2021年IMO資安指南出爐, 惟海港安全尚待規範

/在: /通過:

新年度的到來總是令人對未來抱持新希望。2020年各界關注的重心,完全由冠狀病毒疫情所主導,許多人都期待在2021年能有一個新的起點。而對於某些海事行業廠商,特別是國際貿易商船的船東和營運商們而言,2021年出現了一套全新的船舶保護準則 – 那就是國際海事組織(International Maritime Organization,IMO)的海上網路風險管理指南。
這套新準則堪稱海上安全與保障的里程碑,是航運界龍頭與IMO成員國間協同努力的成果。某些航運業者認為,這項發展正在改變遊戲規則。無論如何,在建立一致方法因應網路對船舶的威脅上,這種新模式堪稱重要一步。
然而,值得注意的是,這份2021年版指南卻未針對「港口設施」建立類似的準則。在船運業中,港口設施不但與其他環節一樣重要,可能也同樣面臨威脅。既然IMO的船舶指南已進入實施階段,成員國和業界龍頭應再次將資安放在優先地位,並與IMO合作為港口設施制定統一的資安標準。

一、 國際海事組織和國際海事法規
在探討港口設施資安標準的需要之前,或許有必要回顧一下IMO在制定國際法規中所扮演的角色。1948年聯合國創立了「政府間海事諮詢組織」(Inter-Governmental Maritime Consultative Organization,IMCO),並於1982年正式更名為「國際海事組織」,以促進全球在國際貿易航運法規和實務上的合作。國際海事組織旨在確保安全、可靠和永續發展的運輸,促進所有國家之間的貿易和友好關係。由於船運在歷史上和本質上一向都是國際性共同努力的結果,因此IMO仰賴並促進174個成員國之間的合作,以建立有利於支持前述基本目標的統一法規。IMO自成立以來,始終維持堅韌與包容的特性。
在體現IMO全球性影響力這方面,最重要的海事監管制度之一,當屬《海上人命安全國際公約》(SOLAS)。它是1900年代初期起草的一項條約,以因應著名的鐵達尼號沉船事件。自1914年通過並採認以來,SOLAS經歷多次公約補充而逐漸演進,最後一次公約修訂於1974年通過。因此,該條約通常被稱為「SOLAS 1974」。
整體而言,SOLAS建立船舶建造、設備和操作有關的最低安全標準。該條約締約國藉由國家管理的認證制度,確保懸掛各自國旗的船隻遵守SOLAS。在2021年,有166個國家是SOLAS 1974的締約國,佔世界航運噸位約99%。
儘管最後一次SOLAS公約於1974年通過,但之後亦透過IMO的「默許」(tacit acceptance)程序,對條約進行了多次修改。就像SOLAS本身一樣,這些修正案通常是慘案發生後的產物,例如1987年比利時發生近200人喪生的渡輪事故後,SOLAS隨即加入「國際安全管理」(International Safety Management ,ISM)此一新章節。由於傷亡調查人員發現涉案公司的不良安全文化是事故肇因,因此IMO成員國制定了ISM準則,以矯正調查人員所謂的船舶和岸上「散漫症」。ISM準則於1998年生效,在過去的二十多年中,它已使「船運更加安全清潔」。
二、 2021年IMO網路指南
ISM準則是IMO成員國制定2021年網路風險管理指南的依據。這套網路指南於2017年透過三項主要聲明來發布。首先,在MSC.429(98)號決議案「安全管理系統之海上網路風險管理」中,IMO再度確認了ISM要求降低網路風險的觀點。依據這種觀點,網路風險管理已包含在該準則的既有一般規定中,即公司必須建立防範措施,以免船舶、人員和環境面臨任何風險。
MSC.429(98)號決議還包含第二項重要聲明。IMO於其中鼓勵各國在2021年1月1日之前「適度處理」此一既存規定。說得更清楚一點,鑒於IMO網路指南預計最遲於新年度實施,IMO敦促船旗國在各自安全管理體系未適當解決網路風險的情況下,不向船舶簽發合規性文件。
IMO的第三項重要聲明是在2017年7月的通函中,IMO宣布「海事安全委員會」(MSC)和簡化程序委員會共同批准了具體的網路風險管理指南。成員國與航運龍頭合作制定了這些非強制性準則,以促進各方遵守上述既存的ISM規則,藉此降低網路風險。在該通函中,IMO建議船舶和船旗國在合規性審核時使用該準則,以評估網路風險是否已得到適當解決。

外界不但期待ISM準則能夠充份「管理和降低網路風險」,也期盼政府官員和業界龍頭憑藉其18年ISM準則實施經驗,有效因應在新興網路場域可能面臨的諸多挑戰。此外,經由找出「 ISM準則」既存(但似乎處於休眠狀態)的網路規定,然後透過不具強制約束力的產業行為指南來實施這些規定,成員國得以避免冗長的SOLAS 1974和ISM準則修訂程序。
也就是說,依憑ISM準則的風險管理架構來減少網路威脅是一種有效方法。船旗國將自2021年將開始採用這種方法,並努力促成全球性統一的作法。

三、 確保港口安全待完成的工作
SOLAS 1974已進行多次修訂,通常是為了實施諸如ISM準則之類的附屬法規。SOLAS另一項附屬法規是《國際船舶暨港口設施保全章程》(International Ship and Port Facility Security Code,ISPS),這是IMO在另一場悲劇 – 9/11恐攻 – 之後發展出來的全面強制性安全制度。有趣的是,當各方考慮採用IMO作為解決網路威脅的新模式時,MSC透過MSC 97/22文件宣稱,部分成員國認為ISPS可能更適合應對網路威脅。儘管如此,或許是因為美國於2017年主張ISM準則的應用範圍廣泛,足以納入與網路干預(cyber-enabled)相關的新興風險,IMO最終還是選定ISM做為促進全球海上網路標準化的準則,而非ISPS。
儘管使用ISM準則的寬廣架構或許很有效率,但也存在重大的局限性。有別於涵蓋特定船舶及港口設施的ISPS準則,ISM準則即使具有廣泛的風險管理概念,也僅適用於船舶。這種局限性意味著,全球港口設施的業主和運營商恐無法受益於2021年IMO新版網路指南實施所提供的保障。
港口設施在全球貿易中扮演極為重要的角色,並且高度依賴科技。正如2020年5月在伊朗沙希德拉賈伊(Shahid Rajaee)港碼頭發生的事件,針對港口設施的網路攻擊可能造成嚴重傷害。自2017年以來,全球四大海運公司均淪為網路攻擊的受害者,最近一次就發生在2020年9月。有鑑於此,全球港口設施無疑都難以擺脫網路攻擊的威脅,有心人士也肯定會利用這些弱點惹事生非。
考慮到資安威脅的現實情況,會員國和海運業界龍頭應在IMO共同合作,為港口設施制定統一的資安標準,正如他們合作保護船隻一樣。巧合的是,2016年時,伊朗就曾向MSC提出此一建議。在MSC 97/4文件中,伊朗強調了對港口網路風險管理指南的迫切需要。這項提議在某種程度上也預示了2020年Shahid Rajaee港口發生的事件,凸顯網路攻擊可能對港口和關鍵基礎設施造成嚴重後果。
儘管MSC並未就伊朗的提案採取行動,但2016年12月仍對伊朗的建議表示感謝,並邀請有興趣的會員國提案,供MSC未來參考。但迄今2021年1月為止,尚無任何會員國提交此類提案的記錄。如今,該是會員國做出回應的時刻了。

四、 結論
IMO海上網路風險管理指南堪稱航運業的重要發展。船旗國和世界各地的船運公司如今都擁有一套業界聲援的架構,藉此反覆評估船舶的資安措施。然而,為適當保護海上運輸體系的其它環節,還有更進一步的工作有待完成。如同船旗國及其船舶,港口國及港口也需要行動指南,以確保海上設施所面臨的網路風險能獲得一致性解決。隨著船舶網路標準總算於2021年出爐,如今正是成員國與業者齊聚IMO商議,制定類似標準以保護全球港口設施的時刻了。

資料來源:The Maritime Executive,01/10/2021