船上网络安全程序亟待加强.PDFVIP

GARD INSIGHT 12 DECEMBER 2018 GARD INSIGHT 船上网络安全程序亟待加强 尽管国际海事组织规定，船东和经营人可以到2021 年再将网络风险纳入船舶安全管 理体系，但网络犯罪分子已经着手实施犯罪。数据是一种资产，保护数据需要充分平 衡保密性、完整性和可用性。网络安全不仅取决于船上系统和程序是如何设计的，还 取决于它们是如何使用的——人为因素。 船东和经营人应当进行风险评估，并将应对网络风险的措施编入其船舶的安全管理体 系（SMS）和船员意识培训 （如果还没这么做的话）。虽然国际海事组织规定，船东 和管理人可以到2021 年1 月1 日再将网络风险纳入船舶安全管理体系，但接受石油 公司国际海事论坛 （OCIMF）船舶检查报告程序审查的油船船东和经营人自2018 年 1 月1 日起，已经在其政策和程序中制定应对网络安全风险的内容了。 最新发布的第三版行业网络风险管理指南《船上网络安全指南》介绍了将网络风险纳 入船舶安全管理体系的要求。该要求未被纳入之前版本的指南中。本次纳入该要求反 映出业内对操作技术（OT）——比如导航系统和发动机控制机构——的风险评估有了 更为丰富的经验，同时也为应对海运供应链各方引起的船舶网络风险提供了更多指导。 © 2018 Gard AS 1 GARD INSIGHT 02 JANUARY 2019 网络风险可能不易识别 瞄准海运业、船舶及其船员的犯罪分子组织有序，并按照他们的运作方式不断发展。 这反映出网络风险在总体上不断发展的本质。网络风险管理方法需对公司和船舶有针 对性，但必须遵循相关国家、国际和船旗国法规要求的指导。 高级管理层应当将网络风险意识文化根植于船上的各级各部门，最终形成持续运作且 通过有效的反馈机制不断接受评估的灵活网络风险管理制度。 最新的网络安全调查显示，业内对这一问题提高了认识，并已加强网络安全管理培训， 但仍有改进的空间。Futurenautics 集团开展的2018 年船员互联调查证实了这一点。 根据该调查，仅有15%的海员确认接受过网络安全培训，仅有33% 的海员称其服务的 上一家公司有定期变更船上密码的政策。 在Gard ，我们努力以最佳的方式保护我们会员和客户的利益。我们的建议是全方位应 对网络风险，通过程序、技术、以及最为重要的人员等方面的措施保护IT 和OT 系统 的保密性、完整性和可用性。网络犯罪分子获取访问权最简单和最常用的方法就是通 过疏忽大意或缺乏培训的个人。 建议1 ：关注政策、程序和风险评估 最新的《船上网络安全指南》预期，网络事件会带来实体影响，导致潜在的安全和/ 或 污染事件。因此公司不仅需要评估使用船上IT 设备产生的风险，还要评估使用船上 OT 设备产生的风险，同时要确立适当的保护措施，防范涉及IT 或OT 设备的网络事 件。 公司的网络风险管理计划和程序必须与公司政策中ISPS 规则和ISM 规则规定的现有 保安和安全风险管理要求保持一致。关键网络系统培训、操作和维护的相关要求也应 被纳入船上相关文件。 国际海事组织海上安全委员会 （MSC）于2017 年6 月通过了有关安全管理体系之海 上网络风险管理的MSC.428(98)号决议。该决议规定，最晚在2021 年1 月1 日之后 对公司符合证明的首次年度审核时，网络风险管理应按照ISM 规则的宗旨和要求，纳 入经核准的安全管理体系。 符合证明的持证人对确保船上网络风险管理负有最终责任。如果船舶由第三方管理， 建议船舶管理人与船东就谁对该事项负责达成协议。双方应当强调责任分配、务实期 望调整、有关给管理人具体指示的约定、参与采购决策的可能性以及预算要求。 除了 ISM 要求以外，该等协议还应考虑其他适用法律，比如《欧盟通用数据保护法规》 （GDPR）或其他沿海国家的特别网络法规。管理人和船东应考虑以这些准则为基础， © 2018 Gard AS 2 GARD I