近年來,隨著船舶數字化、智能化、網絡化發展水平的加提升,越來越多的控制系統、通訊導航系統、信息管理系統及設備不斷接入船舶網絡,而新設備、系統接入和信息交互,增加了船載網絡遭受網絡攻擊的威脅。2023 年 1 月 16 日 DNV 船級社證實,針對其船隊管理和運營平臺 “ShipManager” 的網絡攻擊已影響到約 1,000 艘船,導致 “ShipManager” 軟件系統相關的 IT 服務器被迫暫時關閉服務。這個專門針對海事行業的勒索軟件攻擊也提醒航海業者,提升船載系統的網絡安全韌性已經迫在眉睫。
2017 年,國際海事組織會議已經表決通過了(IMO)MSC.428(98)號決議:安全管理體系中的海事網絡風險管理,鼓勵管理公司建立船舶網絡風險管理體系,并將其納入船舶安全管理體系。該決議于 2021 年 1 月 1 號正式生效,開啟了航運業網絡安全意識的覺察。
2024 年,全面執行 UR E26 & UR E27 關鍵年
2022 年 4 月,國際船級社協會 IACS 通過了最新網絡安全要求,UR E26:《Cyber resilience of ships 船舶網絡韌性》以及 UR E27:《Cyber resilience of on-board systems and equipment 船載系統和設備的網絡韌性》。這兩項 UR 中明確要求:
● 對于建造合同日期為 2024 年 1 月 1 日或之后的船舶,IACS 成員內需要強制執行, 宣告航運業即將進入全面網絡安全實操階段
● 關鍵:如何在期限內更好滿足 UR E26 以及 UR E27 搞懂 4 個關鍵點
關鍵一:對航運業哪些人員產生影響?
UR E26:《Cyber resilience of ships 船舶網絡韌性》
● 目的:將船舶視為一個整體來實現網絡韌性,并為其他 UR 和行業標準應對的船上系統、設備和組件的網絡韌性問題提供基礎
● 主要對象:船舶設計方/船廠的系統設計人員
UR E27:《Cyber resilience of on-board systems and equipment 船載系統和設備的網絡韌性》:
●目的:此文檔規范了船上系統和設備網絡韌性的統一要求,基本上涵蓋了船載所有的 OT(運營)系統;規范中明確要求須受規范的系統如圖1
● 主要對象:影響涉及既有系統的全體人員
圖 1: UR E26/E27 明確要求須受規范的系統
除了船舶設計方/船廠,和船載系統集成商,其他利益相關者也需跟進配合:
● 船東/公司(Shipowner/Company):明確需入籍的船級社和需符合的安全等級
● 組件供應商(Supplier):提供安全健壯性高的產品(參考 IEC 62443-4-1/IEC 62443-4-2)
● 船級社(Classification Society): 根據本船級社的安全標準進行審核
關鍵二:船載系統集成商盡早跟進 UR E27 有什么收益?
2024 年 1 月 1 日后,船廠就需要按照新規范規劃涉及船舶整個系統的安全,同時在與各個船載系統簽署分包合同時,要求提供滿足 UR E27 形式認可的新系統方案。因此對于船載系統集成商而言,在 2023 年底前完成差距分析和新方案驗證,有助于在 2024 年的競爭中取得優勢地位。
關鍵三:需參考哪個船級社的標準進行驗證?
各個船級社預計將在今年內,基于 UR E26 和 UR E27 要求而推出各個船級社的指導文件,以及做好相關配套。其中包括 :
● DNV 目前已經在執行的 《DNV-RU-SHIP-Pt6Ch.5》SECTION 21 CYBER SECURITY 中,已完成了 UR E26 E27 標準的對應
● CCS 已經發布的《船舶網絡安全指南》正式版已于 2025 年 5 月 1 日開始正式生效
雖然每個船級社都會發布自己的版本,但由于都需要與 IACS 做溝通和確認,因此預料各個船級社的內容差異不會很大,可以依據 2024 年主要的項目入籍需求,優先選擇一個船級社要求做規劃和驗證。
關鍵四:UR E26 與 UR E27 主要內容和框架是什么?
E26 是一個指導原則,告訴海事從業人員在建立 CBS 系統時,必須從識別、保護、檢測、響應、恢復 5 個方面考慮考慮信息安全問題,目標是構建一個具備網絡安全韌性的船艦。特別說明:網絡安全韌性也并不代表完全實現安全零風險,而是在發生網絡安全事件時,船艦能夠維持基本的安全運行,并能夠快速相應安全事件。
E27 是在 E26 的指導原則上,定義具體的系統安全要求,提供可執行的操作指導。從 E27 的具體安全要求可以看到,E27 主題內容是參考和引用成熟的工業信息安全體系 IEC 62443-3-3 進行的系統性安全要求。
搞清楚 IEC 62443 = 能夠處理 E27 的安全要求
圖 2:UR E27 與 IEC 62443-3-3 對應關系(節選)
如何加速實現?IEC 62443 是評估船載系統是否能通過 UR E27 的關鍵點
IEC 62443 現為國際廣泛采納和認可的工業自動化及控制系統(Industrial Automationand Control System, 簡稱 IACS) 的網通安全 (CyberSecurity) 標準。目前全球知名的控制系統和設備廠商,如西門子,ABB 等都通過了 IEC 62443 體系的安全認證;而軌道交通,電力,能源,醫療,制造,海事等應用領域也開始采用 IEC 62443 作為行業信息安全標準。
IEC 62443 針對業主、集成商、產品供應商提供了可參考的信息安全標準和流程依據(參考圖 3)。其中 IEC 624432-3-3 針對特定系統的整體提出具體要求和認證,而 IEC 62442-4-2 針對組成系統的組件提出具體安全功能要求。
簡單來說,要達到特定的系統安全等級,首先需要系統中的組件具備自身安全健壯的能力,然后,評估系統中安全薄弱點,評估是否需要使用安全補償措施來實現系統級的安全。
如果要評估船載系統更好、更快的通過 ER E27 ,可參考成熟的 IEC 62443 系統中的組件和服務供應商。
圖3: IEC?62443 框架內容說明
符合海事行業要求的工業安全方案,才是您實現 UR E26 E27 的最佳拍檔!
Moxa 是全球最早通過 IEC 62443-4-1 以及 IEC 62443-4-2 認證的工業網絡通訊廠家,對于 IEC 62443 體系有深入的認知和經驗; Moxa 更具有完整的符合海事認證 (DNV-GL、LR、ABS、NK)的工業通訊產品,一直是全球海事系統集成用戶的首選工業品牌之一。
針對 UR E26 E27 ,Moxa 所提供的工業網絡設備組件能夠完全滿足標準所要求的設備安全健壯性,同時,針對既有系統中所存在的安全風險,Moxa 所提供的工業網絡安全方案能夠提供滿足標準要求的系統安全補償方案,這正是中對于通過海事新安全要求的關鍵。Moxa 已經做好準備,為海事用戶網絡安全保駕護航 !