全球贸易的关键组成部分之一恰恰也是最容易受到网络安全威胁的对象之一;如果网络攻击得逞,那将造成巨大的破坏,并给全世界的人们带来连锁反应。
据联合国贸易和发展会议(UNCTAD)的数据显示,超过80%的国际贸易货物经由海上运输,而这个比例在发展中国家甚至来得更高。
整个行业依赖一系列复杂的“及时”供应链,只要一个环节遭到破坏,可能会有巨大的影响。
以2021年全球供应链受到扰乱为例:当时现存最大的集装箱船之一“长赐号”(Ever Given)在苏伊士运河搁浅,封锁了全球最繁忙的航运通道之一,迫使另外许多船舶花更长的时间绕道好望角而行,结果严重延误了电子产品、机械设备、家具、家居用品及更多货物的运输。
港口和航运与互联网的联系越来越紧密,这使它们成为吸引黑客的目标,当该行业的大部分同时依赖可能已有数十年历史的遗留技术时更是如此。
航运和港口遭到破坏性网络攻击不仅仅是理论上的,而是已经在切实发生。
2017年,航运巨头马士基(Maersk)遭到全球性的NotPetya网络攻击后,不得不处理港口集装箱积压问题。该公司只好重新安装数千台服务器和数万台PC,之后才恢复了正常运行。
2021年,一起重大的网络攻击扰乱了南非开普敦港的集装箱运营,货物装卸因此受限制,直到系统恢复。这两起事件以及“长赐号”搁浅表明了航运中断如何对全球供应链、企业和个人产生重大影响。
尽管如此,海运业对网络攻击依然准备不足。
普利茅斯大学计算机科学教授、海上网络威胁研究小组负责人Kevin Jones说:“这确实是以数万亿美元衡量的重大行业领域,但也几乎一成不变,变化不够快。”
这个行业流行“一旦离开港口……没有人能碰我,我不需要担心任何事情,除非回到港口”这种观念。三四十年前也许是这样,但今非昔比。
这种方法意味着该行业很难跟得上网络安全威胁的步伐,遗留IT系统以及对网络缺乏了解使该行业成为黑客的主要目标,这可能会产生深远的影响。
普利茅斯大学的海上网络威胁研究小组在与英格兰银行合作的一个旨在测试保险公司如何对此类事件做出反应的项目中,设想了这个场景:攻击者悄然控制船舶操控系统,利用船舶撞向港口和起重机,从而损坏船舶和基础设施,导致货物丢失。
在这个虚构的场景中,攻击者还威胁要酿成进一步的事故,除非五大航运公司各支付5000万美元的赎金。为了防止进一步的攻击,全球航运大部分停止了数日,导致全球供应链瘫痪。
这只是一起设想的事件,但基于最坏情况分析:攻击者通过攻击一个很难跟上网络安全形势的行业,可以达到什么样的目的——美国海岸警卫队网络司令部警告,单单去年该行业声称遭到的网络攻击就增加了68%。
问题一方面出在非同寻常的海运作业环境:管理大型集装箱船上的技术与管理办公室中的PC完全不一样。船舶一次可能在海洋上航行数周或数月之久,没法在短时间内进行全面的IT更新,而缺乏连接可能导致难以下载安全补丁和软件更新,甚至是重要补丁和更新。
网络安全公司Mandiant的首席顾问Tom Scriven曾在美国海军服役八年,他说:“从网络安全的角度来看,海运行业的现状相当糟糕,这不仅归因于行业的所有者和运营商,还归因于具有的复杂性。”
他特别指出,既有遗留系统的问题,也有新船舶的问题,它们增强了网络连接性,但同时也带来了新问题,比如内部网络缺乏分段机制、来自第三方和供应商的威胁面加大以及客户连上/断开。
所有这些因素有助于使航运业成为黑客的主要目标,动机不一而足,有的实施网络间谍活动,有的从网络犯罪中牟利。
Scriven提到了Mandiant跟踪分析的黑客团伙APT40,这个网络间谍团伙攻击工程业、运输业和国防业,尤其是与海事技术相重叠的领域。该团伙至少从2013年以来就兴风作浪了。
Mandiant还详细介绍了网络攻击者对以色列航运业的攻击。怀疑攻击者是在伊朗境外活动的黑客,目的是从事间谍活动,收集情报以支持伊朗。这些攻击包括伪装成合法的云服务以窃取用户名和密码,以及企图诱骗受害者下载恶意软件。
另外是出于经济利益的网络犯罪分子。这些黑客希望花尽可能少的精力捞到尽可能多的钱,而由于旧网络不安全,加上港口基础设施对许多行业而言至关重要,攻击海运业可能给他们带来丰厚的回报。
Scriven表示:“如果你在欧洲生态系统找到一家规模相仿的运营商或供应商——也许在鹿特丹、安特卫普或费利克斯托运营,一旦攻击者得逞,想想连续八天集装箱装卸严重受影响所造成的后果,以及这给原本就不堪重负的供应链带来的影响,危害将不堪设想。”
但可能因海运业遭到网络攻击而受到影响的不仅仅是港口。还有一种可能:通过攻击相应的系统,网络犯罪分子可以向公海上的船舶提供错误信息,篡改其GPS跟踪系统,或提供可能使船舶偏离航向的虚假警告——要么造成干扰,要么导致船舶面临麻烦,甚至将船舶引向想要将目标从航道转移到危险区域的海盗。
这听起来有些危言耸听,但这种破坏却是一种非常现实的威胁,尤其是在冲突时期。
安联全球海运咨询主管Rhul Khanna曾在海上工作了14年,他说:“必须非常重视这一点,因为重大事件的影响可能巨大,尤其是在冲突时期。我们已看到GPS欺诈活动已经发生,正在发生,我们只希望国家之间的冲突不会造成附带损害。整个行业需要意识到我们需要从中吸取教训。”
相关部门正采取一些举措,帮助改善航运业的网络安全,比如国际海事组织的海上网络风险安全计划。该计划旨在提供指导方针,使船舶制造商、航运公司和港口能够识别、分析和评估网络风险,并将网络风险降到可接受的水平,以支持安全可靠的航运。
与其他任何行业一样,做好基本面大大有助于提高安全性,比如打上安全补丁、使用强密码和部署多因素身份验证。海运性质意味着,在全球各地运输货物时,挤出时间围绕信息安全提供这种支持更具挑战性,不过从长远来看,关注安全比视若无睹更有益。
普利茅斯大学的海上网络威胁研究小组正在与船舶制造商和船长们讨论这类事情,因为一旦船舶离开港口驶向公海,他们最终需要对基础设施的安全负责。
Jones说:“以针对特定环境的方式做好基本的网络意识宣传工作,以及建立适当的安全规程大有意义。这包括知道何时做打补丁之类的工作,何时更换很多设备,知道面临什么样的风险。”
他解释道:“应该在航运途中打补丁吗?答案可能是‘应该’,如果这是重要补丁,如果你知道自己在做什么。但是离纽约还有20分钟的航程时还应该打补丁吗?可能不用,因为这时打补丁的风险可能超过了回报。”
Jones及其他人希望,试图让人们关注航运业的网络安全问题有助于鼓励行动起来,增强一个至关重要的行业具有的弹性,特别是对于全球供应链而言——如果能在攻击发生之前预防攻击,而不是在攻击发生之后再处理,这对所有人更有利。
Jones说:“最终,如果我们没做好这项工作,所有人都会遭殃。”
参考及来源:https://www.zdnet.com/article/this-overlooked-cybersecurity-risk-could-create-an-ocean-of-trouble-for-us-all/