导航海上网络安全的水域

2021年1月,新的国际海运组织(IMO)关于海上网络风险管理的指导方针生效。大约在同一时间,美国政府发布了第一届国内海上网络安全计划(NMCP),这些国家安全计划最近来自美国海岸警卫队的海上网络安全指令。

海上网络安全

对于历史悠久的网络安全治理部门的INFOSEC专业人士,这似乎似乎不会破碎新闻。但这些措施是海上网络安全的里程碑发展。

海洋改变了意识

2017年6月16日,联合国国际海运组织(IMO)的海事安全委员会(MSC)通过了简要但重要的决议, MSC.428(98),“提高对网络风险威胁和漏洞的认识,以支持安全和安全的运输,这是对网络风险的可操作存在弹性”。 IMO委员会已经批准了一个未发布的网络风险管理准则草案, MSC-FAL.1 / CIRC.3.

当时这些指南出版了几周后,世界上最大的综合运输和集装箱物流公司Maersk, 被毁灭了 通过一个大规模的网络攻击。 2017年6月27日,在全球港口,该公司的运营地面停止了 不支持 恶意软件蹂躏IT系统。 Maersk后来将被评估为“抵押损伤”,而不是网络攻击的预期目标,只是强调了海事部门的脆弱和毫无批准。

IMO分辨率被称为“IMO 2021”,因为它呼吁将于2011年1月1日到期到期的实施期。四年后,对IMO 2021的目标进行了哪些进展,以及海上仍然存在挑战网络安全?

加里C.Kessler博士,海上网络安全领域的独立顾问和从业者以及作者 海事网络安全:领导者和经理指南请指出,PNT(职位,导航,时序)问题刚刚在2016年开始被公布,海事公司和港口的首席执行官并未将网络理念视为存在威胁。 “这行业刚刚开始谈论五年前的这些问题,但它远非主流。”

但现在他告诉我,在他看来,该行业已经完全理解网络是一种重大威胁。 “如果没有对网络安全的一些讨论,你几乎无法与MTS的任何方面相关的会议…IMO 2021肯定是为该行业的叫醒。更多组织和机构都有网络计划。“

关于提高对网络风险的认识,IMO 2021似乎已经取得了成功,尽管Maersk的Notpetya噩梦可能值得一些信誉。

标准,框架和指南,Al Dente?

除了创造意识之外,IMO 2021还呼吁来自海事非政府组织和[IMO]会员政府的更多详细指导。从组织的字母表汤中熟练的新准则,包括:

  • 波罗的海和国际海事委员会(BIMCO.)
  • Comité国际广播海事(cir)
  • 游轮国际协会(克利亚)
  • 数字集装箱运输协会(DCSA)
  • 国际航运会(ics.)
  • 国际干货船东协会(intercargo.)
  • 国际独立罐车所有者协会(Intertanko.)
  • 石油公司国际海洋论坛(ocimf.)
  • 国际海洋保险联盟(Iumi.)。

虽然这比没有任何标准和指导方针,运营技术网络安全公司网络水手的创始人更好,但由此被称为纠纷作为一种治理“意大利面”。 Dewitt,其客户区系列从海上[石油和天然气]的运营商巡航船舶和集装箱船只,认为“这些标准组织的一些需要合作[所以它们的狗粮的最终接收者不必遵守这么多合规制度。这是令他们艰难的事情在这方面所做的事情。“

1月,美国政府公开宣布 国家海上网络安全计划 (NMCP),分为三个部分:

风险和标准
2.信息和情报分享
3.创建海上网络安全劳动力

风险和标准部分涉及建立美国委员会中该部门指导方针的问题,即“20多个联邦政府组织目前在海上安全中发挥作用”,“普通的网络安全标准不存在,并且不是存在跨越海上运输安全法案(MTSA)和非兆内规范设施一致。“

然而,在承认由官僚主义重叠和上述准则“意大利面的”意大利面的“意大利面”创造的困境之后,纳米CP继续呼吁为海上利益相关者创建新的报告指导,港口网络安全评估的新框架以及新的美国领导国际框架端口OT风险框架。

除了过去一年的美国海岸警卫队颁发的指示之外,这些准则还将提供:在MTSA监管设施中解决网络风险的指南(nvic 01-20.)和船只网络风险管理工作指令(CVC-WI-027(2))。

Dewitt仍然希望技术–而不是官僚主义–可以找到解决方案。 “在地平线上是可能否定政策意大利面条的工具,并以人员蜜蜂,FSO,ETO,船长,IT人员的方式”将“一个合规性制度纳入另一个工具…可以合理而实际地实施。“

Cliff Neve,Coo在Mad Security和一名带有26年以上经验的退休的美国海岸警卫队官员,框架在不同,打通师的角度下绘制治理讨论。

“NVIC 01-20是一个开始,它在政策和运动方面的行业一点地移动了针。问题是它’没有足够的规定性。他注意到,工作艾滋病们对防火墙,浅色扫描,日志管理,事件相关性或其他任何事情的任何东西都没有说出来。

“几乎就像认为俄罗斯人,中国和其他对手国家国家的权力都会被阻止,因为有人在其设施安全计划中有一个网络附件。我看到人们更新他们的文件,但没有让他们的系统更安全。“

正在招聘…

最终,劳动力发展的进步铰链。与Neve或Dewitt这样的熟练人员来说,没有足够的熟练人员,在与最佳实践中将组织与组织结合所需的海上OT和网络安全方面具有独特的专业知识。

Chris Carter,一个在美国太平洋西北地区的港口设施的网络安全专业人士,在他的经验中,只有大约一半的深水NW港口致力于内部的IT人员,他估计只有一半的人致力于敬业网络安全人员。此外,他解释说,问题无法通过外包给普通服务公司来解决问题,因为港口必须依赖于MSPS,这可能不会在海上/端口网络安全的方面。

凯斯勒博士,在美国海岸卫队学院的新“网络系统”计划于2019年在其就职学期期间,回应了劳动力发展的挑战。

“我们还在等待海上学院作为必要的课程识别网络…学术界需要采取领导,教学的下一代专业水手必须在前面出来,“他指出。

NMCP解决了海上网络安全劳动力发展,并为美国政府设定了三个优先事项。

第一个设定了生产“港口和船舶系统中的网络安全专家”的目标,并呼吁“投资,共同培训和可持续发展和激励网络专业人员的可持续职业道路”。第二次要求美国海军,海岸警卫队和国土安全部(DHS)与“追求并鼓励与工业和国家实验室交流的追求,并采取港口和船舶网络安全研究和应用的方法。”

然而,“优先权行动3”承认,在短期内,“联邦海上网络安全部队存在,但不充分的人员,资源,并受到监测,保护和减轻在海事部门的网络威胁。”因此,该计划将美国海岸警卫部署“现场网络保护团队以支持联邦海上海事安全协调担心审核监管设施,并根据需要援助海洋调查”来填补差距。“

网络威胁情报:马之前的车?

网络威胁情报(CTI)的主题大致占据了NMCP的三分之一。它还产生了海上网络安全专家之间的显着分歧。

CARTER,谁也为海上运输系统信息共享和分析中心担任董事会(MTS-ISAC.)说,他与MTS-ISAC社区成员建立的关系以及他能够建立的联系人 def con hack海岸,已经变得非常宝贵,并且他们正在寻找彼此合作的成功。

“我们现在看到了本地化信息交换,以较大的MTS-ISAC源,这将仅更好地保护海事部门。他指出,我已经个人分享了五百万元素。“

另一方面,Kessler博士说,需要更好,更统一的信息共享网络智能。

“ISAC / ISAO模型如果您是美好的’重新成员。在20世纪90年代末,伊索斯自由共享信息。今天,该模型是您必须支付给会员。我完全明白,ISCA需要资助,但整个海上运输系统面临风险,包括小型运营商,小型制造商等,“他补充道。

在“信息和情报共享”的一部分中,NMCP认识到“信息共享和分析中心等组织提供了一条途径,以分享私营和公共部门协调委员会的信息。”然而,它还指出,“多个私营部门实体声称是MTS利益攸关方的信息共享清算所。网络安全信息共享组织的重叠会员资格创造障碍,以便有效地通知MTS Cyber​​security最佳实践或威胁的利益相关者。“

另外考虑表明,并非所有部门的组织都处于足够的网络安全状态,以利用CTI。没有足够了解他们的环境或能力的组织来监控他们的网络并在检测到时响应事件,不太可能从访问第三方智能产品的访问中受益。这些有限的资源可能更好地致力于基本的网络安全卫生和劳动力发展。

领导

4岁以后的Maersk,而IMO采用MSC.428(98),海上行业的网络安全面临的最大挑战似乎是最好的总结为“领导力”。

“政策和监管是好的,但任何等待被迫通过监管机构,立法者和保险公司实施强大的网络防御的公司并没有得到胜任的管理公司,”Kessler指出。

Cliff Neve评论称他的客户(包括海上客户)面临的最大挑战是缺乏领导地位参与网络安全风险管理。 “我会暗中清楚的是我的客户面临的问题永远不会技术:它始终是领导或政治问题。”

分享这个