港口自动化和网络风险
为了保持领先于竞争对手的港口和技术发展,自动化已经成为不可避免的事情。主要的转运枢纽和有抱负的港口将自动化的未来打赌,这提高了网络风险长期可能产生的影响。
新加坡的港口现代化
新加坡的大士港项目是港口现代化的一个例子。为了保持在东南亚竞争港口的领先地位,PSA国际和城邦在岛西面的全自动港口上打赌了未来。该项目将使港口当前的20英尺标准箱(TEU)的吞吐量几乎翻一番,并在2040年之前整合其所有的集装箱业务。
新加坡的港口排名第二,落后于上海的大型港口。不过,新加坡的港口是世界上最繁忙的转运中心,因此对全球供应链非常重要。2017年上半年港口吞吐量增长6.4%,表明其对现代化泊位和内衬衬里合资企业的投资有所回报。
这对短期来说是个好消息,亚欧贸易航线上的集装箱船将不可避免地增加规模,需要更高的处理效率才能实现快速的周转时间。到2018年底,超大型集装箱船(ULCV)预计将占总装机容量的61%,推动新加坡等新兴港口实现码头自动化。
与此同时,下一代集装箱船将不仅更大,而且自动化程度更高,甚至自动化。由于港口和航运业是全球和区域供应链的组成部分,其自动化和技术现代化提高了网络风险的影响和潜力。
自动化有多好?
对于新加坡的港口来说,自动化不仅巩固了它作为转运枢纽的地位,而且也帮助它跟上了技术发展和行业趋势。
由于保守的性质和大量的参与者,航运业在适应新技术方面一般缓慢。目前全球集装箱吞吐量仅有一小部分由全自动集装箱码头处理。预计2016年,一旦正在进行的项目完成,预计集装箱总量的四到五成将由全自动码头处理。尽管如此,行业压力和竞争加剧了港口投资和自动化的需求,这表明自动化终端的数量将会增加。
自动化终端允许港口通过使用操作系统按照收集和转运时间计划存储,从而更高效地处理集装箱。这减少了不必要的箱子移动,缩短了周期时间,并且实现了一致和可预测的吞吐量数量。
全自动化终端具有运行成本低,运行可靠的优点,但是需要更高的前期成本,更长的开发时间,在高峰时间只能提供低生产率的增加,并且难以使工作终端完全自动化。另一方面,半自动化终端为在高峰时段提高生产率提供了可能性,通常认为总体生产力最好,前期成本较低,但需要较高的运营成本,而且在处理ULCV时不一致。
尽管全自动化为新加坡这样的大型港口提供了可靠的全天候运营,而且运营成本低廉,但是需要很长的开发时间才能解决问题,并且只能在高峰期逐渐提高生产力。最重要的是,全面的自动化也增加了网络风险的脆弱性。这是由于使用技术先进和网络化的系统。
进入港口自动化的投资门槛很高,但不一定会提高生产力。提供主要港口枢纽的自动化是每小时集装箱移动的更好的可预测性和一致性。另外,自动化减少了人为错误的空间,使操作更安全。与此同时,自动化降低了对环境的影响,因为码头大部分是电气化的,在一个越来越注重可持续性的行业中,港口获得了更多的竞争优势。
网络风险
许多内部人士认为,航运业和港口对网络威胁的准备不足。尽管航运业的主要参与者已经认识到并应对了网络威胁带来的风险,但是大多数企业在识别潜在的业务风险方面速度缓慢。尽管知晓度不断提高,但仍然需要更好的信息共享。自动化进一步增加了网络威胁对于港口的风险和影响,突出了数据和系统完整性的重要性。
2017年6月的“NotPetya”网络攻击证明了对自动化终端的网络威胁的真实性。袭击迫使马士基在全球多个终端站中断运营,造成数周后的后勤破坏。总的来说,马士基的成本大约是3亿美元,尽管袭击事件并不是针对该公司的。对行业领导者之一的“幸运打击”表明,即使是准备充分的企业也可能因网络威胁而遭受经济损失。
保护自动化终端免受网络风险的困难在于其复杂性。这些终端使用工业控制系统,将感应数据和命令转化为机械动作。机械设备和传感器之间的网络连接受到与数据网络相同的威胁。在自动化系统中找出并修复错误和缺陷所需的几个月时间内,复杂性进一步增加。在自动化系统中,不同的系统组件必须有效地一起工作,从而延长找出并修复错误所需的时间。这主要涉及软件问题,必须在终端处移动货箱。
虽然港口必须从各种各样的风险中获得保护,但是网络犯罪分子可以从多个入口点进行选择。例如,外部供应商,终端操作系统和未知员工可能容易受到网络钓鱼攻击。操作系统和数据网络并不总是保持最新状态或得到妥善保护,从而使犯罪分子能够相对容易地获得信息。为了防止港口和航运业遭受大多数攻击,应该实行定期的操作系统更新,更强大的密码,安全的卫星连接,恢复力练习,信息共享和员工意识活动。
最重要的是,现代船舶只需通过Wi-Fi或其他数据网络就可以将病毒传播到港口系统。工业控制系统没有设计网络风险或主动网络监控。船舶控制系统尤其如此,但也会影响港口的系统组成部分。
不过,这只是解决技术方面的问题。人为因素在缓解网络风险中仍扮演着重要的角色。船员的个人信息仍然可以轻易访问,使他们更容易通过网络钓鱼或其他技术的社会工程,不知不觉地授予访问系统。
人为因素可以采取犯罪分子,恐怖分子,竞争对手,心怀不满的员工等形式。例如,大多数手工终端的工作人员通常不喜欢自动化,因为这使得他们的工作很大程度上是多余的。为了减少来自不满员工的网络威胁的机会,港口可以为他们的员工提供培训和工作保证,使自动化的过渡更加渐进。
航运部门,注册管理机构和航运业的所有主要组织越来越意识到网络威胁,并通过提高认识或提供培训课程来应对。这些都是更好地保护船上信息和导航系统的简单步骤。例如,全球最大的国际航运协会BIMCO通过提高认识的举措,使网络安全三年前成为航运业的一个重要问题。该协会进一步提倡有需要制定指引以应付这些威胁,并于二零一七年七月推出“船上网络安全指引”,并获业界支持及支持。
此外,利比里亚船舶登记处于2017年10月启动了一个基于计算机的两小时网络安全培训方案,全面介绍船上网络安全问题。不过,这些课程和活动不足以保护这个行业。虽然这是朝着正确方向迈出的一步,但还需要通过法规来做更多的事情。
结论和政策建议
国际海事组织(海事组织)自2016年以来就网络风险提出了自愿性的指导方针。直到2021年以后,国际海事组织才计划执行一套关于网络安全的有约束力的规定。对于行业内的许多公司而言,这可能为时已晚。航运公司不应该等到2021年,而应该开始采取简单的措施,比如使用防火墙和更强大的密码来阻止犯罪分子利用当前的弱点。
此外,尽管IMO今年将海事网络风险管理准则纳入“国际安全管理准则”,港口和航运业仍然需要建立更强大的网络安全文化。
主要的航运枢纽是大型和不太有弹性的供应链的一部分,这对于区域和国际贸易是必不可少的。这些供应链依赖于少数几个主要港口,这些港口很容易受到其他港口的冲击。为了使供应链和港口枢纽更具适应网络风险的能力,整个航运业必须进行调整和准备。
公司将不得不一起工作,共享先前或正在进行的攻击信息,以便直接共享经验和最佳实践。不幸的是,由于担心竞争对手如何使用共享信息而难以实现。新加坡成立了港务局联络员信函网络,以进一步交流有关过去和当前事件的信息。这个网络是否有助于鼓励信息共享还有待观察。
港口是物流中心,许多公司竞争业务,使信息共享自然困难。目前,港口安全基于国际船舶和港口设施安全(ISPS)规则,该规则主要集中在安全的物理方面。为了使网络风险成为港口安全的一个更为重要的问题,整个部门需要加强并把它放在首位。
网络风险不仅仅是一个技术问题,而且需要充分的认识和计划来加强港口的复原力。积极培训员工与信息系统的安全协议和程序是实现这一目标的一种方式。与此同时,港口需要进行应急和情景规划,以便在发生袭击时做好准备。除此之外,国家机构(如标准机构)需要为港口的安全测试和规划提供更好的指导,并辅之以像IMO这样的全球机构授权的报告和信息共享的有约束力的指导方针。
作者:Philipp Martin Dingeldey是新加坡南洋理工大学(南洋理工大学)国际研究学院(RSIS)国防和战略研究学院(IDSS)海事安全计划的研究分析师。对于问题和后续行动,可以通过research.pmdingeldey@gmail.com与他联系。
雨天 