海事专业人士警告:互联时代的风险加剧但网络安全投入不足

DNV公布的新研究表明,在船舶与其他关键基础设施越来越网络化并连接IT系统的背景下,只有不到半数(40%)的海事专业人士认为,其组织在网络安全方面投入了足够的资金。

  •        随着行业运营技术面临的安全威胁日益加剧,资金投入不足是2023年海事行业提升网络弹性面临的最大障碍
  •        根据DNV对800多位行业专业人士的调查结果显示,规则收紧为加大网络安全投资带来了希望,但更多表现出对规范指南有效性和企业合规能力的担忧
  •        有一半以上的海事专业人士认为,数字技术是实现其脱碳计划的关键要素,网络安全则是取得进展的前提条件。

近几十年来,海事行业一直致力于加强信息技术(IT)安全,但运营技术(OT)方面的安全——即管理、监测、控制和自动化物理资产如传感器、开关、安全与导航系统以及船舶——则是近期出现且日益紧迫的风险。在DNV调研的800位行业专业人士中,四分之三(75%)的受访者认为,与前两年相比,运营技术安全对他们组织来说是更高优先级的事项。仅有三分之一的人确信,其组织的运营技术网络像IT网络一样安全,强健。

Svante Einarsson, Head of Maritime Cyber Security Advisory at DNV
“在系统和资产互联的时代,海事行业的考虑仍然停留在IT技术上”,DNV海事网络安全咨询总监Svante Einarsson表示,“随着船舶系统与外部的联系越来越紧密,对运营技术的网络攻击可能在未来造成更大的冲击。”

DNV的最新研究报告《2023年海事网络优先事项:在互联时代保持安全》显示了几乎所有人的普遍共识:网络攻击将在未来数年内扰乱船舶运营。四分之三的海事专业人士认为,网络事件可能迫使战略水道关闭(76%)。超过一半的专家预计网络攻击将导致船舶碰撞(60%)、搁浅(68%)甚至造成人身伤亡(56%),而绝大多数(79%)专业人士认为,在海事行业看来,网络安全风险与健康和安全风险同样重要。

根据DNV的研究,尽管这个互联新时代会带来新的漏洞,但也创造出新的可能性。约87%的海事专业人士表示,未来行业将更多地依赖互联网络,85%的海事专业人士则表示,互联技术将有助于行业实现减排。

Knut Ørbeck-Nilssen, CEO Maritime at DNV

“网络安全是日益严重的安全风险,甚至可能是未来十年最主要的风险”,DNV海事首席执行官柯努特(Knut Ørbeck-Nilssen)指出,“但关键在于,它同样也促进了创新和脱碳。因为我们追求更环保、更安全、更高效的全球航运,行业的数字化转型在很大程度上依赖这些互联资产的安全保障。重要的是我们必须通力协作,增强整体的网络安全。”

DNV在更广泛的“网络优先事项”研究中,探索了关键行业对网络安全的态度及方法改变,并包含了关于能源行业的补充报告《能源网络优先事项:缩小认识与行动之间的差距》。

即将出台更强有力的法规为网络安全投资提供了平台 

随着行业机构和政府主管部门都鼓励海事行业改善其安全状态, 对海事网络安全更严格的监管规则即将出台。海事组织必须为符合新规则做好准备,包括IACS统一要求和欧盟2024年起生效的NIS2指令。根据DNV的研究,大多数海事专业人士认为,监管为释放急需的网络安全资金提供了最强大的动力。84%的人认为这将推动网络安全投资,但只有略高于一半的受访者(56%)对网络安全监管的有效性以及合规能力有信心。仅36%的海事专业人士赞同网络安全合规是简单直观的,不到半数(44%)的受访者表示,他们的组织内部目前尚不具备规则合规所需的技术知识。

“规则仅仅为网络安全设立了一个基线,但这并不能保障安全。与其将监管作为目标,海事行业应将其作为基础,在此之上进一步提升并适应不断变化的威胁环境,而不是目标”,DNV海事网络安全咨询负责人Svante Einarsson说,“正如我们在安全领域所见的,当从业者聚在一起共享知识时,规则就变得更加直接和有效。我们的研究表明,行业需要在公开分享网络安全经验方面向前迈出一大步——无论好坏甚至丑陋——从而共同打造让海事行业变得更安全、更可持续的实践指南。”

只有十分之三(31%)的海事专业人士认为,组织能有效地分享在网络安全威胁和事件中吸取的信息与经验教训。而大多数人(60%)认为海事行业在针对网络安全采取有效、可复制方法上缺乏标准,也反映了这种透明度的缺失。

在《2023年海事网络优先事项》中,DNV建议海事组织采取以下行动。

•  将网络安全视为促成因素

•  将网络安全视同运营环境中的安全风险

•  倡导全行业的洞察共享

•  重构规则框架,将其作为改善网络安全状况的基准

•  重新思考如何管理供应链漏洞

•  为更有效的培训寻找策略资源

•  在向互联系统转变的过程中,保持“模拟后备选择”

Images and graphs for download