據悉,挪威海事技術公司康士伯海事(Kongsberg)將與挪威化肥生產商Yara合作建造全球第一艘零排放全自動船,新船將命名為“Yara Birkeland”號,這將是全球首艘全電動支線集裝箱船,完全實現零排放,以減少噪音和煙塵排放、改善地方道路安全性、削減氮氧化物和二氧化碳排放?!癥ara Birkeland”號預計將于2018年下半年開始投入運營,負責將Yara波斯格倫生產工廠的貨物運送至布雷維克和拉爾維克?!癥ara Birkeland”號最初將作為一艘人工操作船舶運營,到2019年轉向遠程操作,預計將從2020年起實現全自動操作。
除此之外,還有其他一些正在進行的舉措,如羅爾斯·羅伊斯和全球拖船運營商Svitzer已經在丹麥哥本哈根港口成功展示了世界上第一個遠程控制商用船——“Svitzer Hermod”。兩家公司還簽署了一項協議,以繼續合作對船舶遠程控制和自主運營進行測試,包括自主航行、情景意識、遙控中心和通信等。這一切都標志著航運連接技術正在邁向新時代,而且表明這個跟價值2100億美元的行業已經準備好迎接更為美好的未來。
這些進步是值得慶賀的,但同時它們也帶來了更多危險因素,擴大了攻擊面,因為技術的進步除了會吸引投資目光外,也會吸引網絡犯罪分子的目光,未來航運業將面臨我們在陸地上所熟知的一切網絡安全問題。
關于工業環境中運營技術(OT)所面臨的威脅問題之前已經做過很多報道了,而且我們已經習慣在海上開展業務所面臨的傳統挑戰——從海盜到集裝箱港口發展瓶頸等。但是我們所不習慣的一個事實是,認識到集裝箱船和其他事物一樣也是一個運營技術(OT)環境,且正在面臨有針對性的網絡攻擊威脅。
這些威脅時真實存在的:研究人員已經證實了許多針對最常見的航運系統的“概念驗證”(PoC)攻擊證據,而且有跡象表明導航計算機被用于系統升級的USB感染惡意軟件的問題已經非常普遍。更糟糕的是,還有一些公共報告稱,由于無防護的接口和無法更改的默認憑證,關鍵通信系統將得不到有效保護。
航運業的性質確實為加強網絡安全帶來了非常獨特的挑戰,但它們并非是完全不可逾越的。對于那些實踐得當的公司來說,網絡安全將助力其實現更加自動化和無人航運領域的巨大發展。
將新技術整合進航運業的挑戰
對于航運網絡安全而言,最棘手的挑戰之一就是每艘船都不盡相同。它們幾乎不存在什么標準化規定,尤其是當涉及船載控制系統以及高度混合的遺留系統時,許多這些系統在設計之初甚至從未考慮過安全因素。
此外,隨著時間的推移又增加了許多其他聯網技術。但在整合新的船載系統時,對“安全設計”原則并沒有予以足夠的重視。因此,許多船只出現“扁平化”的網絡結構(即管理層次少而管理幅度大的一種結構形態),在這種結構中,用于導航和通信的新增聯網系統被放置在與老舊的控制硬件相同的網絡上,這樣一來就會將許多漏洞引入到不具備足夠內置保護的系統中,從而觸發安全危機。
除此之外,航運系統的操作環境也比典型的工業設備更具挑戰性。大多數船舶都依賴“甚小孔徑終端”(Very Small Aperture Terminal,簡稱VSAT)衛星通信進行連接,其具有低寬帶和高時延的特點。它可以傳遞一些通信信息,例如電子郵件和導航數據,但是在完成行業最佳安全實踐方面卻顯得不那么可靠,如定期補丁修復和更新等。
當然也可以采取手動更新的方式,但是該行業的特性決定船只需要盡可能少地在港口停留,而當船只停留且寬帶可用的情況下,安全更新項目往往排在優先列表非??亢蟮奈恢茫踔僚旁谏墝Ш杰浖蜑闄C組成員下載新的數字娛樂之后。
此外,船載成員同樣存在技能缺失的現象。IT負責人常常身兼數職,精力分散,很少有機會監控網絡安全事件并對其做出有效響應。對于可能存在安全漏洞的問題進行遠程監控是一種選擇,但是由于海上缺乏可靠的寬帶,使得這一操作變得很難實現。
推動航運安全邁向未來
雖然改變網絡安全方式是亟需解決的事情,但它必須結合航運業本身特性。我們所看到的關于地面基礎設施的規定和政府干預措施在海上執行起來將會比較困難。
事實上,很可能是保險公司而不是政府為航運公司提供動力以認真投資于更好的保護。專業保險公司正在制定基于網絡攻擊風險的政策,并可能成為更好實踐的主要驅動因素。在政策發布和索賠處理之前,其可能會加緊盡職調查。
目前,業界確實認識到了這個問題。去年,國際海事組織(IMO)發布了關于網絡安全的極佳指導方針,以確保航運安全可靠。這些指導方針是合理的,并且倡導了網絡安全風險管理方法。
風險管理方法首先要確定哪些系統、數據和接口沒有受到保護,以及一旦受到損害會造成的最大風險是什么,以及如何保護它們并緩解成功攻擊所造成的后果。在航運環境中,這就意味著需要通過關閉未使用的數據端口來保護設備和網絡,并確保OT和IT系統之間的全面網絡隔離。重要的是,船員系統(例如娛樂終端或個人電子郵件)應該與其他一切系統間保持獨立。因為針對航運系統最主要的威脅之一仍是通過U盤或郵件附件無意中感染惡意軟件。
為此,需要加強對員工的安全意識培訓工作。正如國際海事組織的指導方針所述:“高級管理層應該將網絡風險意識文化融入組織的各個層面,確保完整且靈活的網絡風險管理制度持續運行,并通過有效的反饋機制進行持續評估。”
此外,航運環境中還缺乏一些基本的安全防護措施部署,例如使用VPN進行通信和數據傳輸,以及對船載系統實施強大的用戶身份驗證,以便在全面安全審計中找出問題并加以解決。而且最重要的一點是,這些都是可解決的問題,是最基礎的安全防護措施。
事實上,即便是利潤再低的行業也需要對網絡安全項目進行相應水平的投資,而目前,缺乏資源也已經成為行業面臨的最重要的挑戰因素之一。由于每艘船都是傳統系統和增量升級(其原理就是將應用的舊版本Apk與新版本Apk做差分,得到更新的部分的補丁,例如舊版本的APK有5M,新版的有8M,更新的部分則可能只有3M左右)的獨特配置,使得安全解決方案在整個航運系統范圍內的部署工作變得異常艱難。
有效的網絡安全也必須是業務高效的網絡安全。這也就解釋了為什么提高網絡安全防御能力和加強航運網絡應變能力的最佳途徑之一,就是與正在通過經驗發展所需專業知識的合作伙伴進行合作,與具備現有系統和新部署的供應鏈相關知識的合作伙伴進行合作。
航運業可以從改進的自動化和數據服務中獲益,但其本身無法安全地實現這一點。