在当今不确定的地缘政治环境中,无论是个人还是企业都高度关注潜在的网络攻击。而这其中最令人担忧的是对关键基础设施和工业资产的攻击。
关键基础设施中尤其是电力、交通、通信、金融等系统均在现代社会中发挥着至关重要的作用,因此关键基础设施一直是网络攻击的主要目标之一。网络攻击者可能试图破坏这些系统、窃取敏感数据或者进行其他恶意活动。
如今,关键基础设施网络攻击已经演变成为了一个全球性的问题,各国都面临各种各样的网络安全威胁。其中值得注意的是隶属于交通分支下的航运业,其由于网络保护机制较岸上更为滞后,导致近些年来的网络攻击事件发生频率急剧增高。
根据联合国贸易和发展会议(UNCTAD)的数据显示,超过80%的国际贸易货物经由海上运输,而这个比例在发展中国家甚至来得更高。整个行业依赖一系列复杂的“及时”供应链,只要一个环节遭到破坏,可能会产生巨大的影响。
港口网络“遇袭”引发系列连锁反应
港口,是整个航运供应链中一个非常重要的节点,一旦遭遇攻击可能对贸易和供应链产生严重的连锁反应。
首先,网络攻击可能导致港口的运输系统瘫痪,系统将无法准确地跟踪和管理货物的流动,从而造成货物流通的混乱、运营中断、信息共享受阻等问题,甚至还可能影响船舶的进出港能力,导致货物无法按时装载、卸载交付,最终造成供应链中断和运输延误。
除了运输系统外,黑客攻击还可能会破坏港口的安全系统,这对于港口工作人员来说,将无法正常进行对船舶和货物的检查和监控。这不仅将增加恶意物品或恐怖主义活动的风险,还可能威胁到航运中的人员安全。
其次,港口内包含诸多重要信息,比如船舶运行信息、货物清单、合同和支付信息等敏感数据等都可能会被黑客组织窃取、篡改或销毁。这可能会导致重大的经济损失、法律问题和信任问题。
因此,为确保顺畅、安全和可靠的货物流通,维护港口的网络安全至关重要。
港口是全球黑客眼中的一块“肥肉”
近年来,港口安全事件频发,给全球航运和供应链带来了巨大的威胁和挑战。黑客攻击、数据泄露和系统瘫痪等问题已经不再是理论上的风险,而是已经成为现实中的严峻情况。
在这个互联网与物流紧密相连的时代,港口已经成为吸引黑客目光的重要目标,其过时的遗留技术和薄弱的网络安全措施,使得攻击事件愈演愈烈,甚至一度被国外安全专家吐槽是“最不安全的关键基础设施之一”,以下列举部分港口网络攻击典型案例。
美国洛杉矶港口每月至少遭到4000万次网络攻击
据洛杉矶港执行董事Gene Seroka称,作为西半球最繁忙的港口之一,洛杉矶港每月会遭遇大约4000万次网络攻击。该港口之所以常常成为黑客的攻击目标,主要是因为该海航每年运送2500亿美元(约1.69万亿元人民币)的货物,恶意攻击者通过窃取货运中涉及到的各类机密数据,敲诈勒索以牟取暴利。
据悉,该港口受到的威胁来自俄罗斯和欧洲部分地区,由于港口对美国的关键基础设施、供应链和经济都发挥着至关重要的作用,所以也有内部情报显示攻击港口的目的是为了破坏美国经济。而攻击的主要方式包括但不限于勒索软件、恶意软件、鱼叉式网络钓鱼和凭据收集攻击。
对于港口来说,勒索软件攻击可以导致港口的核心业务系统遭到加密或瘫痪,甚至也可能导致某些关键数据遭到破坏或被攻击者获取,包括船舶航班、货物信息、客户数据等重要信息。从而使得港口无法进行正常的货物装卸、集装箱管理和船舶调度等关键操作,可能会对港口的运营效率和货物流通产生严重影响,而机密数据的丢失或泄露可能对港口的运营和声誉造成长期影响。
日本名古屋港遭网络攻击或影响汽车等制造业
日本名古屋港位于伊势湾,是日本最大和最繁忙的贸易港口,占全国总贸易量的10%左右。该港口还是日本最大的汽车出口国,丰田汽车公司的大部分汽车都在这里出口。
据日本时报消息,今年7月,勒索软件LockBit3.0针对日本名古屋港发动了攻击,导致该港口的货柜调度系统NUTS暂停运作一天,装卸货柜业务中断,现场出现货车滞留的现象。
NUTS是名古屋港统一码头系统,该系统是控制基础设施中所有集装箱码头的中央系统。但在调查事故原因后,名古屋港当局与负责运营该系统的名古屋港口运营协会码头委员会以及爱知县警察总部举行了会议,发现问题是由勒索软件攻击导致的。
这次安全事件将对港口造成巨大的经济影响。专家预估,此次攻击事件还可能影响全国各地的货物运输。
但这已经不是日本港口第一次成为网络攻击的受害者。早在2022年9月,亲俄罗斯组织Killnet就曾发动了大规模的DDoS攻击,导致该港口的网站关闭。
葡萄牙里斯本港机密文件遭窃
今年1月,全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认,由于遭受网络攻击,港口网站一周后仍无法正常访问。大约在同一时间,LockBit团伙将里斯本港列入其网站已勒索名单,声称发动了勒索软件攻击。
新闻报道称,里斯本港务局(APL)证实,本次攻击并未损害其关键基础设施的运营。攻击发生后,港务局已将事件上报至国家网络安全中心和司法警察局。
港口官员在采访中表示,“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作,共同保障系统和相关数据的安全。”
LockBit勒索软件团伙声称,窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII(个人身份信息)、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本,但披露数据的合法性无法得到验证和证实。
荷兰多个港口因DDoS攻击瘫痪数小时
今年6月,据RTL新闻报道,亲俄罗斯的黑客组织攻击了荷兰港口的网站,导致其网站瘫痪数小时。发动攻击的组织是NoName057(16),其暗示此次攻击是对荷兰打算为乌克兰购买瑞士坦克的回应。
网络安全公司SentinelOne的美国研究员Tom Hegel介绍:该黑客组织的目标是所有反对俄罗斯的组织。格罗宁根、阿姆斯特丹、鹿特丹和登海尔德(Den Helder)的港口当局证实遭到了DDoS攻击。由于遭到攻击,鹿特丹、阿姆斯特丹和登海尔德港口当局的网站上周二有几个小时无法访问。
发起DDoS攻击的恶意行为者通常会通过洪水式的请求使港口网络过载,导致设备无法响应合法用户的请求,造成服务中断。而港口运营又依赖于高度复杂的系统,依赖计算机系统进行船只调度、设备管理和货物追踪等任务。如果遭受DDoS攻击,这些关键业务过程将被中断,导致船只停靠、货物运输和其他相关操作延误。
港口是国际贸易和物流的重要环节,一旦港口服务的中断将对供应链产生严重影响。货物无法及时装卸和运输,可能导致订单延误、库存堆积和交付延迟,严重的还会对商业活动和经济产生负面影响。
港口网络攻击方式“花样百出”
除了勒索软件攻击、DDoS攻击外,针对港口进行的鱼叉式网络钓鱼也是常见的方式之一。
黑客会通过包含可疑链接的电子邮件创建获取未经授权的访问。访问信息系统后,黑客安装键盘记录器以捕获登录名/密码,并确定各个工作人员的身份,从而构建端口状态的精确映射。
此外,还有攻击者会使用经典的扫描技术以验证最易受攻击的网络端口,发现服务的状态,定义访问数据库的最佳策略并确定哪些用户监控服务。在最高级别,攻击者使用IP碎片来混淆防火墙,从而绕过数据包过滤器。
还有一种常见的攻击方式是供应链攻击。黑客可将供应链集中在通过端到端网络中最脆弱的部分造成损害。从始发地到最终目的地的国际航运依赖于集装箱跟踪、保证和国际授权的关键流程和利益相关者。攻击者可利用供应链中的漏洞来修改关键信息,从而改变集装箱的目的地。
随着技术的不断进步,网络攻击者的攻击方式也变得“花样百出”。港口作为关键的物流和贸易枢纽,成为了不法分子眼中的“肥肉”。他们不择手段,无时无刻不在寻找能够渗透港口网络的弱点和漏洞。
为什么“港口”总是被黑客盯上
航运业,无疑是全球经济的推动力。通过庞大的船舶、港口、物流和行政基础设施网络,每年全球约有90%的货物通过船舶运输。与大多数行业一样,海事行业已经变得越来越自动化、互联化和远程监控。这也使得海上贸易成为了网络攻击者的主要目标。
近几年来,航运业发生了多起严重的网络攻击事件,轻则导致系统受损,重则导致港口长时间处于混乱状态,基础设施的移动速度停滞、货物大量积压、数艘货轮及油轮等待卸货,卡车在港口入口处排起了绵延数英里的长队......这些严重后果,都进一步说明黑客对港口计算机系统的网络攻击可能产生的多米诺效应。
对于网络攻击者来说,选择港口的动机可以大致概括为以下三类。从纯粹的经济动机到国际间谍活动,包括直接的犯罪活动,港口都是国内和国家攻击者寻求的焦点:
• 财务收益。勒索软件攻击在港口等保护不足的环境中蓬勃发展,在这些环境中,勒索赎金往往只是关闭和中断造成的潜在损失的一小部分。
• 犯罪目标。由于港口管制货物进出一个国家,因此能够控制港口计算机系统的黑客可以获得贵重货物或篡改记录,以促进犯罪收益。
• 威胁情报。关于货物和乘客流动的信息对于那些希望更好地了解一个国家的活动和计划的敌对国家来说是很有价值的。一旦发生战争,物资流通中断会阻碍军事计划,有可能使冲突规模扩大。
特别是对于海上网络安全而言,最棘手的挑战之一就是系统几乎不存在标准化规定,甚至很多船舶控制系统在设计之初都并未考虑过网络安全因素,并且随着时间的推移,又增加了许多其他联网技术,因此导致港口的网络安全大门大开。
另外,相比其他关键基础设施,航运系统的操作环境也比典型的工业设备更具挑战性,业内曾有分析指出,大多数船舶都依赖VSAT/FBB卫星通信进行连接,其具有低宽带和高时延的特点,虽可以传递电子邮件和导航数据等通信信息,但却无法实现漏洞补丁的实时修复和更新,这显然给了黑客钻空子的机会。
还有控制世界上许多港口运营的遗留OT网络存在更新滞后的问题,从而导致它们并不足以应对资金雄厚的攻击者的协同网络攻击。通过利用网站、电子邮件登录或VPN网关等暴露的服务,攻击者可以轻松获得远程访问权限。
再加上港口和海事员工缺乏应对常见网络威胁的技能,这使得他们极易受到钓鱼电子邮件等社会工程攻击。正因如此,港口网络脆弱性问题才变得愈来愈复杂。
港口安全问题已成世界各国“老大难”问题
近年来,随着信息技术的迅速发展和港口运营的数字化转型,港口网络安全成为全球范围内的重要议题。为了应对日益增多的网络威胁和安全风险,各国纷纷制定了针对港口网络安全的法规政策。
这些法规旨在确保港口设施的网络系统安全和防御能力,以防止潜在的网络攻击,保护港口的运营稳定和信息安全。
不同国家的法规政策涵盖了多个方面,如网络基础设施保护、信息共享、风险评估和安全培训等以适应不断演变的网络威胁和技术挑战。
英国颁布《港口网络安全指南》
早在2016年,英国交通运输部就曾发布了一份港口网络安全指南,该指南由英国工程技术研究院与交通运输部共同制定。
2020年1月27日,为进一步保障英国港口网络安全,英国交通运输部在原版本的基础上更新发布了新业务指南修订版。
该指南警告,未能解决的网络安全风险可能导致严重的人身伤亡,港口系统中断或损坏,建筑物无法使用,对业务运营产生影响,可能导致声誉受损、收入损失、财务罚款或诉讼等严重后果。
这份长达71页的指南就各个方面提供了可行性建议,包括针对重要资产进行网络安全评估和计划,如何处理安全漏洞以及正确的治理结构、角色、职责和流程。
英国海事大臣Nusrat Ghani表示:这份更新的港口网络安全指南,是用来确保英国的港口不仅是世界上最好的港口,而且也是最安全的港口。
美国颁布《国家海事网络安全规划》
2021年1月,美国政府发布了关于关键海事行业的威胁缓解和安全防护的规划,提到了应优先处理的任务清单。
这项规划名为《国家海事网络安全规划》的文件强调了在未来五年内缩小海事行业在网络安全领域的差距和解决漏洞的多个优先级事项。
海事行业包括成千上万的主要水道、造船厂、港口和桥梁,为美国的国内生产总值 (GDP) 贡献约5.4万亿美元。该规划在较高层面上围绕全球标准设立了定义海事威胁、加强威胁情报和信息共享以及增加海事行业网络安全劳动力的优先级和目标。
该规划提出的其它优先事项包括开发风险建模以通知海事网络安全标准和最佳实践;增强端口服务合约和租赁的网络安全要求;并改进美国政府和私营行业之间的信息共享能力。规划指出,“增强海事网络安全要求获得可信且可指导行动的情报”,并表示将创建相关机制,和海事行业利益相关者共享非机密信息以及在可接受范围内的机密信息,提升对可行动信息的访问权限以保护海事 IT 和 OT 网络的安全。
另外,该规划呼吁基于合作伙伴的输入创建全球性“端口 OT 风险框架”,在全球范围内推广。该规划还提到聘请网络安全专员和强大队伍,管理并保护端口和船舶系统的安全。
国际港口协会发布《港口和港口设施网络安全指南》
2021年9月,国际港口协会发布了其网络安全指南,帮助港口解决网络攻击对财务、商业和运营的真正影响。该报告旨在帮助港口和港口设施对其预防、阻止和从网络攻击中恢复的准备情况进行客观评估,并提高港口当局 C 级管理对解决网络安全问题必要性的认识,并提供一种务实和实用的方法来应对网络威胁行为者。
网络风险的有效管理对于多元化海事社区的正常运作至关重要,其中来自港口当局、船舶运营商、港口设施、海事机构、海关和执法部门的利益相关者都相互关联。
网络威胁可能危及整个港口或港口设施的运营,并且正在以越来越快的速度扩散。随着依赖关键云服务提供商的新 IT 和OT 技术、自动化系统和集成流程的发展和引入,港口领导者必须认识到管理网络风险的重要性,并了解这是一项始于高层的责任。
结语
一直以来,港口安全都是关键基础设施中最容易被忽略的部分之一。正因其不被重视,所以导致近几年来因港口安全所衍生出了无数“大麻烦”。运输系统的瘫痪、大量敏感数据丢失、巨大的经济损失......都让人们吃足了教训,从而不得不开始将港口网络安全问题提级对待。
港口码头作为一个重要的货物集散地,是世界各国对外展示的重要窗口,因此做好对于码头港口的网络建设及安全防护对于提高港口码头的网络安全性有着十分重要的意义。
港口网络安全是一个日益紧迫的议题,需要全球各方的共同努力。只有通过加强网络基础设施的保护、完善法规政策、加强信息共享与合作以及提高人员的安全意识和技能,才能确保港口网络的安全稳定,支持国际贸易的畅通和港口的可持续发展。
虽然全面建设升级港口网络安全系统可能在经济上代价高昂,但考虑到一次成功的网络攻击可能对港口带来的巨大连锁反应,这必将是一项值得的“投资”。