2017 年,国际海事组织会议已经表决通过了 (IMO)MSC.428(98)号决议:安全管理体系中的海事网络风险管理,鼓励管理公司建立船舶网络风险管理体系,并将其纳入船舶安全管理体系。该决议于 2021 年 1 月 1 号正式生效,开启了航运业网络安全意识的觉察。2024年7月1日全面实施
全面执行 UR E26 & UR E27 关键年
2022 年 4 月,国际船级社协会 IACS 通过了最新网络安全要求,UR E26:《Cyber resilience of ships 船舶网络韧性》以及UR E27:《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》。这两项 UR 中明确要求:
对于建造合同日期为 2024 年 1 月 1 日或之后的船舶,IACS 成员内需要强制执行,宣告航运业即将进入全面网络安全实操阶段
关键:如何在期限内更好满足 UR E26 以及 UR E27 ?搞懂 4 个关键点
关键一:对航运业哪些人员产生影响?
UR E26:《Cyber resilience of ships 船舶网络韧性》:
● 目的:将船舶视为一个整体来实现网络韧性,并为其他 UR 和行业标准应对的船上系统、设备和组件的网络韧性问题提供基础
● 主要对象:船舶设计方/船厂的系统设计人员
UR E27:《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》:
● 目的:此文档规范了船上系统和设备网络韧性的统一要求,基本上涵盖了船载所有的 OT (运营) 系统 ;规范中明确要求须受规范的系统如图1
● 主要对象:影响涉及既有系统的全体人员
除了船舶设计方/船厂,和船载系统集成商,其他利益相关者也需跟进配合:
● 船东/公司(Shipowner/Company):明确需入籍的船级社和需符合的安全等级
● 组件供应商(Supplier):提供安全健壮性高的产品(参考 IEC 62443-4-1/IEC 62443-4-2 )
● 船级社(Classification Society): 根据本船级社的安全标准进行审核
关键二:船载系统集成商尽早跟进 UR E27 有什么收益?
2024 年 1 月 1 日后,船厂就需要按照新规范规划涉及船舶整个系统的安全,同时在与各个船载系统签署分包合同时,要求提供满足 UR E27 形式认可的新系统方案。因此对于船载系统集成商而言,在 2023 年底前完成差距分析和新方案验证,有助于在 2024 年的竞争中取得优势地位。
关键三:需参考哪个船级社的标准进行验证?
各个船级社预计将在今年内,基于 UR E26 和 UR E27 要求而推出各个船级社的指导文件,以及做好相关配套。其中包括 :
● DNV 目前已经在执行的 《DNV-RU-SHIP-Pt6Ch.5》SECTION 21 CYBER SECURITY 中,已完成了 UR E26 E27 标准的对应
● CCS 已经发布的《船舶网络安全指南》正式版已于 2025 年 5 月 1 日开始正式生效
虽然每个船级社都会发布自己的版本,但由于都需要与 IACS 做沟通和确认,因此预料各个船级社的内容差异不会很大,可以依据 2024 年主要的项目入籍需求,优先选择一个船级社要求做规划和验证。
关键四:UR E26 与 UR E27 主要内容和框架是什么?
E26 是一个指导原则,告诉海事从业人员在建立 CBS 系统时,必须从识别、保护、检测、响应、恢复 5 个方面考虑考虑信息安全问题,目标是构建一个具备网络安全韧性的船舰。特别说明:网络安全韧性也并不代表完全实现安全零风险,而是在发生网络安全事件时,船舰能够维持基本的安全运行,并能够快速相应安全事件。
E27 是在 E26 的指导原则上,定义具体的系统安全要求,提供可执行的操作指导。从 E27 的具体安全要求可以看到,E27 主题内容是参考和引用成熟的工业信息安全体系 IEC 62443-3-3 进行的系统性安全要求。
如何加速实现?
IEC 62243 是评估船载系统是否能通过 UR E27 的关键点
IEC 62443 现为国际广泛采纳和认可的?业?动化及控制系统 (Industrial Automationand Control System, 简称 IACS) 的网通安全 (CyberSecurity) 标准。目前全球知名的控制系统和设备厂商,如西门子,ABB 等都通过了 IEC 62443 体系的安全认证;而轨道交通,电力,能源,医疗,制造,海事等应用领域也开始采用 IEC 62443 作为行业信息安全标准。
IEC 62443 针对业主、集成商、产品供应商提供了可参考的信息安全标准和流程依据(参考图3)。其中 IEC 624432-3-3 针对特定系统的整体提出具体要求和认证,而 IEC 62442-4-2 针对组成系统的组件提出具体安全功能要求。
简单来说,要达到特定的系统安全等级,首先需要系统中的组件具备自身安全健壮的能力,然后,评估系统中安全薄弱点,评估是否需要使用安全补偿措施来实现系统级的安全。
如果要评估船载系统更好、更快地通过 ER E27 ,可参考成熟的 IEC 62443 系统中的组件和服务供应商