DNV发布《2023年海事网络优先事项:在连接时代保持安全》
作者:杨奕廷 编译 时间:2023-09-11 点击数:
挪威船级社(DNV)于2023年6月发表了一篇名为《2023年海事网络优先事项:在连接时代保持安全》(Maritime Cyber Priority 2023)的报告,旨在探究航运业对网络安全的认识以及应对网络风险的方法。该研究主要采取人物访谈的方式,调查采访了来自72个国家的800余名海事专业人员。通过分析海事网络安全的演变、行业目前所面临的网络安全威胁以及阻碍其进一步发展的各项原因,最终形成的报告得出结论暨海事网络安全需要更多投资、有力的监管及更多的交流,并对海事网络安全的未来走向进行了预测。
一、网络安全风险增长
自2017年马士基公司因遭受“NotPetya”攻击损失总计约3亿美元起,人们逐渐认识到当今航运业在网络安全方面所受威胁的严重性。此后,全球范围内的航运巨头大多经历了类似的网络攻击事件。此类事件对海上数字化、自主化的实现构成了威胁。
网络安全所面临的威胁主要来自两个方面:数据存储和传输的信息技术(IT)环境以及包括传感器、导航系统和船舶等物理设备在内的运营技术(OT)的网络安全。随着科技的发展,船上的操作系统逐渐连接到更广泛的IT环境,OT受到的保护也随之减少,易遭入侵的系统种类在不断增加,攻击面扩大。
数字化和互联网技术的进步在推动构建更加绿色、安全、高效的全球航运网络,在优化船队和航线、减少碳排放等方面发挥着越来越重要的作用,各种数字化工具在行业内日益激烈的竞争中为航运公司带来重大机遇。然而一个系统拥有的连接越多,可能出现漏洞的几率越大,当网络真正出现问题时会比以往任何时候都蔓延得更远、更广、更快。
二、航运业对网络风险的应对现状
受访的海事专业人士当中,表示遭受过IT网络攻击的人数多于遭受过OT攻击的人数,并且超过八成的受访者认为他们对针对IT系统的攻击做好了适度或充分的准备,然而只有三分之一的人相信其企业的OT网络安全与IT安全一样强大。近四分之三的受访者声称,他们的企业了解保护其OT环境免受攻击所要采取的措施,知道如何加强安全势态感知,而真正的危险在于,虽然企业可以采取所有控制措施来保护自身,但仍极难控制相关企业中的漏洞,即由于广泛的连通性,很难防止攻击蔓延至其他设备。
网络安全投资方面,业内专业人士表示其中最为重要的两个因素为避免财务和声誉损失,以及监管和合规规定。就前者来说,严重的网络安全事件会吸引更多投资。与几年前相比,企业为加强网络安全而获取投资从总体上来说变得更容易了,其原因在于该类投资可以被纳入风险评估范畴而非技术升级。就后者来说,在行业规则和各类指令收紧的时代,企业需要将监管驱动的投资转化为网络韧性。
三、行业面临的挑战
航运业在投资方面目前主要面临以下五大挑战:
第一,投资落后于需求。大多数受访者均表示其企业在OT网络防御方面相关资金投入不足。
第二,监管有效性不足。目前的监管只能对已经确定的威胁和问题做出回应,这是远远不够的;由于行业所具备的技术水平不够,导致难以遵守现有规则;现有规则侧重于加强安全意识和技能开发,并未设立专门岗位来维护网络安全。
第三,资产老化和供应链漏洞。在供应链方面,超过一半的海事专业人士表示迫切需要更好地解决供应商网络安全方面的差距,供应商必须确保有正确的措施来保护产品和系统,并应符合行业标准和实践。
第四,信息有待流通。据调查,只有十分之三的海事专业人士认为,他们所在的企业能够有效地分享有关网络安全风险信息和经验教训。大多数受访者认为分享与交流是保障网络安全的重要一环。
第五,人才短缺。确保远程、互联运营环境的安全需要特定的专业知识,而行业目前面临着严重的网络安全人才短缺。研究表明,到2022年,网络安全人才缺口将增长26.2%,交通运输行业的网络安全人才短缺被认为“特别严重”。而威胁海事网络安全的事件频发,也凸显了对人才需求的迫切性。