運輸環(huán)境擁堵不堪，能見(jiàn)度受限，可控性不足，進(jìn)港船只密集，這些都是港口危害的成因。據統計，42%的歐盟船舶事故(傷亡/船舶損失)都發(fā)生在港口區域，44%的作業(yè)船傷亡事故發(fā)生在拖輪上。自主航運可以帶來(lái)許多益處，包括將船員從危險、繁復的工作中解放出來(lái)，提高船舶安全性。然而，隨著(zhù)網(wǎng)絡(luò )安全不斷威脅著(zhù)各行各業(yè)，這項新生的技術(shù)也成了一個(gè)龐大的攻擊對象。如果說(shuō)自主航行船舶是海運行業(yè)的未來(lái)，那么網(wǎng)絡(luò )威脅就是它的阿喀琉斯之踵。

羅羅公司已經(jīng)推出了一艘自動(dòng)化拖輪，系統供應商瓦錫蘭正在測試自動(dòng)化靠泊解決方案，在這兩項設計中，網(wǎng)絡(luò )安全都是不可分割的一部分。西英格蘭保賠協(xié)會(huì )(West of England P&I)資深承保人Chris South指出，以下4種因素推動(dòng)了海事業(yè)網(wǎng)絡(luò )安全需求：

● 自動(dòng)化——機械越來(lái)越受軟件控制；

● 一體化——多種船上系統形成互聯(lián)；

● 遠程監控——企業(yè)陸上辦公室運用船-岸通訊持續監控船上設備；

● 所有系統都已連網(wǎng)。

網(wǎng)絡(luò )攻擊帶來(lái)極大風(fēng)險

一旦上述系統發(fā)生故障或者網(wǎng)絡(luò )安全管理不當，船東、港口運營(yíng)商以及他們的保險公司就會(huì )面臨極大的風(fēng)險。風(fēng)險就是潛在的損失(即來(lái)自于網(wǎng)絡(luò )攻擊)，它們不僅存在于辦公室環(huán)境，而且也會(huì )影響船舶公司所使用的實(shí)體資產(chǎn)。針對實(shí)體資產(chǎn)的攻擊并非沒(méi)有先例。2015年，烏克蘭電網(wǎng)遭遇網(wǎng)絡(luò )攻擊導致22.5萬(wàn)人失去電力供應。船舶網(wǎng)絡(luò )安全攻擊也會(huì )利用船舶的分布式控制系統與發(fā)動(dòng)機形成交互，或者利用港口自動(dòng)化吊車(chē)移動(dòng)貨物，其他脆弱的系統也容易受到攻擊。

網(wǎng)絡(luò )攻擊造成的損害可能影響公司的聲譽(yù)的品牌形象，干擾公司業(yè)務(wù)，從生理上傷害員工或者引發(fā)財務(wù)和法律后果。將網(wǎng)絡(luò )犯罪(在IT基礎設施上實(shí)施的犯罪活動(dòng))相關(guān)的直接、間接和機會(huì )成本都考慮在內，咨詢(xún)公司Accenture表示企業(yè)或機構由此遭受的平均損失高達1300萬(wàn)美元。如果攻擊造成了人員傷亡，損失代價(jià)就會(huì )更大。

在考慮這些風(fēng)險時(shí)，企業(yè)管理層會(huì )思考哪里可能出問(wèn)題、網(wǎng)絡(luò )攻擊發(fā)生的可能性、攻擊造成的影響以及采取何種措施減輕或者將攻擊發(fā)生的可能性和造成的影響降到最低。不幸的是，有太多管理人員過(guò)度自信或者錯誤地判斷了自己的減災能力。網(wǎng)絡(luò )安全處理不當就會(huì )后患無(wú)窮，因此，具有風(fēng)險規避意識并且謹慎的公司通常會(huì )雇傭外部網(wǎng)絡(luò )安全專(zhuān)家來(lái)給他們的策略把關(guān)，或者幫助他們確定安全目標狀態(tài)。這些錢(qián)花的很值。

哪些系統易受攻擊？

人為失誤是海上安全事故的主要成因。船舶可控性因素具有負面效應，但卻不是事故誘因。大部分情況下出錯的都是人。自主航運能夠減輕人為失誤的風(fēng)險，但是船舶的自動(dòng)化系統也可能會(huì )遭到網(wǎng)絡(luò )攻擊，進(jìn)而操縱航行、轉向或者推進(jìn)系統。由此帶來(lái)的后果非常嚴峻——船舶碰撞、擱淺，導致航道無(wú)法通行。事實(shí)證明，自主航運所涉及的三種航行系統相當脆弱：

● 全球導航衛星系統(GNSS)，該系統能夠提供準確的船舶定位，但也可能受到操縱欺騙船員變更航線(xiàn)；

● 電子海圖顯示與信息系統(ECDIS)，該系統能夠以數字化的形式存儲海圖和航線(xiàn)信息，但是如果遭到黑客攻擊并且接收了虛假信息就會(huì )導致船員制定出錯誤的路線(xiàn)；

● 船舶自動(dòng)識別系統(AIS)，該系統能夠監控附近交通狀況防止船舶碰撞，但也可能遭到攔截，接收虛假船舶信息(位置、動(dòng)向或者身份)。

GNSS欺騙攻擊已經(jīng)十分常見(jiàn)。2013年，得克薩斯大學(xué)的一組研究人員演示了一例GNSS欺騙事件，他們僅用了一個(gè)價(jià)值3000美元的GPS欺騙攻擊系統、一個(gè)小型天線(xiàn)還有一臺筆記本電腦就使一艘8000萬(wàn)美元的私人游艇偏離了航線(xiàn)。船舶位置變了，但是海圖顯示的、船員看到的僅僅是一條直線(xiàn)。

其他系統也面臨著(zhù)風(fēng)險。國際航運公會(huì )(ICS)列出了以下容易受到利用的船上系統：

● 貨物管理系統，用于控制貨物且有可能連接港口碼頭系統；

● 船舶駕駛臺系統，用于航行以及推進(jìn)控制；

● 推進(jìn)和機械管理以及電力控制系統，用于監測和控制船上機械、推進(jìn)和轉向；

● 訪(fǎng)問(wèn)控制系統，用于保護船舶和貨物實(shí)體安全，還用于船舶監視和報警系統；

● 乘客服務(wù)與管理系統，用于管理有價(jià)值的乘客數據；

● 面向乘客的公用網(wǎng)絡(luò )，接入互聯(lián)網(wǎng)供乘客使用；

● 行政和船員福利系統，用于網(wǎng)絡(luò )訪(fǎng)問(wèn)和郵件應用；

● 通訊系統，通過(guò)衛星/無(wú)線(xiàn)通訊進(jìn)行網(wǎng)絡(luò )連通。

這些系統如果暴露在不受控制的網(wǎng)絡(luò )中或者直接接入互聯(lián)網(wǎng)，危險就會(huì )發(fā)生。如果把船舶IT系統和操作設備都連接成網(wǎng)絡(luò )，然后又把它們都接入互聯(lián)網(wǎng)以供岸上監控，就會(huì )增加船舶的脆弱性。即便是最關(guān)鍵的船上系統也逃不脫黑客的訪(fǎng)問(wèn)。因為操作技術(shù)(OT)與關(guān)鍵、敏感的設備和進(jìn)程都有交互，因此它需要特殊的安全考慮。

在任何情況下，操作技術(shù)都不應該有直接的網(wǎng)絡(luò )訪(fǎng)問(wèn)，包括用于自主控制的系統。

操作技術(shù)系統有專(zhuān)門(mén)的網(wǎng)絡(luò )安全指南，例如NIST 800-82，這是專(zhuān)為工業(yè)控制系統制定的安全框架?？上У氖?，海事企業(yè)的網(wǎng)絡(luò )意識和網(wǎng)絡(luò )安保能力一直不高。不過(guò)，即便在網(wǎng)絡(luò )安全方面達到了“平均”水平也是不夠的。畢竟危險太大了。

網(wǎng)絡(luò )安全專(zhuān)家一致認為對抗網(wǎng)絡(luò )入侵和破壞的最好做法就是在多層防御中構筑多種安全防御屏障。雖然沒(méi)有什么能確保免疫，但是采用Zero Trust安全模式能夠顯著(zhù)降低風(fēng)險。這是一種基于“絕不信任任何連接，對每一個(gè)連接都要嚴格驗證”的概念的安全模式。

監管機構應該扮演什么角色？

面對網(wǎng)絡(luò )安全問(wèn)題，監管機構應當發(fā)揮積極作用。歐盟的《通用數據保護條例》(GDPR)賦予了監管人員跨領(lǐng)土的權限，他們能夠對違反歐盟公民數據隱私的企業(yè)處以年度全球營(yíng)業(yè)額4%或者2000萬(wàn)歐元的罰款。國際海事組織(IMO)正在探索如何在其法規框架內解決自主航運相關(guān)的問(wèn)題。一場(chǎng)針對海運業(yè)的網(wǎng)絡(luò )攻擊可能會(huì )激起眾多監管機構的怒火。

一些船舶利益相關(guān)方也在構建基于云端的自主航運平臺。許多岸上行業(yè)已經(jīng)加入了云端，但需要提醒的是：將應用遷移到云端也會(huì )增加安全復雜性，新的威脅也會(huì )隨之出現。

一個(gè)AWS應用程序防火墻配置不安全就導致內部人員從一家大銀行盜取了1.06億個(gè)人記錄。細節決定成敗。在網(wǎng)絡(luò )安全方面，正確地掌握細節是必不可少的一步。

網(wǎng)絡(luò )安全不僅僅是一種防御手段，它還能促進(jìn)業(yè)務(wù)發(fā)展，增強企業(yè)聲譽(yù)，提高客戶(hù)和合作伙伴的忠誠度和信任。如果一項設計融合了網(wǎng)絡(luò )安全措施，它的競爭力就會(huì )大大增加。William Saito在將網(wǎng)絡(luò )安全比作日本子彈列車(chē)的制動(dòng)器時(shí)說(shuō)得非常好——剎車(chē)決定了速度?！皠x車(chē)的存在不是為了拖累子彈列車(chē)的表現，有了它們，子彈列車(chē)才能比傳統列車(chē)行駛得更快，因為它們讓列車(chē)司機得以控制速度。要是真想跑得快，你就需要有上好的剎車(chē)?！?/p>