海事认证计划受到专家的欢迎,但SATCOM安全绝不是事后想法
船舶分类组织ClassNK与TüvRheinland合作,为海事行业制定了新的网络安全认证计划。
合作,概述本月早些时候,旨在满足该行业当前和未来的网络安全要求,目前正在经历快速的数字化转型。
总部位于东京的Classnk表示,最初将与TüvRheinland合作制定针对该组织目前正在开发的机载软件的网络安全指南。
然后,将扩大合作伙伴关系,以为船运营商,船东,船东,设备制造商和海上软件供应商提供“高效且务实的”网络安全认证服务。
在联合声明中提供更多详细信息每日swbeplay2018官网igTüv和Classnk本周说:“在过去的几年中,IC,运营技术和软件领域的许多发展已大大改变了船舶,港口,钻机和导航系统的运行和交流方式。”
根据组织的说法,该认证计划旨在帮助海上生态系统迈向“一定程度的网络保证和弹性”海上网络风险法规,这是在2021年生效的。
尽管该认证计划仍在开发中,但Classnk和Tüv表示,他们将考虑以下网络安全最佳实践,这些实践最近发表了国际分类社会协会:
1.船上设备和系统软件维护的建议程序
2.有关软件依赖机械系统控制功能的建议
3.基于计算机的系统的应急计划
4.网络体系结构
5.数据保证
6.基于计算机的系统的物理安全
7.基于计算机的系统的网络安全
8.船只系统设计
9.基于计算机的系统的库存清单
10.集成
11.远程更新/访问
12.通信和界面
两家公司表示:“在评估和审查船舶的网络安全姿势方面,上述所有领域都有至关重要的作用。”
导航陷入困境的水域
海上网络安全认证计划是在航海行业另一个麻烦一年的尾声。
除了数据漏洞和勒索软件攻击现在,这是一个非常普遍的事件,影响了全球运输运营,研究人员强调了船上通信系统中许多固有的弱点。
2月,纳瓦里诺电信在安全研究员之后,向其海上带宽优化设备网络发布了一个热五次发现了一个脆弱性这可能导致船舶VSAT系统的“全部妥协”。
在其他地方,总部位于英国的笔测试合作伙伴继续强调关键海上系统中发现的许多缺陷。
仅今年的一年,该公司就证明了如何有可能劫持管理权在船上的卫星通信(SATCOM)码头上拦截和修改序列数据在船舶网络上,控制AIS消息。
“基本” SATCOM问题需要解决
Pen测试合作伙伴的合伙人兼创始人Ken Munro表示,新的海上网络安全认证是朝着正确方向迈出的一步,但他说该计划的作者必须将SATCOM安全放在其优先级的首要任务中。他告诉他说:“海上网络的问题非常非常基本。”每日swbeplay2018官网ig。“卫星通信已经被'螺栓固定在船只上',但他们的安全很少。
“因此,像十年前的公用事业和工业控制系统一样,身体隔离的系统已经接触到公共互联网,而没有考虑后果。”
Munro补充说:“在我看来,创建一个网络安全标准是“在我们走路之前跑步”。基本问题需要首先解决,例如公共Internet上的SATCOM终端,具有默认密码或简单密码,公共互联网上运行的SATCOM终端运行了真正的旧软件版本,并具有琐碎的exploits,以及在公共Internet上的SATCOM终端,允许整个车队妥协,船只。
“一旦解决了SATCOM问题,那么只有这样,只有这样解决了船上的无数安全问题。”
ClassNK和TüvRheinland将随着认证计划的成熟,将从海上生态系统中的不同利益相关者那里获得反馈。
ClassNK总裁兼首席执行官Koichi Fujiwara说:“通过新的合作伙伴关系,我们将尽一切可能克服该行业的网络安全挑战。”
