将IACS规则适用于新造船却忽视现有船舶,为恶意操作者创造了可乘之机
在武装团伙袭击红海航行船舶、黑海实际沦为战区的当下,若声称“黑客攻击或许是当前海事行业业务连续性的最大威胁”,似乎有些言过其实。
然而,海事行业已从带宽有限、依赖定制化应用的利基领域,转变为具有政治和经济价值的高价值目标,这一转型使其成为恶意攻击者的焦点。
图片来源:Marlink
尽管已存在防御措施,且监管指导和行业标准的结合在一定程度上平衡了攻防态势,但这场博弈的天平仍倾向于攻击者一方。
行业内的网络安全水平参差不齐,领先者、跟随者与落后者并存,而最令人担忧的正是后者群体。
直到最近,落后者仍依赖杀毒软件和侥幸心理应对风险。但随着黑客优势的扩大,主动防护与监管的结合正逐渐成为必要手段。
对大多数航运公司而言,网络安全合规仍是新课题。这一进程始于IMO 2021年对《ISM规则》的修订,但其更多是提供最佳实践指南,而非强制性基线。TMSA和SIRE标准虽提出了更高的举证要求,但仅适用于特定市场领域。
美国海岸警卫队计划推出区域性措施,IMO也将网络安全纳入未来监管议程。而目前最新的规则是国际船级社协会(IACS)的统一要求(UR)E26和E27。
- UR E26为新建船舶设定了强制性的网络安全基线,配套的E27则针对船载系统。
- 这些要求被视为首个具体的网络安全标准,但合规门槛相对较低。
问题在于:这些规则仅适用于新造船。
若船东拥有一两年前下水的同价值船舶(且风险特征相似),为何仅对新造船实施网络安全保护?
当然,船级社等机构也为现有船舶提供符号认证和指导,但非强制性的措施往往难以得到优先落实。
为什么船东不为现有资产提供同等(或更高)的保护?
- 资产价值相近;
- 货物风险相同或更高;
- 网络攻击对资产负债表和业务连续性的影响同样严重,甚至更甚。
正如安道尔牧羊人的古老谚语所说:“一个人若有两栋房子,不会只锁一栋而任由另一栋敞开。”
若船东仅对新造船执行IACS最低标准,却忽视现有船舶,实则是增加整体风险而非降低。
胡塞武装能够精准袭击其认定的“敌对关联”船舶,说明船队所有权与部署数据极易获取。航运业已无太多隐蔽空间。
未来,租船方与保险公司可能会施压船东,要求其对整个船队实施统一的网络安全合规。但现实是,仅靠现有规则远远不够。
IACS统一要求本身也饱受批评——有人担忧其助长了“打钩式合规”(应付检查而非实质性改进)。但需承认,像IACS这类组织达成共识本就依赖妥协。
随着网络安全压力加剧,航运公司需以UR E26为起点而非终点,通过技术、培训、流程和意识提升,采取更严格的防护措施。
行业标准的实践证明,只有将网络安全意识嵌入供应链,并将其作为商业合作的前提,才能真正降低风险。
船东必须面对一个残酷现实:若想保持其作为可信、可投资运营商的地位,就必须对整个船队进行深度网络安全审计——以UR E26为基础,但绝不限于此。
本文译自:https://www.ship-technology.com/comment/are-maritime-hackers-pushing-at-an-open-door/
著作权归原作者所有。如有侵权请联系lilian.wu@artisan-event.com删除,译文如有错漏,欢迎批评指正!
报名链接:https://my.31huiyi.com/m/ad530000-dfb1-b652-43d7-08dd7035dcd0?_t=1743581387184&theme=light
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
