航運業為何對網絡黑客充滿誘惑
——訪CyberOwl首席執行官Daniel Ng先生

本刊記者 薛龍玉

近年來，航運業大型網絡攻擊事件時有發生，網絡安全威脅成為了行業發展面臨的一大挑戰。今年7月，總部位于倫敦的海事網絡安全公司CyberOwl宣布將與英國HFW律師事務所攜手幫助航運業管理網絡風險，這表明網絡安全問題愈受重視的同時也日趨復雜，需要各方協作共同尋找解決方案。在接受本刊專訪的過程中，CyberOwl首席執行官Daniel Ng向我們介紹了該公司專業的網絡攻擊防御理念，并分享了他對航運業網絡攻擊頻發背后原因的深度思考以及在業界應如何預防和應對網絡風險方面的具體建議。

記者：最近幾年，越來越多航運公司和組織遭受了網絡安全威脅，您認為航運業網絡攻擊事件激增的原因是什么？航運公司為什么容易成為網絡攻擊的對象？

Daniel Ng：除了某些高調、轟動的攻擊事件（例如2017年馬士基遭到的攻擊）之外，發生在航運公司身上的絕大多數網絡攻擊似乎都是犯罪分子出于利益動機的無針對性攻擊。這類網絡犯罪分子要么盯上他們認為可以最快獲利的目標，要么不分青紅皂白地隨意攻擊任何系統，直到擊中一個帶來回報的目標。

在多種因素的共同作用下，航運業成為了一種易受網絡攻擊的目標，該行業對于網絡犯罪分子的吸引力越來越高，而且行業自身也難脫干系。這可能也是航運業網絡攻擊事件激增的原因。

首先，航運業是一個易受攻擊的目標，也已成為其自身疏忽的受害者。與其他行業相比，航運公司沒有在網絡風險管理方面進行足夠的投資，因此很容易成為網絡攻擊的目標。而且航運業在迅速采用新技術和增強連通性的同時，并沒有對了解網絡風險的專業團隊進行足夠的投資。

其次，航運業也是一個誘人的網絡攻擊對象。許多航運部門正在享受著創紀錄的驚人利潤，如集裝箱船和干散貨船市場。在過去一年左右的時間里，供應鏈困境和蘇伊士運河堵塞等重大事件一直是新聞報道的焦點。航運業務中斷的成本之高從未如此明顯，即使網絡犯罪分子從前對航運業知之甚少，現在他們的目光也不免被吸引過來了。

最后，從很多方面來看，航運業對于自身所遭受的網絡攻擊難脫干系?！吧畈夭宦丁笔呛竭\業的固有特質。航運組織抵制（至少并不全心全意地支持）共享網絡風險信息的全行業舉措。航運業中沒有任何一個負責接收和傳播網絡威脅情報報告的機構。此外，與我交談過的許多航運運營商都愿意為勒索軟件攻擊支付贖金。這種心態助長了網絡犯罪分子瞄準航運業發動攻擊的行為。

記者：航運業面臨的網絡安全風險主要包括哪些類型？

Daniel Ng：在CyberOwl，我們主要聚焦的是船上系統保護。因此，處理針對船舶運營的網絡攻擊是我們最受矚目的領域。

值得一提的是，企業（岸基）系統遭受的網絡攻擊數量要比船載系統高得多。然而，這些不同的網絡之間可能并沒有充分隔離，這意味著兩種系統有可能都面臨著同樣級別的網絡安全威脅，具體取決于船隊運營商如何構建其岸上和船舶網絡架構。

就船載系統而言，在公司目前所監測的所有船舶上，我們平均每天都能檢測并阻止一起網絡事件。我們所發現的網絡安全威脅主要來自無針對性的投機式攻擊，利用的技術相對比較簡單。

根據我們的經驗，由于岸上團隊、船員或船舶訪客的一些做法不夠安全，例如對電子郵件、USB以及船上設備的訪問管理和管理員權限的控制不力，發生在航運系統上的絕大多數成功的網絡攻擊都是“引狼入室”的后果。這當中罕有復雜精密的攻擊，主要是勒索軟件和基于敲詐勒索的攻擊行為。

在我們所見過的所有網絡攻擊事件中，有80%都可以追溯到在船上設備下載或安裝未經授權的程序。大多數情況下，船員下載或安裝此類程序只是為了讓他們在船上的工作更輕松，而非出于惡意。但正是這些程序給網絡攻擊分子打開了后門。

記者：隨著行業不斷發展和數字化轉型的推進，未來網絡安全風險是否會衍生出一些新的形式？業界應當如何防范潛在的安全威脅？

Daniel Ng：與供應鏈相關的網絡攻擊就是我們特別關注的趨勢之一。這通常涉及到針對諸如航運ERP或船舶性能優化系統等關鍵軟件系統供應商的攻擊。此類攻擊會造成嚴重的業務連續性中斷。一旦攻擊成功，犯罪分子就會向供應商索要贖金。此外，他們還會找上船東，對其進行二次敲詐勒索。

2020年底IT管理軟件開發商SolarWinds公司的Orion平臺遭遇黑客組織入侵破壞就是一起備受矚目的供應鏈攻擊事例，當時該平臺有33,000名客戶在使用，其中一些來自海事公司。此次破壞的影響深重，至今仍有一些組織受到攻擊影響。近期還有一家大型航運ERP供應商遭到網絡攻擊，致使客戶群體中10%發生了船岸通信故障。

雖然我們暫時尚未遇到類似的影響安全關鍵系統的網絡襲擊事件，但這也許只是時間問題。我們之所以特別關注這類網絡風險，是因為航運業已經開始增強其網絡連通性并采用船舶物聯網技術，以期實現凈零排放、船舶性能效率以及船員福利改善等目標。但此類技術的供應商未必能將產品和服務設計得足夠安全。

考慮到這些發展趨勢，單靠使用基本防火墻和防病毒軟件來保護船舶系統已經遠遠不夠了。船隊運營商需要對這些系統存在的網絡風險形成更好的、持續性的了解，以便確保能夠先發制人，主動解決各類風險或人為錯誤，無論它們是來自公司內部員工還是供應商。運營商應當考慮定期舉行涉及供應商的網絡演習，確保自己做好充分準備，能夠在事件真實發生時（而不是假設情況下）順利應對。

記者：哪些船舶系統最容易遭受網絡攻擊的危害？

Daniel Ng：很遺憾，防御網絡攻擊并沒有捷徑可走——根據我們的經驗，船舶系統的聯網和配置因不同的船舶類型各異，相互之間差別很大。從較高層面上看，面向互聯網、通過網絡與其他船載系統交換數據或配備可用USB端口的船舶系統最容易遭受網絡攻擊侵害。這些系統的數量和種類正在不斷增加。

從實踐層面上看，當IT團隊以為船舶架構是按照某種特定方式配置的，但實際情況卻截然不同時，最危險的情形就出現了。這是系統漏洞最容易被利用的時候，因為IT團隊甚至都不知道它們的存在，也沒有留意該區域的異常情況。最近我們就遇到了這樣一個例子，客戶確信自己的船舶警報和監測系統 (AMS) 與船員和船舶業務網絡相互獨立，因為他們的集成商所提供的原始船舶示意圖里是這樣描述的。然而，當我們為其部署網絡風險監控技術時，卻發現這些網絡不僅連接在一起，而且還定期交換數據，這意味著一旦船員設備上出現任何惡意軟件，都可能傳播到船舶AMS系統并將其禁用，而AMS則是為高級船員提供安全狀況警報的關鍵系統。

記者：在您看來，目前航運業在網絡風險管理方面存在的難點和挑戰主要有哪些？應當如何改進？

Daniel Ng：我認為，航運業網絡風險管理面臨的關鍵挑戰是該行業主要受合規性驅動，而IMO 2021海上網絡風險管理指南的執行仍然非常有限。由于許多船隊運營商尚未因網絡攻擊而蒙受損失，他們只是在遵守最低限度的要求。因此，這些船隊運營商往往會對自己的船舶網絡風險水平做出未經證實的假設。而這些假設通常是由不合格或未經培訓的人員所做，因此準確性也得不到保障。這種情況往往又會導致高級領導團隊無法意識到船隊的真實風險水平，因此也難以發起改進計劃。

要想改善這種狀況，航運業需要基于實際數據和證據來了解網絡風險，而非依靠那些不準確的假設。業界可以采用多種方法來做到這一點，包括聘請專家進行風險評估、開展滲透測試或者部署掃描和網絡風險監測技術，例如CyberOwl的網絡安全解決方案。然后公司可以通過以上措施來決定自己想要減輕哪些風險，并接受自己可以容忍的風險。

記者：航運公司在部署網絡安全策略時應考慮到哪些問題？請您提供一些建議。

Daniel Ng：我建議考慮以下三個關鍵問題。一是如上所述，航運公司需要獲取一些實際數據和證據來支撐他們的網絡安全策略。二是如果航運公司連最基礎的網絡安全措施都未曾采取，那么就要立即行動起來。但要確保這些措施得到妥善執行和管理，而不僅僅是從理論出發。許多網絡安全策略經過了深思熟慮但實施起來卻發現行不通。三是要謹記網絡風險管理不僅僅是技術層面的工作，還有運營、商業、法律和保險風險需要解決，而且這些問題需要綜合考慮。

記者：面對網絡襲擊時，企業如何應對才能最大限度降低損失？

Daniel Ng：假設企業保護系統出現故障（這種情況經常發生，因為保護系統并不總是處于良好的維護狀態），處理網絡攻擊大致有3個時間段：

在最初的幾個小時或幾天之內，我們的目標是要遏制攻擊，阻止其繼續擴散，并確保系統關鍵功能得到恢復。如果用處理身體受傷的做法來類比，這就像是“施加壓力止血”，并將受傷人員從危險系數高的區域轉移出去。此時我們的目標不是找出造成傷害的原因，而是要專注于不讓情況惡化。成功應對網絡攻擊的一個重要標準是確保能夠最好地領導事件響應的合適人員充分發揮其應有的作用。提前制定好經過充分演練的網絡應急響應計劃將對企業應對網絡攻擊大有幫助。

如果涉及到勒索軟件或敲詐勒索行為，企業需要做出的一個關鍵決定可能就是是否支付贖金。這將取決于多種因素，其中包括考慮支付贖金是否會受到制裁影響。迅速聘請法律專家將有助于解決這個問題。

這項工作完成后就進入了下一個時間段，此時的任務是要全面恢復系統的完整功能。與此同時，企業還需要進行一些事件調查，以便回溯攻擊者的各項步驟，并確保相關系統漏洞得到解決。網絡犯罪分子會“雙擊”并反復攻擊那些有漏洞被利用而且尚未得到修復的相同目標，這種情況越來越常見，因為他們可以利用這種方式憑借相同的攻擊手法輕松地攫取更多利潤。

可以說，最重要的時間段是在網絡攻擊發生之前。最好的響應始于充分的準備。安裝使用可以快速檢測網絡攻擊的系統將有助于企業在實際面臨攻擊時迅速啟動響應。正如前面提到的，網絡安全演練的效果非常強大，可以真正幫助企業看清自己在哪些領域的準備尚有不足。

記者：CyberOwl目前可為業界提供怎樣的網絡安全解決方案，請您介紹一下。

Daniel Ng：CyberOwl幫助船隊運營商對其分布式遠程資產上的系統情況形成全面了解和掌握、確保系統網絡安全并實現網絡合規。我們通過技術、管理服務和特定的網絡安全咨詢服務來為資產運營商提供支持。

我們的技術可以幫助客戶實現資產行為及其通訊模式的準實時（near-real-time）可見。通過部署這些技術，我們可以識別并盤點上述運營平臺的IT（信息技術）和OT（操作技術）網絡上的資產。它們將檢測并對網絡攻擊策略、手法和程序發出預警；識別異?，F象和可疑活動；監控不符合網絡安全政策要求的情況。針對海事環境所面臨的連接中斷、帶寬限制和遠程管理需求等挑戰，CyberOwl也對自己的技術進行了相應的優化。

我們的管理服務可為資產運營商提供保障和支持，無論他們對網絡專業知識的掌握處于何種級別。我們通過警報驗證、鑒別分類以及提供適當的網絡事件響應行動指導來支持安全運營。

記者： CyberOwl宣布與律師事務所HFW合作幫助航運業管理網絡風險。通過此次合作，雙方將為維護行業網絡安全做出怎樣的貢獻，為客戶提供哪些具體服務？

Daniel Ng：網絡風險不僅僅是一個技術問題。通過與HFW的合作，我們能夠為業界提供一種商業驅動的網絡風險管理方法。我們將攜手HFW助力業界快速評估航運業務面臨的商業、運營、技術、合規性和保險等方面的網絡安全風險，以便最大限度地減少遭遇網絡攻擊時企業需擔負的責任。具體可能包括以下服務：

◎海上網絡安全評估，幫助客戶快速了解自己的商業、法律、技術和運營網絡風險以及如何實際有效地管理風險；

◎船舶網絡安全監控，幫助客戶了解船上所有物，確保其實現網絡安全并證明已對其進行保護；

◎網絡咨詢，確?？蛻艟邆浜线m的技術、人員/技能、流程和程序來管理和應對網絡風險；

◎網絡法律咨詢和指導，幫助客戶確認其政策、程序和合同符合IMO MSC428 號決議的規定及其他監管法規的要求，并在發生網絡攻擊時保護客戶的利益；

◎國際危機管理和網絡響應，遭遇網絡攻擊時，HFW著名的國際危機管理和網絡響應團隊可以提供24/7全天候響應服務。

國內首制大型郵輪實現塢內起浮里程碑節點

2021年12月17日，備受關注的中國船級社（CCS）重點項目——中國首制大型郵輪，在中國船舶集團旗下上海外高橋造船有限公司順利實現塢內起浮的里程碑節點。

起浮是為了首次測定重量重心等一系列關鍵工藝要素和技術指標，并進行全船殘余應力釋放，是檢驗船舶前期的設計建造工程是否過關的重要節點，堪稱一場“期中考”，進一步驗證中國首制大型郵輪在設計、工藝、生產準備、總裝建造等階段所取得的一系列重大科研成果。中國首制大型郵輪H1508是國內第一艘也是唯一一艘在建的國產大型郵輪，相比較擁有3萬個零件的汽車、200萬個零件的高鐵、500萬個零件的大飛機，大型郵輪是名副其實的巨系統工程。中國首制大型郵輪全船共136個系統 ，2萬余套設備，2500萬個零件，4200公里電纜 ，350公里管系， 450公里風管，超500家全球供應商。由于其結構的特殊性、工藝的復雜性、建造的艱巨性，以及全球性的供應鏈協同，對中國船舶工業而言都是前所未有的挑戰。