智能端口依靠数据、技术和连接性的结合,为用户提供更强大的功能和成本节约。
重要的是要考虑到,新技术给港口运营商及其客户和用户带来了新的威胁,而在设计、施工、改装或正在进行的管理阶段可能没有考虑到这些威胁。
在最简单的情况下,这可能会导致一些障碍需要克服,在最坏的情况下,它可能会导致基本数据和操作能力的丢失或损坏,一直到港口操作的有效瘫痪。
我们和他坐了下来大卫诺德尔(网络安全咨询公司Synapse Cyber Strategy总监)在伦敦举行的智能港口峰会上,讨论5G和云计算等新技术对智能港口安全的影响,以及在规划其资产以提高安全性时需要考虑哪些港口基础设施和服务。
看/读下面的采访。
基本系统没有强大的密码保护,没有加密保护,没有网络隔离。所以基本上,一旦你进入了船只网络的任何一个地方,你就可以访问所有的东西。
Q: 保障物流运作免受网络攻击的三大因素是什么?
大卫·诺德尔:航运业有一个非常有趣的故事,几年前一个海盗集团在非洲之角附近登上了一艘船。
海盗们并没有去找船长说他们会把船弄沉或者伤害船员,除非他们得到一笔钱,他们只是去拿一个集装箱。
他们确切地知道哪个集装箱,在哪里,以及船的装载方式。他们把箱子打开,找到集装箱里的一个盒子,把它拿走,然后离开了。没有人知道箱子里装的是什么,因为装货清单没有给出任何具体细节。
有人代表海盗破解了这艘船的装货清单。他们知道里面到底有什么,高价值的货物在哪里,这就是他们感兴趣的全部。这正是黑客窃取数据时可能发生的事情。
你很可能会在商场里找到类似的例子,某个珠宝商被卷走了,因为有特别的信息,这家商店有一件价值很高的珠宝或者其他什么东西,碰巧这是海事领域的一部分,这是以前没有人特别考虑过的事情。
因此,我们将看到由于数据泄漏而发生的几起意外犯罪。人们只是不了解他们所持有的数据的价值。黑客攻击使得船只相撞,有非常大范围的事情可能会出错,行业内的大多数人只是不知道一个线索。
大约一周前,我看到一份报告,是一家白帽子黑客公司写的,专门从事某些行业,包括海运业。我认识这些人,我知道他们是可靠的,他们通过分析许多昂贵的私人游艇的网络安全——价值数百万——发现几乎没有安全。
基本系统没有强大的密码保护,没有加密保护,没有网络隔离。所以基本上,一旦你进入了船只网络的任何一个地方,你就可以访问所有的东西。
在某些情况下,你有人用这些船经营非常有价值的生意,在另一些情况下,你有国家的统治者用他们在地中海或加勒比海的船经营他们的政府。你不知道他们有多安全,总的来说,他们也不知道他们有多安全。这在一些游轮上也是一个问题。
这是一个高度不受保护的行业。
Q: 在绘制资产图时,港口基础设施和服务需要考虑哪些主要因素?
DN编号:他们需要知道他们有什么,不完全到最后的螺母和螺栓,但他们需要有一个清楚的想法,他们有系统,他们有数据,他们有什么行动,依赖于任何类型的电子监视或控制。
他们必须绕着他们的整个庄园走,我们有这些类型的电脑,我们有这些服务器,我们有这些摄像头,电子控制的入口,等等,至少他们需要从那开始。然后,他们需要把每一个都分解,找出其中的内容;什么操作系统,什么软件,什么数据或信息通过这个设备或系统,以及这些是如何相互联系的?
这是一个很大的工作,但它必须要做,其中一个主要原因是,它需要做的是,如果出了问题,他们不知道是什么系统,他们将无法正常恢复,他们将浪费大量的钱重建。
顺便说一句,在绘制他们的系统图的过程中,他们会看到,他们将有一定数量的东西不再起作用了。从这里他们可以让他们完全停止服务,节省一些钱。他们也会看到那些仅仅因为不能正常工作而需要更换的东西,因此他们会变得更有效率。
这是一个管理过程,而不是一个技术过程,但这样他们就可以启动或检查网络、软件和硬件的安全性。它可能需要外部服务,但他们至少知道自己拥有什么,他们可以开始规划哪些需要加强。这需要一定的工作和管理时间。
我的态度不是你是否会被黑客攻击,而是你什么时候会被黑客攻击。如果他们不这样做,最终当他们被击中时,他们将不知道该怎么办。
此外,在监管合规性、声誉损失方面还有其他问题需要解决,如果我们谈论的是一家上市公司,那么他们将需要向证券交易所报告他们遭到黑客攻击,他们将不得不与媒体打交道。
如果一家公司处于领先地位,损失会小得多,而事实是,损失更大,因为我们谈论的是人们的生活,但过程却大同小异。如果你想在被黑客攻击时做好准备,你需要经过一系列的准备,这将使你的生活变得更加轻松。
如果你与金丝雀码头的任何一家大型金融机构交谈——大约有99%的把握——他们都会做好这些准备,因为他们会有坚持要发生某些事情的董事会。
随着海运业的发展,越来越传统、越来越不习惯快速运输的人们会有不同的想法。必须开始向其他行业学习。
Q: 5G一直是智能港口峰会的热门话题。仅仅因为我们可以使用这项技术,就意味着我们应该这样做吗?
DN编号:5G是一项非常性感的技术,因为它可以让你无线连接,而不需要复杂的布线、光纤等。它速度快,据说效率很高,但问题是它非常新,而且还没有真正解决所有的问题。我真的不想进入围绕5G技术主要提供商的所有安全问题。我并不是在暗示这个供应商是在从事间谍活动或阴谋破坏系统,因为他们确实想出售更多的盒子,因此,他们必须做得非常干净。
但是,这是一项相对未经测试的技术,如果你开始调查所有安全专家对5G的意见——与另一种称为IPV6(Internet Protocol Version 6)的技术相结合,这是制定和解决所有问题的方式——你就有两种技术不是完全成熟的、安全的,也不是所有人都能做到的了解如何使用它们。这是个大问题。
最好用5G和类似的系统做更多的实验,在你事先解决任何bug之前,不要让所有的东西都依赖于它们。
Q: 物联网设备和云平台面临哪些不同的网络安全挑战?
DN编号:云基本上是把你的信息技术系统放在其他地方的代码——使用其他人的服务器和其他人的连接。云技术本身没有什么比它更安全的,云技术本身也没有什么比它更不安全的。
有一些非常知名的云提供商经历过重大灾难,还有一些较小的运营商,他们将所有的东西都保存在内部,而且非常安全。云的全部目的是给其他人带来技术上的麻烦,而你只是消耗数据和服务——如果它工作得很好,它就工作得很好。
在物联网的背景下,重要的是物联网有很多类型的设备和数据,您希望您的云服务提供商知道如何处理所有这些。你可能是对的,但没有办法保证这一点。我认为我们仍在学习的一件事是,云服务公司将如何应对物联网,因为几乎每个物联网设备出厂时都有一个默认密码,而且设备可能安装时都有默认密码。
关于物联网安全还有很多其他方面,我直接参与了物联网安全标准,从我所学到的,这些都是相当糟糕的。
了解更多有关挑战、优先事项和新技术的信息,这些信息将使Smart ports Summit Med的港口和码头实现“更智能”的运营。
