日前,网络安全公司Naval Dome北美业务主管Robert Rizik在一次会议上称,预计2020年将收到500多起重大网络安全事件的报告。据统计,2017年报告的针对海事行业运营技术系统的重大黑客攻击有50起,2018年这一数字增加到120起,2019年超过310起,预计今年将超500起。也就是说,与2017年相比,今年的网络安全事件增加超900%。
近年来,航运业向信息化、数字化、网络化发展已经成为趋势和潮流,数字化技术等也成为运营管理中必要的手段和工具。频发的网络安全事故,对企业运营的影响也越来越大。
现状
网络安全挑战加大
“我们已经适应了在海上开展业务面临的传统挑战,从港口瓶颈到海盗抢劫,但我们还没习惯接受一个新的事实,就是现代运输船舶和港机设备也像其他工控设备一样、存在着一个OT(Operation Technology,即运营技术)环境,它同样也会面临针对性的风险和威胁。”上海义为信息科技有限公司合伙人张云峰表示。
在信息化时代,网络安全风险是广泛存在的,而作为国民经济发展的基础性行业,港航业面临的挑战则更为艰巨。某大型航运企业信息保障部负责人宋扬(化名)认为,业界首要面临的还是设备漏洞导致的网络安全风险。因为系统漏洞发现后可以及时封堵,而且可以迭代。但是硬件设备自身漏洞却无法弥补,比如思科此前出现过芯片漏洞,被不法人员利用。
而在软件和系统攻击方面,则分为IT攻击和OT攻击。
宋扬将港航业界目前面临的IT攻击分为两大类。一类是无差别攻击,这类攻击的特点在于覆盖广,不区分行业,只要联网,就肯定会遭受攻击;还有一类是定向威胁攻击(APT攻击),这类攻击具备持续性威胁网络安全的特点,并且高度组织化,其攻击目的在于获取商业利益。
“比如某专门针对港航业的APT组织,会给港航业广泛使用的系统植入蠕虫软件,拿到后门后,进行数据加密,勒索相关企业。或者,窃取商业机密和即时信息,出售给中介机构。”宋扬介绍。
2017年马士基遭受名为Petya病毒的攻击背后,就存在此类的APT组织。在IT系统攻击之外,港航业还面临广泛的OT系统攻击,这类攻击主要存在于船舶、岸桥等工业设施当中。
在张云峰看来,港航企业IT工作会使用到较新或最新的软硬件,包括网络最新的安全技术或安全升级服务;而OT由于船舶及设备使用周期长,需要不同程度兼容并接受各个历史时期的遗留技术,其中有一些技术的诞生甚至早于互联网时代。
由此带来的问题就是,这些系统常常采用专有网络协议,缺乏或根本未曾设计身份验证措施、也未采用加密等安全控制手段,相应的事件日志和审计追踪同样未考虑。导致可遭到攻击的点和方式相比IT环境更加难以预料,遇到网络攻击的防御难度也就更大。
随着港航业对于信息化的愈加重视,联通效率和联通覆盖面也成为首要升级的地方,这也增大了业界遭受网络攻击的可能性,风险面越来越大。
以船岸互动为例,此前船舶使用海事组织卫星的低速网络,一般船上可能只保留一台设备联网,相对管理方便。但是随着越来越多的船舶使用商业卫星,网速大幅提升,联网的设备也越来越多,不仅有船用设备,还有船员的个人设备,在方便船岸交流的同时,也产生了更多的漏洞。尤为重要的是,以往船上人员注重航海技能培训,并不配备或者很少配备网络技术人员,这也导致出现网络安全事件后,无法妥善处理,造成损失。
宋扬举了一个极端的例子:“比如很多船舶配备了自动舵,如果有犯罪分子通过黑客手段控制船舶的自动舵,很容易造成船舶搁浅,或者直接实施碰撞。”
这样的后果无疑是港航业界无法承担的。
对策
多渠道多角度防御
与高昂的损失相比,前置的主动防御措施显然是必要的。
张云峰介绍,针对航运业特点,国际海事组织(IMO)在2017年发布了一份关于网络安全的极佳指导方针,倡导了网络安全的风险管理方法。强调主动了解未受保护的部件、受到攻击后可能带来的风险,以及如何保护并尽量缓解风险所造成的后果。例如,在航运环境中通过关闭未使用的数据端口,使OT和IT系统之间的网络实现隔离来保护设备,以确保航运安全平稳。
此外,设备厂商也针对OT侵入制订了层次性的防御指导方案,包括重点防护、自检工具、反馈机制及统一大数据后台的支持,能够点对点的预防和化解一部分已知的攻击手段。
据悉,欧洲的多家专业保险公司,也正在制定基于网络攻击风险的对策,对已发生的攻击或其他危险性事件造成的航运企业损失,加紧做尽职调查。
也就是说,国际海事组织、网络设备提供商及安全服务商、相关的行业保险公司都已提出了针对性的意见或应对措施。
具体到港航企业,目前采取的方式主要有两个。
一个是组建专门的网络安全团队或者聘请专业的网络安全公司负责企业的网络安全业务。其目的在于发现并封堵系统漏洞,随时监测病毒,通过专业工具动态感知运行状态。
知名互联网安全公司北京知道创宇信息技术有限公司相关负责人表示,他们会定期向服务对象发布相关的漏洞风险提示、病毒风险提示,并且通过漏洞修补等方式提升网络安全等级。
另外,部分港航企业制定了相关的制度。以宋扬所在的航运企业为例,就有完善的网络使用制度。比如,新员工和外勤人员使用网络就会有相应的限制。“新员工会在入职时开通相关的帐号和权限,离职后注销,甚至你人还没走,账户已经注销了。外勤人员进入公司使用网络,帐号会有权限,需经过后台申请,并且与公司内网进行隔离,无法连接内网。”宋扬解释。
除了业界自身努力之外,由政府主导、社会广泛参与的网络安全行动,也是提升安全的重要举措之一。
我国公安部每年会组织“护网行动”(HW行动)来提升整个社会的网络安全意识和能力。目前,纳入该行动的企业主要是基础性行业和先导性行业,航运业就是其中之一。根据公开报道,中远海运集团和招商局集团都参与其中。
据了解,该行动以攻防对抗形式进行,组织网络安全公司作为攻方对企业内网进行攻击,而企业作为守方则需要组建团队进行防守,最后形成针对企业的网络安全报告和整改建议,从而提升企业的网络安全意识和能力。
“我们参与过相关的行动,行动前后的变化是很大的,企业的员工开始注意电脑加密,不乱接电脑端口,短暂离开时会及时锁屏等。”曾参与过“护网行动”的某网络安全公司员工表示。
建议
着力强化安全意识
显然,上述“护网行动”的攻防方式对企业员工的安全意识提升有重大意义。这是防患于未然的重要基础。除了大型港航物流企业,中小型港航及相关企业也非“局外人”,也需要尽快提升网络安全意识并推出相关举措。
宋扬表示,如果企业认为自身数据含金量比较高,那么首先应该从正规渠道采购符合安全标准的设备,包括交换机、路由器、存储设备等,一般而言,廉价和非正规设备的产品漏洞比较多,而且层出不穷。避免早期贪便宜,后期吃大亏。
其次,要对员工的联网设备进行正规化管理,防止资料外泄。部分网络安全公司也推出了相关的防信息泄露的一体机和堡垒机,从而记录运维人员的操作,部分设备上的数据拷贝之后,是无法正常显示和阅读的。
再次,企业应该对照“信息安全等级保护”,将其升级到二级或以上,这样在一定程度上确保信息安全。
最后,还应该针对系统风险进行统一处理和更换。“比如,现在Win7已经停止安全补丁的更新了,但是很多企业依然在使用,这无疑是将自身暴露在了风险之下。”宋扬称。
张云峰也提出了自己的建议,他认为针对上述风险,应根据企业自身特点制定应对措施及风险预案,加强培训,有规划地提高反应能力。面对整体的行业风险,可以借鉴其他行业的风险应对措施,包括实现安全分区、网络专用、横向隔离、纵向认证等。同时,对于不对称防御,要针对必要漏洞、付出最小代价,尽量封堵损失上限高的风险可能,对于次之的风险等级,比照典型案例,在日常安全工作中记录并归纳,逐步完善安全管理和风险管控体系。
对于港航业来说,信息及数字化技术是把双刃剑。网络安全,道阻且长。
—————深圳市我的物流供应链有限公司官网:
