动，例如丢失全球定位系统（GPS）或其他位置，导航和定时（PNT）系统，对船只转向或机械控制系统的影响以及丢失或操纵的电子导航系统。在大多数这些正在进行的情景中，对于其他方式导致的这些情景已经制定了应急计划，但是对攻击的性质可能会有额外的响应要求。

这些行动计划一旦制定出来，就必须定期行使。这与其他所需的演习没有区别。许多组织已经将网络事件纳入桌面练习中，或者创建了网络事件特定的桌面练习来查看其行动计划的工作情况。

正在进行 攻击 。能够识别和理解正在进行的攻击必须纳入组织的培训计划。同样，硬件和/或软件解决方案需要进行配置或获取，以帮助员工和工作人员确定是否发生网络攻击。根据攻击的类型，攻击的特征可能很明显，但并非总是如此。

一个组织如何传达攻击的本质以及它们如何从外部对网络事件作出响应，与组织系统内部管理内部攻击的技术和工程行为一样重要。组织需要制定沟通和公共关系行动计划，以确保客户，投资者，合作伙伴，其他利益相关者和公众对公司能够有效应对网络事件的信心，同时最大限度地减少对运营和商业的干扰。

事件后 分析。根据攻击的性质，组织可能希望执法机构将网络事件视为犯罪，从而使被攻击的系统和网络成为犯罪现场。因此，为了确定攻击的起因，组织还应该实施程序以在攻击期间和攻击后保存证据。这需要建立一套监管程序，数字证据处理程序，可能执行内部数字取证活动，并制定运营连续性计划，其中可能包括在调查期间使用备份系统。

事后分析将需要包括验尸以确定未来如何防止类似的攻击。就像实施网络安全保护措施一样，要从网络攻击中吸取教训并从中采取行动，必须从上到下推动。

重建。在大多数情况下，组织有一个系统化的重构操作流程。这些流程将需要扩展到包括网络攻击后事件。组织将需要确定他们能够迅速恢复到全面的运营能力。组织领导层必须继续与他们的所有利益相关者沟通正在采取哪些措施来恢复完全运营状态。

准备网络攻击是海事组织确保环境，商业和安全影响最小化的关键组成部分。幸运的是，该行业已经针对其他类型的灾难性事件制定了响应计划，可以将其用作准备和应对网络攻击的模型。


（如发布于2018年4月版海事报道和工程新闻 ）