.png)
.png)
.png)
.png)
作者:王华、许运平
为实现船舶管控一体化,网络技术已广泛被用于保护船舶安全、实现船舶数据的使用、存储及共享,船舶管理信息系统也日趋借助网络技术以实现船岸之间的数据共享和交互,以便于岸基船舶管理人员远程监控、指导船舶的运营。而网络安全风险往往就潜伏在其中。如果发生海事网络安全事件,将给航行带来不可忽视的风险,还可能因数据泄露导致国家利益受损,比如,在2011年,某油船从阿拉伯湾启程前往地中海,该轮的行程、货物、船员、地点以及有无武装警卫等各项信息被海盗雇佣的技术人员提前获悉,从而被海盗锁定并劫持;另,在2011 年和 2013 年,欧洲某港口的信息系统遭到网络攻击,货物数据被篡改,使得毒品走私计划得逞。据悉,在2017年至2020年间,针对海事行业运营技术系统的网络攻击增加了900%。[1]全球头部航运企业(马士基、地中海航运等)都曾因勒索软件攻击导致网络营业中断。
针对网络风险对航运业的威胁,国际海事组织IMO于2017年发布IMO MSC.428(98)决议,鼓励各国建立船舶网络风险管理体系并将其纳入已有的安全管理体系。与此同时,近些年,我国《网络安全法》《数据安全法》《网络安全审查办法》等法律逐步完善了我国网络安全法律体系。在当前情况下如何构建海上网络安全风险管理体系,对航运企业来说是非常重要的议题。笔者借此文初探一二。
01 遵循国际层面的行业网络安全指导方针
近年来,针对海事领域的网络风险防范,国际组织以及行业组织、机构纷纷制定并发布了一系列网络安全指导方针,笔者列举如下:
2016年,国际海事组织海上安全委员会(MSC)在第96届大会通过了《海事网络风险管理暂行指南》(MSC.1/Circ.1526),后由2017年第98届大会批准的《海事网络风险管理指南》(MSC-FAL.1/Circ.3)替代,该通函为航运企业应对船舶网络安全提供指导。同时,海上安全委员会第98届大会通过决议MSC.428(98) -《安全管理体系中的海事网络风险管理》[2],该决议强调公司的安全管理体系应结合ISM规则的目标和功能要求考虑网络风险管理,鼓励各国政府不迟于2021年1月1日之后的首次DOC初次审核、换证审核或年度审核时,应核查安全管理体系是否包括了网络风险管理的相关内容,这是国际海事组织应对海上网络风险开展的实质性行动。
2020年,中国船级社出具《船舶网络系统要求及安全评估指南》,该指南面向船舶网络系统的设计、实施、运行、退役等环节,针对操作、集成、维护、设计、安全意识、管理水平等方面的风险点,规范船舶网络的设计、建设、运维及检验工作,为船东/船舶管理公司、系统开发方等提供指导。
2020年,波罗的海航运公会(BIMCO)、国际航运公会(ICS)、国际干散货船东协会(INTERCARGO)、国际独立油轮船东协会(INTERTANKO)等共同编制和发布船舶网络安全指南(第四版),进一步细化了IMO《海事网络风险管理指南》,为业界提供了操作性非常强的指导。全球第二大船旗国利比里亚船舶登记处在其官网直接链接该指南作为船舶网络安全指导性文件。[3]
航运企业应遵循上述文件完善船舶网络风险管理制度,建立网络安全管理体系,有以下几方面应纳入考虑:
1、制定网络安全政策,建立船舶网络风险管理程序,并纳入ISM体系。网络风险管理体系需包括应对网络风险的识别、防护、检测、反应、恢复等内容。特别是船舶遭遇网络威胁时的应急反应程序,应能够形成对各层级管理人员与船员的应对指导。
2、在办公场所和船舶进行彻底的评估,识别可能受到网络威胁的相关系统。有效的网络风险管理应当考虑暴露或者利用网络漏洞对信息技术系统和操作技术系统的安全影响,应定期对系统和程序进行评估,以检查其有效性。
3、加强对员工的网络安全意识培训。严格要求员工遵循网络风险管理的程序和指引,规范管理员权限的使用,限制使用可移动设备以及禁止在公司系统上使用个人设备(无论岸上或船上)。
4、对已发生的网络安全事件进行充分调查,汲取经验教训,避免再犯。同时,为确保船上和岸上执行政策和程序的协调性,可在网络场景下参照前述机构编制的船舶网络安全指南进行定期船岸演习。
02 遵循国内网络保护法律制度健全数据保护体系
我国第一部规范网络空间安全管理的基础性法律《网络安全法》于2016年11月7日颁布、2017年6月1日起施行;在2019年和2020年,我国陆续出台了网络安全等级保护有关标准,如网络安全等级保护基本要求、测评要求、实施指南、定级指南等;在刚刚过去的2021年,我国又相继颁布了《数据安全法》《网络安全审查办法》等法律,这些先后出台的法律法规和标准进一步完善和形成我国网络保护制度。网络保护的最低纲领是为数据和业务护航,而最高宗旨是维护国家安全。
从微观角度来看,保护网络空间安全和保护数据安全密不可分,二者既互相关联、互相影响,也有部分重合,某些行为既保护网络安全也保护数据安全,比如,禁止船员或外部人员使用私人USB接入船上工作电脑。从2021年初“长赐”轮在苏伊士运河发生搁浅进而引发国际供应链的秩序混乱引申开来,航运和国计民生息息相关,保障航运秩序在一定程度上关乎国家经济安全。虽然个体事件未必关乎大局,但是,从宏观视野来看,航运业的网络安全、数据安全与国家安全有重大关联。因此,在数字时代,航运企业构建网络安全风险管理体系离不开对数据安全的治理。对于业务遍布全球的航运业来说,除了应当遵循国际上的行业网络安全指导、提高自身和船舶安全能力之外,还应当遵守为了保护国家安全这一顶层设计而出台的系列网络空间、数据安全法律法规。
以《网络安全法》和《数据安全法》来说,智能航运企业应实施网络安全等级保护,建立健全数据保护体系,包括数据分类分级制度,重要数据保护制度和风险评估制度等,保护我国重要数据和核心数据安全。而依据《网络安全审查办法》,航运企业应谨慎采购网络产品和服务,采取必要的风险防范措施,进行风险监测,并制定应急响应措施。(具体情形见笔者文章:《数据合规:港航企业数字化转型的助力和挑战》)。
03 寻求网络安全保险保障妥善处置残余风险
正所谓“道高一尺,魔高一丈”,即便公司和船舶建立了体系和制度,也采取了技术保护措施,百分百避免所有风险是一项不可能完成的任务。对于残余的风险,航运企业可以寻求保险保障,即购买专门的网络安全保险。网络安全保险是在数字时代涌现出的新型险种,从目前已知的条款内容来看综合了财产险和责任险,并且包括相关服务提供。为了更直观地了解网络安全保险的内容,笔者以某外资保险公司公开的企业网络风险管理保险条款为样本,对其中的承保范围和责任免除情况作汇总如下:
可见,网络安全保险的保障范围相当广泛,应当能够为被保险人分散或转移相当大部分的风险。与此同时,笔者也注意到,监管机构的行政罚款是否包含在网络安全保险的承保范围之中,似乎目前保险条款并不明确。虽然数据泄露责任的赔偿范围包含赔偿和罚金,但是,此罚金是否包含行政罚款,保险条款前后文尚不清晰。并且,免责条款的设计也显得十分拗口和不易理解。对于网络安全保险的条款解释,笔者会密切关注并期待日后司法案例或保险公司对条款做出进一步阐明。同时,每艘船舶有自己的特点并有单独的配套文件进行管理,是否应当就单船购买单独的网络安全保险,这确实是另一个值得研究的问题(本文暂不讨论)。
04 结语
随着数据和隐私成本不断上升、网络勒索攻击更加频繁、规模和破坏性更大,以及为了适应新的合规要求,笔者认为航运企业应加强对网络安全事件的防范,从技术层面和制度层面增强船岸网络安全和数据安全管控。总结前文,笔者提出以下防范要点:
第一、遵循国际层面的行业网络安全指导方针,制定网络安全政策,建立船舶网络风险管理程序并纳入ISM体系,严格遵照执行,同时,按照行业机构推荐的最佳实践做法不断更新和完善已有制度和技术。
第二、遵循国内网络保护法律制度,健全数据保护体系,在船岸双方建立有效的数据保护和数据合规体系制度,并定期对公司管理人员、重要岗位工作人员、高级船员进行合规培训,防范人为的数据泄露事故。
第三、充分考虑网络安全风险的可能性,对残余风险进行处置,寻求合适的网络安全保险作为分散或转移风险的有效措施。
注释
[1]来自Professionalmarine官网
https://professionalmariner.com/naval-dome-maritime-cyberattacks-up-900-percent-in-three-years/
[2]来自IMO官网
https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx
[3]来自LISCR官网
https://www.liscr.com/sites/default/files/Guidelines_on_cyber_security_onboard_ships.pdf
