聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

美国政府发布了关于关键海事行业的威胁缓解和安全防护的规划，提到了应优先处理的任务清单。

这项规划名为《国家海事网络安全规划》，于本周二公布，强调了在未来五年内缩小海事行业在网络安全领域的差距和解决漏洞的多个优先级事项。

海事行业包括成千上万的主要水道、造船厂、港口和桥梁，为美国的国内生产总值 (GDP) 贡献约5.4万亿美元。该规划在较高层面上围绕全球标准设立了定义海事威胁、加强威胁情报和信息共享以及增加海事行业网络安全劳动力的优先级和目标。

白宫指出，“IT 在整个海事行业的扩散正在引入前所未有的风险，2017年6月爆发的 NotPetya 网络攻击事件便是明证。该攻击使全球范围内的海事行业瘫痪很久。这项规划阐明了美国政府如何以最佳方式减轻威胁国家安全和经济繁荣的潜在的灾难性风险。”美国政府认为，对 IT 和 OT 不断增强的依赖性将继续推进海上贸易的效率和可靠性。

该规划呼吁将海事安全的优先级放在所谓的政府不实信息和责任之上。

美国政府指出，“某些 MTS 运营商缺乏控制关键系统安全性的能力，因为butong 的公共实体和私人实体拥有并运营这些互联系统。尽管网络安全的标准和框架广泛可用，但企业通常缺乏有效执行这些标准和框架的资源和专业能力，从而使它们易受网络安全遭破坏的影响。”
    鉴于没有一个实体拥有、控制、管理或监管整个海域所使用的业务或网络，因此该规划要求国家安全委员会 (NSC) 的工作人员找出法律权限方面的差距，并找到化解 MTS 网络安全标准角色和责任的效益。

该规划提出的其它优先事项包括开发风险建模以通知海事网络安全标准和最佳实践；增强端口服务合约和租赁的网络安全要求；并改进美国政府和私营行业之间的信息共享能力。规划指出，“增强海事网络安全要求获得可信且可指导行动的情报”，并表示将创建相关机制，和海事行业利益相关者共享非机密信息以及在可接受范围内的机密信息，提升对可行动信息的访问权限以保护海事 IT 和 OT 网络的安全。

另外，该规划呼吁基于合作伙伴的输入创建全球性“端口 OT 风险框架”，在全球范围内推广。该规划还提到聘请网络安全专员和强大队伍，管理并保护端口和船舶系统的安全。

工业网络安全企业 Claroty 的首席产品官 Grant Geyer 指出，“几年来发生的机会性勒索软件感染和有针对性的国家力量预测造成的双重威胁已经证明了网络攻击对国家安全和商业供应链的影响。2017年发生的 NotPetya 对商业海事企业造成的巨大破坏、伊朗关于港口活动在2020年遭到网络攻击破坏等案例都证明了这一点。这些极易遭攻击的 OT 海事环境加上在 OT 安全领域专业能力的缺乏都可能对关键的基础设施造成巨大风险。我认为该规划最重要的一点是有目的地重视对关键船舶和港口系统的风险缓解，以及重视海事网络安全行业的专业能力和职业路径的发展。”

规划完整版可见：

https://www.whitehouse.gov/wp-content/uploads/2021/01/12.2.2020-National-Maritime-Cybersecurity-Plan.pdf

推荐阅读

黑客组织结合利用 VPN 和 Windows 漏洞攻击美国政府网络

美国正在统计外国政府在用的商业间谍软件

明知软件有缺陷仍卖给美国政府，8年后思科被罚860万美元

原文链接

https://www.securityweek.com/cybersecurity-plan-released-us-maritime-sector

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~