2017 年,國際海事組織會議已經(jīng)表決通過了 (IMO)MSC.428(98)號決議:安全管理體系中的海事網(wǎng)絡風險管理����,鼓勵管理公司建立船舶網(wǎng)絡風險管理體系�,并將其納入船舶安全管理體系��。該決議于 2021 年 1 月 1 號正式生效����,開啟了航運業(yè)網(wǎng)絡安全意識的覺察�。2024年7月1日全面實施
全面執(zhí)行 UR E26 & UR E27 關鍵年
2022 年 4 月,國際船級社協(xié)會 IACS 通過了最新網(wǎng)絡安全要求����,UR E26:《Cyber resilience of ships 船舶網(wǎng)絡韌性》以及UR E27:《Cyber resilience of on-board systems and equipment 船載系統(tǒng)和設備的網(wǎng)絡韌性》。這兩項 UR 中明確要求:
對于建造合同日期為 2024 年 1 月 1 日或之后的船舶����,IACS 成員內需要強制執(zhí)行,宣告航運業(yè)即將進入全面網(wǎng)絡安全實操階段
關鍵:如何在期限內更好滿足 UR E26 以及 UR E27 ����?搞懂 4 個關鍵點
關鍵一:對航運業(yè)哪些人員產(chǎn)生影響?
UR E26:《Cyber resilience of ships 船舶網(wǎng)絡韌性》:
● 目的:將船舶視為一個整體來實現(xiàn)網(wǎng)絡韌性�����,并為其他 UR 和行業(yè)標準應對的船上系統(tǒng)�����、設備和組件的網(wǎng)絡韌性問題提供基礎
● 主要對象:船舶設計方/船廠的系統(tǒng)設計人員
UR E27:《Cyber resilience of on-board systems and equipment 船載系統(tǒng)和設備的網(wǎng)絡韌性》:
● 目的:此文檔規(guī)范了船上系統(tǒng)和設備網(wǎng)絡韌性的統(tǒng)一要求,基本上涵蓋了船載所有的 OT (運營) 系統(tǒng) ���;規(guī)范中明確要求須受規(guī)范的系統(tǒng)如圖1
● 主要對象:影響涉及既有系統(tǒng)的全體人員
除了船舶設計方/船廠��,和船載系統(tǒng)集成商��,其他利益相關者也需跟進配合:
● 船東/公司(Shipowner/Company):明確需入籍的船級社和需符合的安全等級
● 組件供應商(Supplier):提供安全健壯性高的產(chǎn)品(參考 IEC 62443-4-1/IEC 62443-4-2 )
● 船級社(Classification Society): 根據(jù)本船級社的安全標準進行審核
關鍵二:船載系統(tǒng)集成商盡早跟進 UR E27 有什么收益����?
2024 年 1 月 1 日后�����,船廠就需要按照新規(guī)范規(guī)劃涉及船舶整個系統(tǒng)的安全���,同時在與各個船載系統(tǒng)簽署分包合同時����,要求提供滿足 UR E27 形式認可的新系統(tǒng)方案���。因此對于船載系統(tǒng)集成商而言,在 2023 年底前完成差距分析和新方案驗證�,有助于在 2024 年的競爭中取得優(yōu)勢地位�����。
關鍵三:需參考哪個船級社的標準進行驗證?
各個船級社預計將在今年內�����,基于 UR E26 和 UR E27 要求而推出各個船級社的指導文件�,以及做好相關配套�����。其中包括 :
● DNV 目前已經(jīng)在執(zhí)行的 《DNV-RU-SHIP-Pt6Ch.5》SECTION 21 CYBER SECURITY 中����,已完成了 UR E26 E27 標準的對應
● CCS 已經(jīng)發(fā)布的《船舶網(wǎng)絡安全指南》正式版已于 2025 年 5 月 1 日開始正式生效
雖然每個船級社都會發(fā)布自己的版本,但由于都需要與 IACS 做溝通和確認�,因此預料各個船級社的內容差異不會很大,可以依據(jù) 2024 年主要的項目入籍需求��,優(yōu)先選擇一個船級社要求做規(guī)劃和驗證���。
關鍵四:UR E26 與 UR E27 主要內容和框架是什么���?
E26 是一個指導原則����,告訴海事從業(yè)人員在建立 CBS 系統(tǒng)時����,必須從識別、保護�、檢測、響應����、恢復 5 個方面考慮考慮信息安全問題,目標是構建一個具備網(wǎng)絡安全韌性的船艦���。特別說明:網(wǎng)絡安全韌性也并不代表完全實現(xiàn)安全零風險����,而是在發(fā)生網(wǎng)絡安全事件時���,船艦能夠維持基本的安全運行���,并能夠快速相應安全事件��。
E27 是在 E26 的指導原則上,定義具體的系統(tǒng)安全要求�����,提供可執(zhí)行的操作指導���。從 E27 的具體安全要求可以看到����,E27 主題內容是參考和引用成熟的工業(yè)信息安全體系 IEC 62443-3-3 進行的系統(tǒng)性安全要求�。
如何加速實現(xiàn)?
IEC 62243 是評估船載系統(tǒng)是否能通過 UR E27 的關鍵點
IEC 62443 現(xiàn)為國際廣泛采納和認可的?業(yè)?動化及控制系統(tǒng) (Industrial Automationand Control System, 簡稱 IACS) 的網(wǎng)通安全 (CyberSecurity) 標準�����。目前全球知名的控制系統(tǒng)和設備廠商�����,如西門子����,ABB 等都通過了 IEC 62443 體系的安全認證;而軌道交通,電力�����,能源�����,醫(yī)療�����,制造�,海事等應用領域也開始采用 IEC 62443 作為行業(yè)信息安全標準。
IEC 62443 針對業(yè)主�����、集成商���、產(chǎn)品供應商提供了可參考的信息安全標準和流程依據(jù)(參考圖3)��。其中 IEC 624432-3-3 針對特定系統(tǒng)的整體提出具體要求和認證�,而 IEC 62442-4-2 針對組成系統(tǒng)的組件提出具體安全功能要求�。
簡單來說���,要達到特定的系統(tǒng)安全等級,首先需要系統(tǒng)中的組件具備自身安全健壯的能力�,然后���,評估系統(tǒng)中安全薄弱點���,評估是否需要使用安全補償措施來實現(xiàn)系統(tǒng)級的安全。
如果要評估船載系統(tǒng)更好����、更快地通過 ER E27 ,可參考成熟的 IEC 62443 系統(tǒng)中的組件和服務供應商
