随着航运业数字化、智能化进程的加快,网络安全逐渐成为海事行业面临的重大挑战之一。从国际船级社协会(IACS)官网获悉,IACS于近日正式通过了最新网络安全要求。IACS表示,船舶的网络安全事件可能会对生命、财产和环境产生直接和有害的影响,因此,IACS加强了针对船载计算机系统的可靠性和功能有效性的关注力度。
其实,IACS在早期阶段便已意识到船舶想要抵御网络相关事件需要行业所有相关方的积极参与,于是成立了网络系统联合工作组(JWG),旨在帮助行业应对网络事件。
基于广泛的行业合作和实践经验总结,以及国际海事组织(IMO)层面的网络安全相关进程,特别是IMO MSC.428(98)号决议。近日,IACS又通过了两项新的关于船舶网络韧性的统一要求(URs)。
MSC.428(98)安全管理体系中的海事网络风险管理
生效日期:2021年1月1日
内容:该决议强调经批准的安全管理系统应结合国际船舶安全营运和防止污染管理规则(ISM)的目标和功能要求考虑网络风险管理,鼓励各国政府确保不迟于2021年1月1之后的首次DOC年度验证时,安全管理系统应反映网络风险管理相关内容。
此外,IMO还发布了《海上网络风险管理导则》(MSC-FAL.1/Circ.3),为企业如何应对MSC.428(98)决议提供了必要的指导,并提供了以下参考文件:
●BIMCO/CLIA/ICS/INTERCARGO/INTERTANKO/OCIMF/IUMI发布的船上网络安全导则;
●ISO/IEC 27001信息技术标准;
●美国国家标准和技术研究所有关改进关键基础设施网络安全框架(NIST框架)。
UR E26
船载计算机系统的互联,以及商用现货(COTS)软件的广泛使用,让网络攻击有机可乘,这将对人员数据、人员安全、船舶安全等产生影响,并威胁海洋环境。本UR的目的是为船舶的网络韧性提供一套最低要求,为利益相关方提供技术手段,使船舶具有网络韧性。该要求旨在确保在船舶的设计、建造、调试和运营期间,将操控技术(OT)和信息技术(IT)设备安全集成到船舶网络中,目标是将船舶作为一个集体实体,以实现网络复原能力。要求涵盖五个关键方面:设备识别、保护、攻击检测、响应和恢复。
UR E27
船舶、港口、集装箱码头等方面技术的发展,以及行业对操控技术(OT)和信息技术(IT)的日益依赖,使得网络攻击对于业务、人员数据、人员安全、船舶安全等方面的影响的可能性增加,同时也可能威胁到海洋环境。该要求旨在确保系统完整性得到第三方设备供应商的保护和加固。该要求规定了船载系统和设备的网络复原要求,还提供了用户与船载计算机系统之间连接的附加要求,以及新设备上船前的产品设计和开发要求。
适用范围:最新通过的两项URs将适用于2024年1月1日及之后的新造船舶,但在过渡时期可作为非强制性指南使用。
“
这两项网络安全URs为新造船舶的网络复原以及船上系统和设备的网络安全提供了基于目标的最低要求。在逐步实现互联和数字化的海事世界中,面对不断发展的技术,这些URs是IACS在提供更安全船舶方面工作的一个重要里程碑。IACS秘书长Robert Ashdown
”
