航运业为何对网络黑客充满诱惑
——访CyberOwl首席执行官Daniel Ng先生

本刊记者 薛龙玉

近年来，航运业大型网络攻击事件时有发生，网络安全威胁成为了行业发展面临的一大挑战。今年7月，总部位于伦敦的海事网络安全公司CyberOwl宣布将与英国HFW律师事务所携手帮助航运业管理网络风险，这表明网络安全问题愈受重视的同时也日趋复杂，需要各方协作共同寻找解决方案。在接受本刊专访的过程中，CyberOwl首席执行官Daniel Ng向我们介绍了该公司专业的网络攻击防御理念，并分享了他对航运业网络攻击频发背后原因的深度思考以及在业界应如何预防和应对网络风险方面的具体建议。

记者：最近几年，越来越多航运公司和组织遭受了网络安全威胁，您认为航运业网络攻击事件激增的原因是什么？航运公司为什么容易成为网络攻击的对象？

Daniel Ng：除了某些高调、轰动的攻击事件（例如2017年马士基遭到的攻击）之外，发生在航运公司身上的绝大多数网络攻击似乎都是犯罪分子出于利益动机的无针对性攻击。这类网络犯罪分子要么盯上他们认为可以最快获利的目标，要么不分青红皂白地随意攻击任何系统，直到击中一个带来回报的目标。

在多种因素的共同作用下，航运业成为了一种易受网络攻击的目标，该行业对于网络犯罪分子的吸引力越来越高，而且行业自身也难脱干系。这可能也是航运业网络攻击事件激增的原因。

首先，航运业是一个易受攻击的目标，也已成为其自身疏忽的受害者。与其他行业相比，航运公司没有在网络风险管理方面进行足够的投资，因此很容易成为网络攻击的目标。而且航运业在迅速采用新技术和增强连通性的同时，并没有对了解网络风险的专业团队进行足够的投资。

其次，航运业也是一个诱人的网络攻击对象。许多航运部门正在享受着创纪录的惊人利润，如集装箱船和干散货船市场。在过去一年左右的时间里，供应链困境和苏伊士运河堵塞等重大事件一直是新闻报道的焦点。航运业务中断的成本之高从未如此明显，即使网络犯罪分子从前对航运业知之甚少，现在他们的目光也不免被吸引过来了。

最后，从很多方面来看，航运业对于自身所遭受的网络攻击难脱干系。“深藏不露”是航运业的固有特质。航运组织抵制（至少并不全心全意地支持）共享网络风险信息的全行业举措。航运业中没有任何一个负责接收和传播网络威胁情报报告的机构。此外，与我交谈过的许多航运运营商都愿意为勒索软件攻击支付赎金。这种心态助长了网络犯罪分子瞄准航运业发动攻击的行为。

记者：航运业面临的网络安全风险主要包括哪些类型？

Daniel Ng：在CyberOwl，我们主要聚焦的是船上系统保护。因此，处理针对船舶运营的网络攻击是我们最受瞩目的领域。

值得一提的是，企业（岸基）系统遭受的网络攻击数量要比船载系统高得多。然而，这些不同的网络之间可能并没有充分隔离，这意味着两种系统有可能都面临着同样级别的网络安全威胁，具体取决于船队运营商如何构建其岸上和船舶网络架构。

就船载系统而言，在公司目前所监测的所有船舶上，我们平均每天都能检测并阻止一起网络事件。我们所发现的网络安全威胁主要来自无针对性的投机式攻击，利用的技术相对比较简单。

根据我们的经验，由于岸上团队、船员或船舶访客的一些做法不够安全，例如对电子邮件、USB以及船上设备的访问管理和管理员权限的控制不力，发生在航运系统上的绝大多数成功的网络攻击都是“引狼入室”的后果。这当中罕有复杂精密的攻击，主要是勒索软件和基于敲诈勒索的攻击行为。

在我们所见过的所有网络攻击事件中，有80%都可以追溯到在船上设备下载或安装未经授权的程序。大多数情况下，船员下载或安装此类程序只是为了让他们在船上的工作更轻松，而非出于恶意。但正是这些程序给网络攻击分子打开了后门。

记者：随着行业不断发展和数字化转型的推进，未来网络安全风险是否会衍生出一些新的形式？业界应当如何防范潜在的安全威胁？

Daniel Ng：与供应链相关的网络攻击就是我们特别关注的趋势之一。这通常涉及到针对诸如航运ERP或船舶性能优化系统等关键软件系统供应商的攻击。此类攻击会造成严重的业务连续性中断。一旦攻击成功，犯罪分子就会向供应商索要赎金。此外，他们还会找上船东，对其进行二次敲诈勒索。

2020年底IT管理软件开发商SolarWinds公司的Orion平台遭遇黑客组织入侵破坏就是一起备受瞩目的供应链攻击事例，当时该平台有33,000名客户在使用，其中一些来自海事公司。此次破坏的影响深重，至今仍有一些组织受到攻击影响。近期还有一家大型航运ERP供应商遭到网络攻击，致使客户群体中10%发生了船岸通信故障。

虽然我们暂时尚未遇到类似的影响安全关键系统的网络袭击事件，但这也许只是时间问题。我们之所以特别关注这类网络风险，是因为航运业已经开始增强其网络连通性并采用船舶物联网技术，以期实现净零排放、船舶性能效率以及船员福利改善等目标。但此类技术的供应商未必能将产品和服务设计得足够安全。

考虑到这些发展趋势，单靠使用基本防火墙和防病毒软件来保护船舶系统已经远远不够了。船队运营商需要对这些系统存在的网络风险形成更好的、持续性的了解，以便确保能够先发制人，主动解决各类风险或人为错误，无论它们是来自公司内部员工还是供应商。运营商应当考虑定期举行涉及供应商的网络演习，确保自己做好充分准备，能够在事件真实发生时（而不是假设情况下）顺利应对。

记者：哪些船舶系统最容易遭受网络攻击的危害？

Daniel Ng：很遗憾，防御网络攻击并没有捷径可走——根据我们的经验，船舶系统的联网和配置因不同的船舶类型各异，相互之间差别很大。从较高层面上看，面向互联网、通过网络与其他船载系统交换数据或配备可用USB端口的船舶系统最容易遭受网络攻击侵害。这些系统的数量和种类正在不断增加。

从实践层面上看，当IT团队以为船舶架构是按照某种特定方式配置的，但实际情况却截然不同时，最危险的情形就出现了。这是系统漏洞最容易被利用的时候，因为IT团队甚至都不知道它们的存在，也没有留意该区域的异常情况。最近我们就遇到了这样一个例子，客户确信自己的船舶警报和监测系统 (AMS) 与船员和船舶业务网络相互独立，因为他们的集成商所提供的原始船舶示意图里是这样描述的。然而，当我们为其部署网络风险监控技术时，却发现这些网络不仅连接在一起，而且还定期交换数据，这意味着一旦船员设备上出现任何恶意软件，都可能传播到船舶AMS系统并将其禁用，而AMS则是为高级船员提供安全状况警报的关键系统。

记者：在您看来，目前航运业在网络风险管理方面存在的难点和挑战主要有哪些？应当如何改进？

Daniel Ng：我认为，航运业网络风险管理面临的关键挑战是该行业主要受合规性驱动，而IMO 2021海上网络风险管理指南的执行仍然非常有限。由于许多船队运营商尚未因网络攻击而蒙受损失，他们只是在遵守最低限度的要求。因此，这些船队运营商往往会对自己的船舶网络风险水平做出未经证实的假设。而这些假设通常是由不合格或未经培训的人员所做，因此准确性也得不到保障。这种情况往往又会导致高级领导团队无法意识到船队的真实风险水平，因此也难以发起改进计划。

要想改善这种状况，航运业需要基于实际数据和证据来了解网络风险，而非依靠那些不准确的假设。业界可以采用多种方法来做到这一点，包括聘请专家进行风险评估、开展渗透测试或者部署扫描和网络风险监测技术，例如CyberOwl的网络安全解决方案。然后公司可以通过以上措施来决定自己想要减轻哪些风险，并接受自己可以容忍的风险。

记者：航运公司在部署网络安全策略时应考虑到哪些问题？请您提供一些建议。

Daniel Ng：我建议考虑以下三个关键问题。一是如上所述，航运公司需要获取一些实际数据和证据来支撑他们的网络安全策略。二是如果航运公司连最基础的网络安全措施都未曾采取，那么就要立即行动起来。但要确保这些措施得到妥善执行和管理，而不仅仅是从理论出发。许多网络安全策略经过了深思熟虑但实施起来却发现行不通。三是要谨记网络风险管理不仅仅是技术层面的工作，还有运营、商业、法律和保险风险需要解决，而且这些问题需要综合考虑。

记者：面对网络袭击时，企业如何应对才能最大限度降低损失？

Daniel Ng：假设企业保护系统出现故障（这种情况经常发生，因为保护系统并不总是处于良好的维护状态），处理网络攻击大致有3个时间段：

在最初的几个小时或几天之内，我们的目标是要遏制攻击，阻止其继续扩散，并确保系统关键功能得到恢复。如果用处理身体受伤的做法来类比，这就像是“施加压力止血”，并将受伤人员从危险系数高的区域转移出去。此时我们的目标不是找出造成伤害的原因，而是要专注于不让情况恶化。成功应对网络攻击的一个重要标准是确保能够最好地领导事件响应的合适人员充分发挥其应有的作用。提前制定好经过充分演练的网络应急响应计划将对企业应对网络攻击大有帮助。

如果涉及到勒索软件或敲诈勒索行为，企业需要做出的一个关键决定可能就是是否支付赎金。这将取决于多种因素，其中包括考虑支付赎金是否会受到制裁影响。迅速聘请法律专家将有助于解决这个问题。

这项工作完成后就进入了下一个时间段，此时的任务是要全面恢复系统的完整功能。与此同时，企业还需要进行一些事件调查，以便回溯攻击者的各项步骤，并确保相关系统漏洞得到解决。网络犯罪分子会“双击”并反复攻击那些有漏洞被利用而且尚未得到修复的相同目标，这种情况越来越常见，因为他们可以利用这种方式凭借相同的攻击手法轻松地攫取更多利润。

可以说，最重要的时间段是在网络攻击发生之前。最好的响应始于充分的准备。安装使用可以快速检测网络攻击的系统将有助于企业在实际面临攻击时迅速启动响应。正如前面提到的，网络安全演练的效果非常强大，可以真正帮助企业看清自己在哪些领域的准备尚有不足。

记者：CyberOwl目前可为业界提供怎样的网络安全解决方案，请您介绍一下。

Daniel Ng：CyberOwl帮助船队运营商对其分布式远程资产上的系统情况形成全面了解和掌握、确保系统网络安全并实现网络合规。我们通过技术、管理服务和特定的网络安全咨询服务来为资产运营商提供支持。

我们的技术可以帮助客户实现资产行为及其通讯模式的准实时（near-real-time）可见。通过部署这些技术，我们可以识别并盘点上述运营平台的IT（信息技术）和OT（操作技术）网络上的资产。它们将检测并对网络攻击策略、手法和程序发出预警；识别异常现象和可疑活动；监控不符合网络安全政策要求的情况。针对海事环境所面临的连接中断、带宽限制和远程管理需求等挑战，CyberOwl也对自己的技术进行了相应的优化。

我们的管理服务可为资产运营商提供保障和支持，无论他们对网络专业知识的掌握处于何种级别。我们通过警报验证、鉴别分类以及提供适当的网络事件响应行动指导来支持安全运营。

记者： CyberOwl宣布与律师事务所HFW合作帮助航运业管理网络风险。通过此次合作，双方将为维护行业网络安全做出怎样的贡献，为客户提供哪些具体服务？

Daniel Ng：网络风险不仅仅是一个技术问题。通过与HFW的合作，我们能够为业界提供一种商业驱动的网络风险管理方法。我们将携手HFW助力业界快速评估航运业务面临的商业、运营、技术、合规性和保险等方面的网络安全风险，以便最大限度地减少遭遇网络攻击时企业需担负的责任。具体可能包括以下服务：

◎海上网络安全评估，帮助客户快速了解自己的商业、法律、技术和运营网络风险以及如何实际有效地管理风险；

◎船舶网络安全监控，帮助客户了解船上所有物，确保其实现网络安全并证明已对其进行保护；

◎网络咨询，确保客户具备合适的技术、人员/技能、流程和程序来管理和应对网络风险；

◎网络法律咨询和指导，帮助客户确认其政策、程序和合同符合IMO MSC428 号决议的规定及其他监管法规的要求，并在发生网络攻击时保护客户的利益；

◎国际危机管理和网络响应，遭遇网络攻击时，HFW著名的国际危机管理和网络响应团队可以提供24/7全天候响应服务。

国内首制大型邮轮实现坞内起浮里程碑节点

2021年12月17日，备受关注的中国船级社（CCS）重点项目——中国首制大型邮轮，在中国船舶集团旗下上海外高桥造船有限公司顺利实现坞内起浮的里程碑节点。

起浮是为了首次测定重量重心等一系列关键工艺要素和技术指标，并进行全船残余应力释放，是检验船舶前期的设计建造工程是否过关的重要节点，堪称一场“期中考”，进一步验证中国首制大型邮轮在设计、工艺、生产准备、总装建造等阶段所取得的一系列重大科研成果。中国首制大型邮轮H1508是国内第一艘也是唯一一艘在建的国产大型邮轮，相比较拥有3万个零件的汽车、200万个零件的高铁、500万个零件的大飞机，大型邮轮是名副其实的巨系统工程。中国首制大型邮轮全船共136个系统 ，2万余套设备，2500万个零件，4200公里电缆 ，350公里管系， 450公里风管，超500家全球供应商。由于其结构的特殊性、工艺的复杂性、建造的艰巨性，以及全球性的供应链协同，对中国船舶工业而言都是前所未有的挑战。