運(yùn)營商們慣于使用過時(shí)的電腦操作系統(tǒng)，還經(jīng)常不安裝系統(tǒng)安全漏洞補(bǔ)丁。

智能航運(yùn)的時(shí)代即將到來，其不僅將改變船舶的運(yùn)營方式，亦將對船舶檢驗(yàn)產(chǎn)生影響。目前，國際海事組織（IMO）正在開展項(xiàng)目，對海上自主水面船舶（MASS）的概念進(jìn)行界定。MASS為智能船舶的通用術(shù)語，涵蓋了從配備簡單決策工具到可無人駕駛的一系列智能船舶。今年6月，IMO海上安全委員會(huì)（MSC）會(huì)議報(bào)告了該項(xiàng)目進(jìn)展的最新情況，并明確將于明年提交相關(guān)最終報(bào)告。

今年早些時(shí)候，法國船級社（BV）的船舶與海工部門，利用法國波邦公司（Bourbon）近海支持船（OSV）“Bourbon Explorer 508”號上的康士伯海事（Kongsberg Maritime）動(dòng)力定位（DP）數(shù)字檢驗(yàn)系統(tǒng)，進(jìn)行了一次數(shù)字檢驗(yàn)。該系統(tǒng)直接從船舶控制系統(tǒng)獲取數(shù)據(jù)，并通過云技術(shù)，將數(shù)據(jù)安全地發(fā)送給陸上檢查員，進(jìn)行了一次BV所說的“前所未有”的、通過確認(rèn)數(shù)據(jù)一致性進(jìn)行的認(rèn)證。

該系統(tǒng)的進(jìn)一步試驗(yàn)預(yù)計(jì)將在今年晚些時(shí)候進(jìn)行。BV智能船舶全球技術(shù)負(fù)責(zé)人Najmeh Masoudi Dionne表示，海事業(yè)對此的反饋非常積極，因?yàn)閿?shù)字檢驗(yàn)可提供更大的靈活性，無需再提前3個(gè)月或在認(rèn)證1年后進(jìn)行檢驗(yàn)，而是可以由船員在陸上檢查員的實(shí)時(shí)監(jiān)控下進(jìn)行檢驗(yàn)。

對上述數(shù)字檢驗(yàn)系統(tǒng)而言，在檢驗(yàn)過程中網(wǎng)絡(luò)彈性（也稱為運(yùn)維彈性，是指網(wǎng)絡(luò)在遭受數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊時(shí)快速恢復(fù)和繼續(xù)運(yùn)行的能力）至關(guān)重要。Najmeh Masoudi Dionne 稱：“重要的是傳輸?shù)臄?shù)據(jù)應(yīng)是準(zhǔn)確的，不能被篡改。”為此，BV通過嘗試入侵系統(tǒng)的方法來測試其安全性，并在此基礎(chǔ)上進(jìn)行數(shù)據(jù)完整性分析、網(wǎng)絡(luò)安全性認(rèn)證，還會(huì)檢查系統(tǒng)中的設(shè)備是否符合其技術(shù)規(guī)范。

在應(yīng)對船舶數(shù)字化挑戰(zhàn)方面，BV可謂最積極的船級社之一。2016年，BV發(fā)布了其智能船舶計(jì)劃，并于2017年晚些時(shí)候發(fā)布了《自主航運(yùn)指南（NI641）》。Najmeh Masoudi Dionne 介紹說：“這可以幫助我們的客戶了解智能船舶是什么，進(jìn)而確定其船舶處于怎樣的智能水平，以及明確船舶運(yùn)營的哪些方面應(yīng)是智能的。如果你是億萬富翁，從理論上講，你可以把所有東西都自動(dòng)化，但你應(yīng)知道哪些技術(shù)才是實(shí)用的?！?/p>

BV對智能船舶的要求主要分為三大部分：網(wǎng)絡(luò)安全（Cyber safety）、網(wǎng)絡(luò)安全（cybersecurity）——兩者均屬于網(wǎng)絡(luò)彈性，以及智能性能。其中，Cyber safety指通過保護(hù)從而防止物理的、社會(huì)的、精神的、金融的、政治的、情緒的、偶然的、心理的、教育的或者其他類型的失敗、破壞、錯(cuò)誤和事故的影響，對該數(shù)字檢驗(yàn)系統(tǒng)而言該安全涉及其耐用性和完整性，其可能會(huì)受到眾多不同因素的損害，如編碼錯(cuò)誤、缺乏測試、機(jī)械零件故障中的一種、幾種或全部；cybersecurity則是指保持網(wǎng)絡(luò)空間中信息的保密性、完整性和可用性，應(yīng)防止第三方獲得訪問該系統(tǒng)的權(quán)限或使惡意軟件、病毒入侵系統(tǒng)。Najmeh Masoudi Dionne解釋說，網(wǎng)絡(luò)威脅產(chǎn)生的原因有可能是某組織妄圖控制一個(gè)石油平臺、某企業(yè)試圖破壞競爭對手的聲譽(yù)、青少年黑客甚至某個(gè)國家希望以此測試自己的網(wǎng)絡(luò)技術(shù)等，“有組織的網(wǎng)絡(luò)犯罪正變得越來越普遍?！?/p>

而智能性能 ——或被稱為“網(wǎng)絡(luò)性能”——?jiǎng)t意味著任何基于數(shù)字技術(shù)的解決方案，用于提升船基及陸基設(shè)備的性能。不過，海事業(yè)一直忽視了應(yīng)從網(wǎng)絡(luò)彈性的角度來確保智能性能。Najmeh Masoudi Dionne表示，無論是負(fù)責(zé)購買軟件并將其集成到單個(gè)系統(tǒng)的技術(shù)人員還是船東，都往往會(huì)忽略這一點(diǎn)。

網(wǎng)絡(luò)安全調(diào)查

盡管海事業(yè)有一些網(wǎng)絡(luò)安全方面的案例為大眾熟知，如馬士基航運(yùn)2017年曾受到NotPetya軟件的攻擊及勒索，但運(yùn)營商往往不愿主動(dòng)談及自己是否是網(wǎng)絡(luò)犯罪的受害者。而這也是可以理解的，畢竟目前業(yè)界還缺乏相關(guān)的保密機(jī)制。不過，據(jù)Najmeh Masoudi Dionne介 紹，Jones Walker LLP公司曾在2018年進(jìn)行了一項(xiàng)海事網(wǎng)絡(luò)安全調(diào)查，其結(jié)果頗具啟發(fā)性。

該調(diào)查收到了多家美國海事公司的126名員工的回復(fù)，其職位包括高級及主要管理人員、IT工程師等。調(diào)查發(fā)現(xiàn)，78%的大公司認(rèn)為，其在過去12個(gè)月內(nèi)遭受過某種形式的網(wǎng)絡(luò)攻擊，83%的小公司則認(rèn)為他們沒有成為攻擊目標(biāo)。

相比之下，大公司更能意識到來自外部網(wǎng)絡(luò)的安全威脅，其所有受訪者都表示最大的網(wǎng)絡(luò)風(fēng)險(xiǎn)是來自勒索軟件和惡意軟件等的外部攻擊。而小公司中61%受訪者認(rèn)為最大的風(fēng)險(xiǎn)來自于其內(nèi)部的疏忽。

另一項(xiàng)值得關(guān)注的統(tǒng)計(jì)數(shù)據(jù)與防護(hù)措施有關(guān)。雖然有73%出現(xiàn)過網(wǎng)絡(luò)安全問題的公司表示，已在未來應(yīng)對威脅方面做好準(zhǔn)備；但86%未出過問題的公司承認(rèn)，對此仍未做好準(zhǔn)備。此外，雖然大多數(shù)公司目前都在實(shí)施安全I(xiàn)T解決方案，如保留應(yīng)用程序清單、采用診斷工具等，但大多數(shù)缺乏船岸通信加密等先進(jìn)的技術(shù)和系統(tǒng)。

Najmeh Masoudi Dionne認(rèn)為，調(diào)查結(jié)果反映出海事業(yè)并未能充分解決網(wǎng)絡(luò)安全問題。盡管當(dāng)前裝船的設(shè)備、系統(tǒng)日益復(fù)雜且高度整合，但船東的普遍態(tài)度是預(yù)防措施根本不必要。“大多數(shù)船東只是想讓其船舶從A地點(diǎn)航行到B地點(diǎn)而已。”

此外，網(wǎng)絡(luò)安全是一個(gè)不斷變化而非靜止的概念，其原因是病毒和惡意軟件層出不窮，不斷導(dǎo)致新的安全風(fēng)險(xiǎn)?！爸匾氖?，（船東）要理解網(wǎng)絡(luò)安全不像發(fā)動(dòng)機(jī)壽命那樣可以持續(xù)40年不變，需要由防病毒軟件和IT技術(shù)人員定期檢查船舶的電腦操作系統(tǒng)，而且系統(tǒng)也應(yīng)定期升級。這些可被視為資本性支出（CAPEX），但如果目前不采取措施，日后它們將會(huì)變?yōu)檫\(yùn)營成本（OPEX）。”Najmeh Masoudi Dionne表示。

運(yùn)營商們——無論是在海上還是在陸上運(yùn)營——慣于使用過時(shí)的電腦操作系統(tǒng)，甚至是“古老的”Windows 98或XP系統(tǒng)，且這種情況并不少見。不僅如此，他們還經(jīng)常不安裝系統(tǒng)安全漏洞補(bǔ)丁。Najmeh Masoudi Dionne稱，另一個(gè)值得關(guān)注的問題是，電腦安裝新軟件或新設(shè)備被添加到現(xiàn)有系統(tǒng)中后，運(yùn)營商根本不會(huì)做任何風(fēng)險(xiǎn)分析或兼容性檢查。

值得慶幸的是，有些細(xì)分行業(yè)更具前瞻性，自船廠建造階段就開始注重船舶的網(wǎng)絡(luò)安全。Najmeh Masoudi Dionne介紹，郵輪和游艇船東非常關(guān)注網(wǎng)絡(luò)安全問題，因?yàn)槿藗兿Ｍ谶@類船舶上像在家或辦公室一樣做事情，設(shè)計(jì)師也會(huì)致力于滿足船東需求。此外，液化天然氣（LNG）運(yùn)輸船和集裝箱船也很注重靠泊碼頭時(shí)的網(wǎng)絡(luò)安全。最終，船東將自愿決定獲得哪家船級社的船舶網(wǎng)絡(luò)安全符號，如果其選擇BV，則BV的相關(guān)專家將協(xié)助船廠的IT團(tuán)隊(duì)為船舶打造一個(gè)安全的網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全船級符號

BV可提供一系列船舶網(wǎng)絡(luò)安全服務(wù)，以幫助客戶降低風(fēng)險(xiǎn)。實(shí)現(xiàn)船/岸網(wǎng)絡(luò)安全深度自動(dòng)化的新船，可獲得 BV的Cyber SECURE入級符號；正在接受定期檢驗(yàn)的船舶，如果有適當(dāng)?shù)某绦虿⒔?jīng)過培訓(xùn)，則可獲得其Cyber MANAGED符號。

BV還在國際船級社協(xié)會(huì)（IACS）內(nèi)組建了專門的網(wǎng)絡(luò)小組，幫助船舶滿足“可編程電子系統(tǒng)船上使用和應(yīng)用”（IACS UR E22）規(guī)定。IACS UR E22 規(guī)定了船上計(jì)算機(jī)系統(tǒng)的最低要求，適用于2017年7月1日及之后訂購的所有新船。此外，若運(yùn)營中的船舶能夠滿足該規(guī)定要求，則可獲得BV的SW-Registry符號。

除船舶外，BV還可對裝船設(shè)備、網(wǎng)絡(luò)安全解決方案、遠(yuǎn)程接入系統(tǒng)供應(yīng)商等提供網(wǎng)絡(luò)安全認(rèn)證服務(wù)。

IMO也積極推進(jìn)船舶網(wǎng)絡(luò)安全相關(guān)工作。2018年，IMO第98屆會(huì)議（MSC 98）通過了《有關(guān)安全管理體系的海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的MSC.428（98）號決議》，該決議強(qiáng)調(diào)批準(zhǔn)的安全管理系統(tǒng)（SMS）應(yīng)結(jié)合ISM規(guī)則的目標(biāo)和功能要求考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，鼓勵(lì)各國政府確保不遲于2021年1月1日之后的首次DOC年度驗(yàn)證時(shí)，安全管理系統(tǒng)應(yīng)反映網(wǎng)絡(luò)風(fēng)險(xiǎn)管理相關(guān)內(nèi)容，請相關(guān)公司考慮建立船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理程序文件，并納入ISM體系。

Najmeh Masoudi Dionne 稱，目前還無法確定上述決議在2021年強(qiáng)制實(shí)施時(shí)，SMS將會(huì)發(fā)生怎樣的變化。為此，BV制定了指導(dǎo)方針，以幫助其客戶遵守相關(guān)法規(guī)。

自我評估APP

Najmeh Masoudi Dionne表示，船舶運(yùn)營商需要了解如何面對網(wǎng)絡(luò)安全帶來的巨大挑戰(zhàn)。為此，BV開發(fā)了一個(gè)基于網(wǎng)絡(luò)的自我評估APP：iCheck for Cyber Vessel。 她相信，船舶經(jīng)理、船東、設(shè)計(jì)師和設(shè)備制造商都會(huì)發(fā)現(xiàn)其益處。盡管其中會(huì)有一些他們不熟悉的術(shù)語，但這反而會(huì)促使他們積極與IT部門交流以了解其含義。

上述APP 的評估基于三個(gè)方面：技術(shù)、管理、測試和審計(jì)。當(dāng)評估完成后，使用者會(huì)立即看到一個(gè)簡潔的風(fēng)險(xiǎn)分析報(bào)告，用綠色、橙色和紅色來表述上述方面的網(wǎng)絡(luò)安全性，其中綠色為安全性強(qiáng)，紅色為弱，橙色居中，并會(huì)標(biāo)明應(yīng)采取哪些措施來解決問題。Najmeh Masoudi Dionne認(rèn)為，這一APP不僅彰顯了BV對海事業(yè)的貢獻(xiàn)，還有望帶來一些船舶網(wǎng)絡(luò)安全方面的新詞匯。