遗留技术无意中影响安全

IASME 联盟海事网络基线认证经理 Craig Wooldridge 写道，传统技术连接（即企业连接资产）给海事行业带来了巨大的网络风险。

国际航运业承载着全球约 90% 的贸易，在任何特定时间，海上或港口约有 50,000 艘船舶，海运业是世界上最大、最重要的供应链。

在脱碳目标的推动下，该行业目前正在经历重大的数字化转型。 与此同时，互联技术的进步也给海事组织带来了巨大压力，要求它们连接其资产和基础设施，以便在竞争激烈的市场中保持高效。

这些资产可能拥有在设计时从未考虑到网络安全的遗留技术，但正在通过供应链连接到全球陆上企业。

网络安全不仅需要保护船舶的 IT 和数据，还需要保护船上的操作技术（例如控制物理设备或硬件并启用智能海事系统的嵌入式计算机）。

这种日益增长的数字威胁增加了整体脆弱性，从而增加了船上发生网络攻击的风险。

海运业历来是一个保守的市场，不容易认识到其运营方式面临的新挑战。 许多网络安全建议过于复杂而难以采取行动，IASME 认为缺乏定期的相关培训。

话虽如此，网络安全法规正变得越来越严格。

国际海事组织现在指出，船东和管理者必须将网络风险管理纳入船舶安全。 不遵守这些要求可能会导致勒索软件攻击和恐怖主义袭击的威胁增加，但也会导致保险费增加、港口拒绝进入和船舶被扣留。 结果可能会给业主和经营者带来巨大的经济损失。

海事部门的网络风险管理需要采取积极的方法，并且必须符合国际海事组织的法规。

国际会计师协会 相信（基于其在其他部门确保网络安全的经验），可以通过负担得起且易于理解的认证计划来解决当前的情况，以支持组织了解为达到可接受的网络安全水平而采取的最重要的控制措施。

如果海事部门内的所有组织都获得了基线保证认证，这将抵消与根据当前国际海事组织指南在安全管理系统中如何解决网络风险管理相关的可变性。

目前，网络准备和安全程度不同，这反过来又阻碍了建立普遍理解的基线保护水平。

为了推动这一目标，IASME 制定了海事网络基线认证计划。

该计划旨在教育和支持海事组织在船舶本身内实施可达到的网络安全水平。 组织完成在线验证评估，提供基本级别的保证，但随后可以进行审核版本，提供更高级别的保证。 这两个版本都将帮助组织符合 IMO 指南的要求。

理想的情况是，海事网络基线认证计划可以成为公认的标准，表明所有船舶的船东、经营者和建造者已认真对待其网络安全，并已制定控制措施和流程，以帮助降低发生网络攻击的风险船上本身。