USCG:船舶存在这四大网络安全风险将被滞留
2020-11-12 20:10 | 海事服务网CNSS 船舷内外
由于疫情期间,频繁有航运公司遭到网络黑客的攻击,航运业成为不法网络分子的主要目标之一。
近日,美国海岸警卫队USCG发布了《船舶网络风险管理指南》,并将之作为PSC检查的内容之一。
《船舶网络风险管理指南》主要内容:
•严重缺陷需要在90天内修复并进行外部审核,否则将被滞留;
•轻微缺陷需要在90天内进行内部审核,并且缺陷必须在出发前解决;
•检查将仅涵盖与船舶安全直接相关的网络系统;
•在对船舶安全至关重要的系统中发生故障的情况下,检查人员/港口安全控制人员应受命调查原因是否与“网络相关”,如果是,则查看在该故障发生之前是否遵循了正确的程序;
•如果PSC检查人员认为有充分的理由进行进一步检查,并且已收集到明确的证据,表明SMS的网络风险管理要素实施不力,则可能会发布进一步的缺陷;
USCG将重点从哪些方面检查船舶的网络安全?
包括但不限于以下四方面:
A.不良的网络环境(例如开放显示的密码/登录名,常规登录名或没有登录名,一段时间不使用后没有自动注销,严重依赖USB驱动器以及在使用前没有明显的病毒查杀手段;
B.船上计算机设备有恶意软件,如弹出窗口等;
C.对影响船载系统的异常网络活动/可靠性问题的记录或投诉;
D.疑似来自船长/船员的伪造/网络钓鱼电子邮件;
如果发现任何网络环境不佳的迹象,PSC检查人员会进一步询问是否存在缺陷,但仅限于安全操作或航行所需的系统。独立系统或其他“不影响船舶安全运行或航行的系统”通常不予检查。、USCG提醒船东从以下八个方面切入来检查船上的网络系统环境:
压载控制,发动机和推进控制,舵机控制,货物控制,导航(ECDIS / GPS),雷达,卫星和3/4 / 5G通信,船上福利系统。
最关键的是,如果MI / PSCO发现处理不善的缺陷,或得出的结论是该船不再符合SOLAS,因此不适合航行,则船舶有可能被滞留。
发现缺陷后,PSC检查人员做如何处理?
在发现或发现缺陷后,PSC检查人员通常会从如下三方面处理:
1.如果SMS中未包含网络安全风险管理,则PSC检查人员可以开出代码为30的缺陷证明,这会导致船舶被滞留。
2.如果船舶清楚地知道船舶SMS中存在网络组件,但并未遵循,则PSC检查人员可以开出代码为17的缺陷证明,并要求船舶在出发前进行纠正。
3.如果或有证据表明已经将网络安全纳入其SMS中的船舶严重违反了网络安全规定,则PSC检查人员可以开出代码为30的缺陷证明,并滞留船舶。
简而言之,如果网络安全风险管理未以允许或无法防止网络事件发生的方式实施,则该船需要在下一次访问美国港口之前补救缺陷。
提醒船东:前往美国港口的每艘船只,都要确保有清晰的网络系统安全相关的文档、标准和流程,以确保海事检查员(MI)PSC检查官对船舶网络安全风险的管理方法充满信心。即使是关键系统中的最小故障,也需要专业及时补救。如果到达美国港口后被发现关键系统出现故障,则需要限时修复并通过审核,而且要保证在下次访问时问题已得到彻底纠正。否则,船只将被滞留。