近年来,随着船舶数字化、智能化、网络化发展水平的加提升,越来越多的控制系统、通讯导航系统、信息管理系统及设备不断接入船舶网络,而新设备、系统接入和信息交互,增加了船载网络遭受网络攻击的威胁。2023 年 1 月 16 日 DNV 船级社证实,针对其船队管理和运营平台 “ShipManager” 的网络攻击已影响到约 1,000 艘船,导致 “ShipManager” 软件系统相关的 IT 服务器被迫暂时关闭服务。这个专门针对海事行业的勒索软件攻击也提醒航海业者,提升船载系统的网络安全韧性已经迫在眉睫。
2017 年,国际海事组织会议已经表决通过了(IMO)MSC.428(98)号决议:安全管理体系中的海事网络风险管理,鼓励管理公司建立船舶网络风险管理体系,并将其纳入船舶安全管理体系。该决议于 2021 年 1 月 1 号正式生效,开启了航运业网络安全意识的觉察。
2024 年,全面执行 UR E26 & UR E27 关键年
2022 年 4 月,国际船级社协会 IACS 通过了最新网络安全要求,UR E26:《Cyber resilience of ships 船舶网络韧性》以及 UR E27:《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》。这两项 UR 中明确要求:
- 对于建造合同日期为 2024 年 1 月 1 日或之后的船舶,IACS 成员内需要强制执行, 宣告航运业即将进入全面网络安全实操阶段
- 关键:如何在期限内更好满足 UR E26 以及 UR E27 ?搞懂 4 个关键点
关键一:对航运业哪些人员产生影响?
UR E26:《Cyber resilience of ships 船舶网络韧性》
- 目的:将船舶视为一个整体来实现网络韧性,并为其他 UR 和行业标准应对的船上系统、设备和组件的网络韧性问题提供基础
-
主要对象:船舶设计方/船厂的系统设计人员
UR E27:《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》:
- 目的:此文档规范了船上系统和设备网络韧性的统一要求,基本上涵盖了船载所有的 OT(运营) 系统 ;规范中明确要求须受规范的系统如图1
- 主要对象:影响涉及既有系统的全体人员
图 1: UR E26/E27 明确要求须受规范的系统
除了船舶设计方/船厂,和船载系统集成商,其他利益相关者也需跟进配合:
- 船东/公司(Shipowner/Company):明确需入籍的船级社和需符合的安全等级
- 组件供应商(Supplier):提供安全健壮性高的产品(参考 IEC 62443-4-1/IEC 62443-4-2)
- 船级社(Classification Society): 根据本船级社的安全标准进行审核
关键二:船载系统集成商尽早跟进 UR E27 有什么收益?
2024 年 1 月 1 日后,船厂就需要按照新规范规划涉及船舶整个系统的安全,同时在与各个船载系统签署分包合同时,要求提供满足 UR E27 形式认可的新系统方案。因此对于船载系统集成商而言,在 2023 年底前完成差距分析和新方案验证,有助于在 2024 年的竞争中取得优势地位。
关键三:需参考哪个船级社的标准进行验证?
各个船级社预计将在今年内,基于 UR E26 和 UR E27 要求而推出各个船级社的指导文件,以及做好相关配套。其中包括 :
虽然每个船级社都会发布自己的版本,但由于都需要与 IACS 做沟通和确认,因此预料各个船级社的内容差异不会很大,可以依据 2024 年主要的项目入籍需求,优先选择一个船级社要求做规划和验证。
关键四:UR E26 与 UR E27 主要内容和框架是什么?
E26 是一个指导原则,告诉海事从业人员在建立 CBS 系统时,必须从识别、保护、检测、响应、恢复 5 个方面考虑考虑信息安全问题,目标是构建一个具备网络安全韧性的船舰。特别说明:网络安全韧性也并不代表完全实现安全零风险,而是在发生网络安全事件时,船舰能够维持基本的安全运行,并能够快速相应安全事件。
E27 是在 E26 的指导原则上,定义具体的系统安全要求,提供可执行的操作指导。从 E27 的具体安全要求可以看到,E27 主题内容是参考和引用成熟的工业信息安全体系 IEC 62443-3-3 进行的系统性安全要求。
搞清楚 IEC 62443 = 能够处理 E27 的安全要求
图 2:UR E27 与 IEC 62443-3-3 对应关系(节选)
如何加速实现?IEC 62443 是评估船载系统是否能通过 UR E27 的关键点
IEC 62443 现为国际广泛采纳和认可的⼯业⾃动化及控制系统 (Industrial Automationand Control System, 简称 IACS) 的网通安全 (CyberSecurity) 标准。目前全球知名的控制系统和设备厂商,如西门子,ABB 等都通过了 IEC 62443 体系的安全认证;而轨道交通,电力,能源,医疗,制造,海事等应用领域也开始采用 IEC 62443 作为行业信息安全标准。
IEC 62443 针对业主、集成商、产品供应商提供了可参考的信息安全标准和流程依据(参考图 3)。其中 IEC 624432-3-3 针对特定系统的整体提出具体要求和认证,而 IEC 62442-4-2 针对组成系统的组件提出具体安全功能要求。
简单来说,要达到特定的系统安全等级,首先需要系统中的组件具备自身安全健壮的能力,然后,评估系统中安全薄弱点,评估是否需要使用安全补偿措施来实现系统级的安全。
如果要评估船载系统更好、更快的通过 ER E27 ,可参考成熟的 IEC 62443 系统中的组件和服务供应商。
图3: IEC 62443 框架内容说明
符合海事行业要求的工业安全方案, 才是您实现 UR E26 E27 的最佳拍档!
Moxa 是全球最早通过 IEC 62443-4-1 以及 IEC 62443-4-2 认证的工业网络通讯厂家,对于 IEC 62443 体系有深入的认知和经验; Moxa 更具有完整的符合海事认证 (DNV-GL、LR、ABS、NK)的工业通讯产品,一直是全球海事系统集成用户的首选工业品牌之一。
针对 UR E26 E27 ,Moxa 所提供的工业网络设备组件能够完全满足标准所要求的设备安全健壮性,同时,针对既有系统中所存在的安全风险,Moxa 所提供的工业网络安全方案能够提供满足标准要求的系统安全补偿方案,这正是中对于通过海事新安全要求的关键。Moxa 已经做好准备,为海事用户网络安全保驾护航 !