• 航運業一周內遭遇兩次重大網絡攻擊，四大航運巨頭都已遭受到網絡攻擊影響，引發全球供應鏈中斷擔憂;
• 過去三年來，針對航運行業的運營技術(OT)系統的網絡攻擊增加了900%，到今年年底，報告的網絡攻擊事件數量將達到創紀錄的數量;
• 疫情感染、數字化依賴和利益誘惑等多重因素推動，對威脅應對遲緩的航運物流業已成為網絡犯罪組織的優先攻擊目標。

9月28日，全球第四大集裝箱運輸和海運公司——法國達飛 CMA CGM SA 信息系統遭受勒索軟件攻擊。達飛公司在中國上海、深圳和廣州等辦事處的服務已經中斷。為防止惡意軟件傳播，達飛公司被迫關閉網絡，采用手工操作和航運訂艙平臺INTTRA來處理訂單。

就在3日后，聯合國負責海上航行安全的專門機構——國際海事組織在10月1日宣稱，其IT系統遭受高級網絡攻擊，導致其多項網絡服務和官網無法使用。

近年來，針對航運物流企業的勒索軟件攻擊的數量和嚴重性激增。以色列網絡安全公司Naval Dome報告稱，自今年2月以來，針對航運業的襲擊數量飆升了400%。過去三年來，針對航運行業的運營技術(OT)系統的網絡攻擊增加了900%，到今年年底，報告的網絡攻擊事件數量將達到創紀錄的數量。

隨著數字化的推進，在疫情和利益推動下，對網絡威脅應對遲緩的航運物流業已成為網絡犯罪組織的優先攻擊目標。

?[[346331]]?

一周兩次攻擊 攻擊影響廣泛

針對法國達飛公司的攻擊使用了數據加密惡意軟件Ragnar Locker。這與今年初攻擊葡萄牙可再生能源公司EDP Renewables的惡意軟件類似。

?[[346332]]?

在發給達飛公司的郵件中，黑客宣稱“數據已經被加密，敏感數據可能被竊取”，并要求這家法國集裝箱運輸和海運公司在2日內通過“實時聊天軟件”進行聯系，為“數據解密的密鑰支付費用”。

??

在最初發給客戶的公告中，達飛公司宣稱，由于內部IT基礎架構問題，其IT應用、以及官網(包括ANL和CNC兩家下屬機構)暫時無法使用。隨后，達飛公司確認遭受到勒索軟件的攻擊。

這家總部位于法國馬賽的航運企業在郵件聲明中宣稱，公司可能遭遇了數據泄露，目前正在盡力評估泄露數量和影響，并逐步恢復網絡連接，以縮短了預訂和文檔處理的時間。

業內消息人士稱，達飛公司在中國上海、深圳和廣州等辦事處的服務已經中斷。根據英國著名航運媒體勞氏日報 (Lloydslist)的信息：“預訂系統已經關閉。貨物裝載可能會受到影響。”

根據法國海運咨詢機構Alphaliner的數據，CMA CGM是全球五大集裝箱運輸企業之一。目前五家企業占據全球運能的65%。

針對國際海事組織的攻擊，并不是該聯合國機構首次遭到的網絡襲擊，但這次的情況可能最嚴重。國際海事組織的一位高級官員表示：“該機構的網絡安全系統曾經多次挫敗此前對系統的攻擊或限制了其影響。”“但這次應是所遇到的最嚴重攻擊，其影響還處于評估階段。”

?[[346333]]?

數年前，聯合國在內部審計中發現IT系統處于“不可接受的風險水平”之后，自2012年開始加強所屬機構的網絡安全防護。在隨后幾年中，聯合國部署了多個防護方案和開展系統升級，但下屬機構的多數網站和應用直到2018年都未能達到要求的標準。

兩個攻擊事件都帶來了嚴重的破壞：《勞氏日報》報道，攻擊造成的業務中斷影響廣泛，法國達飛公司的電商網站至少4天無法訪問，國際海事組織的在線服務也中斷多日。“目前還沒有證據證明兩者之間的聯系，但正在考慮可能性。”

但可以肯定的是，知名航運公司和權威行業組織都難以避免遭到網絡攻擊，解決航運業網絡安全問題無疑已經到了刻不容緩的時刻。

勒索軟件肆虐 航運物流業成優先攻擊目標

法國達飛公司遭受勒索軟件攻擊，這意味著自2017年以來，在過去四年中，全球四大航運巨頭都已受到網絡攻擊的影響。對其他行業來說，航運企業的遭遇可能是絕無僅有的。

目前，一連串網絡攻擊事件已經在困擾航運業。以色列網絡安全公司Naval Dome報告稱，自今年2月以來，針對航運業的襲擊數量飆升了400%。過去三年來，針對海事行業的運營技術(OT)系統的網絡攻擊增加了900%，到今年年底，報告的事件數量將達到創紀錄的數量。其中，2017年報告的重大OT攻擊事件有50起，2018年增至120起，2019年超過310起，2020年將達到500起以上，其中還有更多大量未被報告的攻擊事件。

近年來，航運領域發生的重大安全事件包括：

• 2020年9月，丹麥物流企業Blue Water Shipping遭到勒索軟件攻擊，導致數個系統被關閉。系統關閉造成業務短暫中斷。該公司稱，在外部專家幫助下，最終成功挫敗攻擊。
• 2020年9月，加拿大接連有6家公司遭受勒索軟件攻擊，并且數據被竊取，其中包括了貨運公司Manitoulin Transport，物流公司TFI International，物流公司Indian River Express、報關行Axxess International、Beler Holdings等。
• 2020年9月，法國物流公司捷富凱(Gefco)宣稱遭受到網絡攻擊，“攻擊旨在擾亂我們的業務，但還不知道攻擊來源。捷富凱已通知客戶和合作伙伴，并“動員員工確定并實施替代流程，以確保業務連續性。公司沒有透露哪些系統受到影響。捷富凱是歐洲領先的物流服務供應商，主營業務是貨運代理和汽車物流服務，業務覆蓋全球150個國家。
• 2020年4月，瑞士跨國航運巨頭地中海航運公司 (Mediterranean Shipping Company, MSC)遭遇未知惡意軟件攻擊，導致其官網及客戶與供應商網站因公司數據中心網絡中斷而無法訪問。
• 2020年2月，澳大利亞綜合物流供應商TOLL(拓領)因安全事件關閉IT系統。公司宣布，多站點和部門遭到勒索軟件Mailto 或Kazkavkovkiz 的攻擊，導致業務陷入停頓。該公司需要刪除500個應用程序，以支持其在25個國家/地區的運營。
• 2019年10月，全球航運和電子商務巨頭必能寶(Pitney Bowes)遭受勒索軟件攻擊，公司客戶訪問、電子郵件服務等系統被破壞。專家認為黑客可能利用釣魚郵件或未打補丁的軟件，從而使勒索軟件感染Pitney Bowes系統。全球150萬用戶，包括財富500企業，使用Pitney Bowes的郵寄設備公司。
• 2018年7月，中遠集團受到勒索軟件攻擊。中遠集團稱，勒索軟件攻擊超越其美國網絡，蔓延到更廣泛的美洲，包括阿根廷，巴西，加拿大，智利，巴拿馬，秘魯和烏拉圭，美洲的郵件、電話系統被迫切斷。網絡攻擊導致其美洲業務中斷長達數周。
• 2017年6月，全球最大集裝箱船和供應船運營商(丹麥)馬士基遭受NotPetya勒索軟件攻擊，導致公司業務停擺數周、運量下降20%。4000臺服務器、45000臺電腦系統、2500個應用被迫重裝。“嚴重的業務中斷”給馬士基造成的損失高達3億美元(20億人民幣)。
• 2017年6月，聯邦快遞旗下TNT快遞遭受勒索病毒NotPetya網絡攻擊，歐洲分部在受到網絡攻擊后運營中斷。聯邦快遞稱，攻擊對該公司財年造成大約3億美元的損失。據悉，由于網絡攻擊導致包裹投遞量下降以及應急計劃帶來了增量成本，而且對受影響的系統進行補救也產生了相關費用。

? ?

全球四大航運巨頭都已遭受網絡攻擊

這些網絡攻擊行動都不盡相同，但它們再次驗證：航運物流行業已經成為勒索團體的優先攻擊目標。網絡安全公司Pen Test Partners的安全專家肯·芒羅(Ken Munro)表示：“目前還無法確定航運物流業的整體安全水平是否與其他行業不同，唯一能夠確定的是，該行業已經成為勒索軟件的重要攻擊對象。”歐洲最大的保險公司德國安聯集團在2019年的報告中，將網絡安全定義為影響航運行業安全的第二大風險。

??

網絡風險成為航運業第二大安全風險

遭遇網絡攻擊的對象不限于航運機構的網站與內部IT系統，船舶、港口都已經成為網絡攻擊者的重要目標。

2020年5月，伊朗沙希德·拉賈伊港口(Shahid Rajee)遭遇網絡攻擊。調節船舶、卡車、貨物流通的計算機系統一度崩潰，致使該港口水路和道路運行發生嚴重混亂。通往港口的高速公路上出現長達數公里的交通擁堵，攻擊還導致大量船舶數日無法入港卸載。

2019年6月和7月，以色列的阿什杜德和海法港口因GPS篡改，導致起重機操作和對集裝箱的定位工作被中斷，卸貨工作出現延誤，給港內的商業活動帶來負面干擾。

2018年9月，西班牙巴塞羅那港上、美國圣地亞哥港相繼遭遇網絡攻擊。針對巴塞羅那港的網絡攻擊沒有影響船舶進出港口，僅有內部信息科技系統受到影響。圣地亞哥港遭遇勒索軟件攻擊，內部信息科技系統受創。

?[[346334]]?

2019年2月，一艘開往紐約港的輪船遭受惡意軟件的攻擊，破壞了輪船的網絡，導致船上計算機系統的功能顯著下降。幸運的輪船的控制系統沒有受到影響。美國海岸警衛隊的安全響應團隊發現，輪船沒有部署有效的網絡安全措施。

多重因素加劇航運安全態勢

網絡安全專家表示，新冠疫情的干擾、對數字服務依賴性的增加，未經培訓人員進行的執行診斷，軟件更新和補丁程序……這些可能是今年攻擊事件激增的原因。

網絡安全公司Pen Test Partners安全專家肯·芒羅(Ken Munro)表示：“針對馬士基的攻擊事件顯然引起了詐騙人員和網絡罪犯的注意，他們意識到航運業面臨極高的風險。對勒索軟件運營商來說，對航運公司的定向網絡攻擊顯然是有利可圖的。”

航運業無疑是網絡攻擊者的誘人目標。聯合國貿易和發展會議(UNCTAD)發布的《2019年航運報告》顯示，2019年全球商品貿易總額在19萬億美元左右，“從商品重量的維度計算，航運貿易量占全球貿易總量的90%;按商品價值的維度計算，則占貿易額的70%以上“，即19萬億美元中有13.3萬億美元的貿易，是通過航運實現的。

在全球各國抗擊新冠肺炎疫情的同時，航運船員正在盡力保持全球貿易順暢。對航運企業的攻擊所產生的后果不僅會對船舶造成災難性后果，而且會對世界經濟本身也會造成災難性后果。

除了誘人的利益，航運物流業的數字化也為攻擊者創造新的機會。為了加快數字化轉型，達飛公司正在全球范圍內招聘最優秀的專家。在遭受攻擊數日后，達飛任命了專門負責IT、數字化及戰略轉型的高管。

目前，全球各地港口和航運公司逐步采用自動化或聯網設備等技術，用于分析數據和改善服務。從電子平臺到具有增強現實功能的高級分析，甚至是能夠自動駕駛的船舶，新的數字趨勢正在涌現。信息技術(IT)與運營技術(OT)的融合，以及與互聯網的連接，擴大了網絡攻擊面，提升了網絡安全防護要求。根據航運咨詢公司HudsonAnalytix 2019年的調查，過去3年中，各類船舶的互聯網連接量翻番或增長三倍。越來越多船舶安裝了綜合自動化系統(IAS)，通過衛星連接互聯網和其他數字網絡與外界實現聯通，未來船舶上將會提供更多數字化服務。在港口方面，英國港口協會已開始研究智能港口，部署更多的互聯網連接和更多的數字解決方案。船舶、港口的智能化建設帶來更廣泛的互聯網連接，為網絡威脅打開了新的大門，將直接影響航運業的網絡安全。

此外，咨詢機構普華永道在報告中指出，疫情爆發也迫使航運機構更加依賴數字系統開展業務。疫情帶來的保持社交距離、邊界關閉措施使OEM技術人員無法奔赴輪船、鉆塔和港口，對關鍵的運營(OT)系統升級和服務，導致運營人員可以繞過既有的安全措施，給攻擊創造了機會。由于預算消減和工程師的缺位，輪船和鉆塔員工將OT系統與岸上網絡連接，以進行檢測和升級。這意味著IT與OT系統不再隔離，單個終端、關鍵系統和組建都可能遭遇攻擊，其中的老舊系統因缺乏安全補丁，更容易遭遇網絡攻擊。

航運業的網絡安全盲點

通常被認為安全意識較強的航運業在網絡安全方面卻存在盲點。與積極推進的數字化相比，航運相關機構還沒有為已經到來的攻擊做好準備。在數字化過程中，網絡安全防御措施未及時部署到位，給黑客創造了可以利用的漏洞。

在達飛和國際海事組織遭到攻擊后，美國財政部海外資產控制辦公室(OFAC)警告稱，航運業正越來越多地遭到有針對性的網絡攻擊，但航運業似乎對網絡安全的警告反應遲緩，這將可能造成嚴重的經濟損失和信任危機。

早在數年前，安全專家就已經提醒關注針對全球航運業的網絡攻擊。2014年，國際海事局警告稱，全球運輸和供應鏈可能會成為“黑客的下一個樂園”，并呼吁航運機構對網絡攻擊威脅的增長保持警惕。知名咨詢機構畢馬威(KPMG)甚至將黑客稱為公海的新海盜。

更具有諷刺意味的是，根據安全人員利用開源情報工具的分析，國際海事組網站使用的是存在安全漏洞的老版本微軟SharePoint。目前國際海事組織正在準備新的網絡安全指南(IMO2021)，該指南要求船東在今年年底之前加強數字安全措施，包括風險識別，風險檢測，資產保護，風險應對以及攻擊恢復等。

根據國際海事組織的網絡安全指南要求，航運公司需要實施各項政策保護船舶不受網絡攻擊。最大的弱點之一就是人為操作，相關的培訓和行為準則非常重要。但現實情況卻令人擔憂。據統計，2015年，只有12%的航運人員接受了網絡安全培訓。波羅的海國際航運公會(Bimco)2017年的報告顯示，只有47%的航運機組人員了解網絡安全政策或網絡衛生準則。隨后幾年中，這一數字略有改善，但遠遠落后于目標。與日益增長的威脅相比，網絡安全培訓作為優先事項的目標仍然蒼白。

國際海事組織認為這些新規則至關重要，但大多數網絡安全專家一直就此問題向國際海事組織(IMO)警告：IMO 2021的安全要求還遠遠不夠。

此外，對于航運公司而言，尋找和雇用具有復雜海事技術和工業設備知識的網絡安全專家是一項挑戰。世界各地的企業都在努力填補網絡安全的工作空缺，在諸如海上作業等專業工業領域，找到適合專家的挑戰更大。

網絡攻擊不再是IT問題

約一半的航運企業仍認為網絡安全主要是IT問題，但越來越多的企業意識到網絡安全對運營或控制系統的有潛在影響：網絡攻擊不僅針對數據，還針對船舶和港口，網絡中包含了很多的物理要素。遭受網絡攻擊，不僅會令數據丟失，甚至將引發物理后果：船舶擱淺、碰撞，貨物被劫持，甚至船員喪命，以及船載有害物質對環境造成嚴重影響。

對于那些仍在等待季節性周期恢復正常的航運公司來說，最近的網絡攻擊可能會令形勢更加糟糕。物流專家表示，目前暫時并不能肯定，最近網絡攻擊究竟只是對全球貿易構成暫時的麻煩，還是會造成更大范圍的破壞。但“網絡威脅在短期內肯定會帶來不利影響。”

航運咨詢公司HudsonAnalytix確認了船舶生態系統到20個子組件。由于港口運營參與方眾多，港口生態系統則具有更高的復雜性。歐盟發布的《航運行業網絡安全最佳實踐》中，大型港口擁有高達900個相關利益相關方。

航運業的相關系統分為IT與運營系統，其中IT 包括辦公室、港口和石油鉆機的系統，OT 則涵蓋更多種類，包括動力控制及相關系統、貨物管理系統、導航系統、管理系統等。安全專家認為駕駛臺系統、貨物裝卸系統、動力控制系統以及防護不佳的岸基系統將會易于受到網絡攻擊的影響。

1. 岸基IT系統攻擊

安全專家認為，真正產生嚴重危害的仍然是面向辦公室、營業廳乃至數據中心等岸基系統的攻擊活動。這些系統主要負責人員管理、電子郵件收發、船舶管理以及集裝箱預訂等事務。與其他行業內的其他IT系統相比，海事部門所使用的方案并沒有什么特殊的區別。

罕見的船舶黑客攻擊事件會成為頭條新聞，但對船運公司岸基系統的攻擊更為普遍，也是目前影響最大的攻擊，被視為 “影響全球供應鏈”的最佳機會，尤其是對其集裝箱預訂應用攻擊的影響非常嚴重。這些系統經常遭受海盜組織的攻擊，他們首先針對岸基系統檢索貨運單、集裝箱ID編號以及選定的航線，并據此組織攻擊以登船劫掠電子產品及珠寶等高價值貨柜。

“網絡海盜”的攻擊浪潮、四大航運巨頭的淪陷表明，航運行業應當更多將注意力集中在對岸基系統的保護上。

2. 輪船IT系統攻擊

過去一年來，針對船舶的惡意軟件攻擊數量開始激增，船載IT系統先后遭到勒索軟件、USB惡意軟件乃至蠕蟲病毒的輪番轟炸。

對于輪船IT系統的最大網絡安全威脅之一是船上Windows設置不佳Windows安全漏洞眾多，再加上缺乏維護，或者缺乏補丁管理，配置錯誤......都會使計算機很容易受到攻擊。

現在，船舶配備了全套電子導航，命令和控制系統，可通過衛星與全球互聯網互連。衛星通信終端很容易被黑客入侵。所有這一切，加上船員對互聯網的訪問，都意味著船舶在聯網和自動化系統的作用下，其尤容易受到內部和外部的攻擊。

3. 運營(OT)系統

近年來，與航運行業有關的攻擊方式已從傳統的IT系統擴展到OT攻擊面。這是因為傳統上OT設備在構建時(現在依然如此)考慮了易用性性和功能性，但卻對安全性重視不足。與IT基礎設施不同，操作人員無法了解OT系統的連接運行狀況。操作人員很少知道是否發生了攻擊，總是將異常記錄為系統錯誤、系統故障或要求重新啟動。

航運的主要OT系統包括船舶綜合導航系統(VINS)、全球定位系統(GPS)、衛星通信系統、船舶自動識別系統 (AIS)、雷達系統和電子海圖等。目前某些船上設備仍在運行Windows XP和Windows NT系統，存在較大的安全風險。

4. GPS干擾事件頻發

除了對計算機系統的依賴，船舶本身也越來越多地受到全球定位系統(GPS)等電子導航設備的干擾，這類系統很容易受到黑客故意干擾而導致信號丟失。準確的位置、速度和航向對確保航行安全至關重要。船舶在靠近海岸的地方航行或在港口出發或到達時，精確的位置信息尤為重要。干擾導致GPS信號丟失或不準確，影響了船舶的導航和通信設備。

據海上安全情報機構Drayad Global報道，近幾個月來，越來越多船舶報告了GPS收到嚴重干擾的事件。多個有相關事件報道的地理區域包括地中海東部和中部、波斯灣以及多個中國港。2020年9月24日，美國交通部海事管理顧問部(MARAD)發布警報，涵蓋了全球范圍內海事領域報告的多起重大GPS干擾事件。

此外，與其他行業相比，航運業還有一個特殊的地方，那就是中間環節眾多。活躍在全球各地的貨運代理企業，其IT系統無法與航運巨頭相比，成為供應鏈安全中的薄弱環節，直接威脅到航運企業的網絡安全。

應對策略

航運業監管機構國際海事組織(IMO)十分重視行業的網絡威脅。2017年6月，IMO海事安全委員會通過了關于安全管理系統中海事網絡風險管理的MSC.428(98)號決議。這項將于2021年1月1日實施的決議引入了監管措施，“以確保現有安全管理系統(如國際安全管理(ISM)法規中定義)解決了網絡風險”。 歐盟發布的《通用數據保護條例》則適用于包括航運公司在內的所有商業公司。該條例要求航運企業更加積極地進行網絡安全防護。

這表明，業界和監管機構已經日益認識到航運網絡攻擊的危害與嚴重性，正推動網絡安全防護相關的投資。

這些相關法規、指令或準則具有保護航運業的作用，但遵守法規不等于進行有效的安全風險管理。航運企業應該將法規和準則視為解決安全問題的基石，以及進一步開展網絡安全保護的起點。

業界安全專家認為，航運機構需要采取以下措施進行應對。

1. 踐行內生安全理念，實現數字化與安全建設同步

實現安全的最好辦法是通過設計提升網絡安全。在推進數字化過程中，航運機構需要從一開始就考慮網絡安全。讓網絡安全成為智能港口、自動駕駛船舶的一部分。

2. 采用主動防護措施，增加網絡攻擊難度

維持網絡安全不僅是IT問題，應該成為航運業的基本要求。航運企業需要開展網絡安全評估與資產篩查，了解和修復自身系統漏洞;主動監測Web與電子郵件域的濫用情況;開展安全事件的信息分享;部署必要的安全防護設備。這些措施將提升網絡攻擊的難度。

3. 制定可靠的應急響應計劃，及時消除攻擊影響

無論航運機構的安全防御能力如何，都存在可能被入侵的安全風險。就像船舶必須有消防計劃一樣，航運機構也必須制定可靠的安全應急計劃，并引入第三方安全響應團隊，確保能夠及時消除和降低網絡攻擊的影響。

4. 開展有效的安全培訓，提升員工安全意識

目前，航運業網絡安全中最薄弱的環節是人為因素。航運企業應該通過給予員工適當的網絡安全意識培訓，幫助其識別和報告網絡攻擊事件。網絡安全培訓應該根據工作環境完全不同，對陸上員工和船員提供針對性的培訓。