隨著船舶技術(shù)迅速引進,網(wǎng)絡(luò)風(fēng)險將成為航運業(yè)未來十年的頭號風(fēng)險
新的研究發(fā)現(xiàn)����,航運業(yè)是網(wǎng)絡(luò)犯罪分子重點攻擊的目標(biāo),在過去12個月內(nèi)��,該行業(yè)的損失成本和贖金支付額大幅飆升��。
多家航運公司遭到勒索
此前�,世界上最大的四家航運企業(yè)都曾遭遇網(wǎng)絡(luò)攻擊,這在業(yè)內(nèi)并不罕見�,甚至很常見。
2020年�,法國航運巨頭達飛海運集團遭到勒索軟件攻擊,自2017年以來��,全球四大海運公司在過去四年中都遭到了網(wǎng)絡(luò)攻擊��。
馬士基集團在2017年被NotPetya勒索軟件劫持了數(shù)周���。地中海航運公司在2020年4月��,一種未命名的惡意軟件毒株襲擊了該公司�,導(dǎo)致其數(shù)據(jù)中心癱瘓數(shù)天�����。
中遠海運2018年7月位于美國長灘的碼頭遭遇勒索軟件攻擊,致美國公司的網(wǎng)絡(luò)無法正常使用����。
達飛海運集團,其在上海�����、深圳和廣州的中國分公司被Ragnar Locker勒索軟件襲擊后�����,關(guān)閉了其全球海運集裝箱預(yù)訂系統(tǒng)����。
另外�,荷蘭海運物流服務(wù)公司Royal Dirkzwager也曾遭Play勒索軟件團伙入侵,失竊數(shù)據(jù)被公布���。
這意味著��,物流供應(yīng)鏈中非常重要的一環(huán)����,即航運行業(yè)中,四大巨頭沒有一個免于重大網(wǎng)絡(luò)攻擊���。
網(wǎng)絡(luò)勒索贖金支付暴漲
針對航運業(yè)頻繁遭到網(wǎng)絡(luò)攻擊的現(xiàn)象�,律師事務(wù)所HFW和海事網(wǎng)絡(luò)安全公司CyberOwl共同完成了一份研究報告����。
該報告基于對150多名航運業(yè)內(nèi)專業(yè)人士的調(diào)查,包括高層領(lǐng)導(dǎo)�����、網(wǎng)絡(luò)安全專家�����、海員����、岸上管理人員和供應(yīng)商,揭示了航運組織和更廣泛的供應(yīng)鏈在網(wǎng)絡(luò)風(fēng)險管理方面存在的巨大差距����。
報告發(fā)現(xiàn)��,目前海事行業(yè)平均每起網(wǎng)絡(luò)攻擊造成的損失約55萬美元��,而2022年這一數(shù)字僅為18.2萬美元���。
同時該報告顯示,贖金增幅超過350%���,平均贖金支付也較去年的310萬美元有所上升����。
CyberOwl團隊回顧了2023年發(fā)生的船舶系統(tǒng)的網(wǎng)絡(luò)攻擊事件�����,分析得出結(jié)論��,一個由30艘貨船組成的典型船隊平均每月要發(fā)生7起網(wǎng)絡(luò)事件��,即一年發(fā)生80多起事件���。
雖然這些事件大多影響較小,但問題在于解決這些事件所需的時間很長��,船舶系統(tǒng)發(fā)生的網(wǎng)絡(luò)事件平均需要57天才能解決。
報告指出:“如果將全球網(wǎng)絡(luò)犯罪視作一個國家����,它將成為世界上第三大的經(jīng)濟體”。
研究顯示��,越來越多的海運公司因為網(wǎng)絡(luò)攻擊而支付贖金�,今年解鎖計算機系統(tǒng)的平均成本達到了320萬美元,高于去年的310萬美元��。
14%的航運公司在2023年遭受網(wǎng)絡(luò)攻擊后支付了贖金����,而2022年只有3%,幾乎翻了五倍��。
報告還發(fā)現(xiàn)��,24%的網(wǎng)絡(luò)攻擊受害者被騙向犯罪組織轉(zhuǎn)移資金����;25%的調(diào)查對象表示他們的組織沒有購買網(wǎng)絡(luò)風(fēng)險的保險。
勒索軟件攻擊可追溯到2000年代初�,但其復(fù)雜程度和規(guī)模都在不斷擴大。
它是一種惡意軟件��,可以阻止被襲擊的組織訪問重要文件,直到支付贖金(通常是比特幣)����,以換取解鎖系統(tǒng)的密鑰。
美國反勒索軟件專家Coveware的數(shù)據(jù)顯示�,2023年第二季度,約有34%的受害者向網(wǎng)絡(luò)犯罪分子支付了贖金�����。
航運業(yè)需要采取更多措施
要做到更為全面的預(yù)防措施�,航運公司可以從以下幾個方面保障信息安全。
首先是制定完善政策���。制定有關(guān)數(shù)據(jù)安全��、信息共享�����、訪問和授權(quán)協(xié)議的明確政策。確認(rèn)公司如何監(jiān)控數(shù)據(jù)并根據(jù)方案安裝對應(yīng)企業(yè)級安全協(xié)議���。
與合作伙伴溝通��,確保符合網(wǎng)絡(luò)安全防范要求����。聘請具有物流服務(wù)經(jīng)驗的專業(yè)網(wǎng)絡(luò)安全專家為企業(yè)定制安全方法。
其次是加強企業(yè)員工網(wǎng)絡(luò)安全培訓(xùn)���。研究表明����,95%的安全攻擊都涉及人為錯誤��,包括:鏈接到網(wǎng)絡(luò)的釣魚詐騙���、訪問不安全的網(wǎng)站�、點擊電子郵件中的可疑鏈接�、安裝包含惡意軟件的程序。
教育和培訓(xùn)企業(yè)員工是管理在線操作����、安全使用用戶名和密碼以及防止網(wǎng)絡(luò)安全隱患的重要方式。
最后要保持技術(shù)與軟件更新�����。網(wǎng)絡(luò)安全需要持續(xù)維護,實施復(fù)雜的方法并非一蹴而就��。原因是惡意軟件����、勒索軟件、威脅和漏洞也會實時更新�。
更新和修補軟件系統(tǒng)對于防范網(wǎng)絡(luò)安全風(fēng)險和威脅至關(guān)重要,需要持續(xù)監(jiān)控軟件功能和網(wǎng)絡(luò)安全���、識別漏洞并采取相應(yīng)措施����。
此前����,國際船級社協(xié)會 IACS于2022年4月通過了最新網(wǎng)絡(luò)安全要求。
UR E26:《Cyber resilience of ships 船舶網(wǎng)絡(luò)韌性》以及UR E27:《Cyber resilience of on-board systems and equipment船載系統(tǒng)和設(shè)備的網(wǎng)絡(luò)韌性》中明確要求:
對于建造合同日期為2024年1月1日或之后的船舶�,IACS成員內(nèi)需要強制執(zhí)行,宣告航運業(yè)即將進入全面網(wǎng)絡(luò)安全實操階段�����。
- END -
來源|外航運��、信德海事��、國際船舶網(wǎng)�����、海運網(wǎng)等
如需轉(zhuǎn)載����,請注明以上內(nèi)容
