近日，欧洲最大的保险公司德国安联发布最新风险晴雨表显示，勒索软件攻击、系统漏洞以及IT中断的网络事件激增(航运业也不例外)，网络风险成为2025年全球头号威胁，甚至超越了自然灾害和供应链中断等传统风险。

航运业正经历着前所未有的数字化转型，包括智能船舶、智能船厂、自动化港口等，智能技术正在彻底改变该行业的运作模式。这种数字整合伴随着一种新的、日益增长且持续存在的威胁——网络安全风险。未来，随着船舶之间的联系越来越紧密，它们面对网络威胁的脆弱性也在不断增加，这使得强大的网络安全成为一种必要，而且这需要提前思考与布局。

蝴蝶效应

近年来，随着数字化、智能化进程的推进，网络安全风险日益凸显，这也使得全行业目光再次聚焦到网络安全问题。安联的最新报告显示，企业将网络攻击，尤其是数据泄露，视为未来一年的首要业务风险(占比38%)。

安联商业的风险咨询服务全球主管Michael Bruch表示，在最新的安联风险晴雨表中，最突出的一个发现是全球十大风险之间的相互关联性。一个方面的变化(或者实际上是一个缓解措施)，便可能会对另一个方面产生连锁反应。

例如，安联在报告中称，气候变化是2025年的另一个突出影响因素，使其成为全球十大风险的最大推动者，上升两位至第五位，达到调查14年来的最高位置。

近年来，各行业为了应对气候变化，越来越多的 使用信息技术，而这自然推高了网络风险的占比，安联的报告显示出了对于网络风险日益增长的担忧。

报告显示，网络安全事件成为2025年全球最大的风险，例如勒索软件攻击、数据泄露和IT中断等。值得一提的是，这已是网络风险连续第4年位居榜首，今年占比达到创纪录的高位。而且其影响范围也越来越广。同时，它也是大、中、小型公司面临的最大风险，各行业也都将网络风险列为最担心的风险。

安联商业的网络风险咨询全球主管Rishi Baviskar表示：“对许多公司来说，人工智能的快速发展加剧了网络安全的风险，这是压倒一切的最大风险。”

鉴于对技术的日益依赖，以及人工智能被纳入越来越多的产品和服务，网络可能仍是未来的首要风险。此外，网络风险还与安联报告中其他几个排名较高的风险重叠。例如紧随其后的风险“业务中断”(占比31%)，据受访者称，网络事件是导致公司业务中断风险最害怕的原因。它还被列为公司关注的第二大环境、社会和治理(ESG)及可持续性风险，仅次于气候变化转型挑战。

在最让人担忧的网络风险调查中，排名前五的是数据泄露(61%)，对关键基础设施和实物资产的网络攻击(57%)，恶意软件/勒索软件攻击增加(49%)，数字供应链、云/服务平台故障造成的中断(29%)，商业电子邮件欺骗攻击增加(18%)。

受海运船舶的网络风险监测和威胁管理专家CyberOwl和国际海事法律师行HFW委托，海事创新咨询公司Thetius近期发布了针对航运业网络安全风险的最新研究报告。该报告强调了船舶全生命周期中每个阶段的网络安全风险，这些风险不仅造成经济损失，还会危及船员、货物和全球供应链的安全。报告中提到，最令人担忧的趋势之一是持续不断的勒索软件攻击问题。2023年，14%的航运利益相关者承认支付过赎金，平均支付金额为320万美元。虽然去年这一数字已降至7%，平均赎金支付额也降至10万美元以下，但风险仍然很高。报告支付金额的下降可能反映了人们越来越不愿意披露网络事件，而不是攻击事件的真正减少。除了支付赎金，网络攻击的间接成本也可能是毁灭性的。业务中断、声誉受损、监管罚款和货物损失所造成的经济损失可能远远超过即时赎金要求。全球航运业的相互关联性意味着，对主要船只或港口的一次网络攻击就可能破坏全球供应链，造成跨行业的连锁反应。

需一致性

Thetius的最新报告深入研究了船舶整个生命周期中(从设计到运营和维护)各个阶段网络安全中不断变化的风险，对当前和未来的网络安全挑战进行了评估。该报告认为，船舶全生命周期(从船舶设计到运营及维护)中各环节的网络安全方法的不一致性导致航运公司面临了重大风险，因此其强调了在船舶全生命周期中集成网络安全实践的重要性。

Thetius最新研究报告的一个主要发现是，只有17%的造船厂拥有足够的内部网络安全专业知识来设计和建造网络安全的船舶。仅有六分之一的船东完全了解网络安全船舶交付时的样子,许多船东在接收船舶时缺乏明确的网络安全指导(只有32%的船东将网络安全纳入他们的新造船团队)，使问题进一步复杂化。

海运行业正面临着越来越多的关键漏洞风险。网络犯罪分子已经演变成有组织的、受经济利益驱动的团体，他们运用勒索软件、数据泄露和系统劫持来利用运营漏洞。

然而，在船舶的整个生命周期中，管理船舶网络安全的角色和责任不明确，这使得应对这一挑战变得困难。监管方面的差距进一步加剧了这个问题，国际船级社协会(IACS)最新(2022年发布，2023年修定)统一要求E26和E27为新造船设定了标准，但它们不适用于现有船舶，这使得改装船舶缺乏明确的网络安全标准。

虽然业界已经意识到需要对此进行投资，但许多利益相关者仍然不确定从何处入手，或者谁应该负责。在船舶设计中，网络安全常常被忽视，令人兴奋的新技术往往优先于基础性工作。这使得船东在后续不得不匆忙追赶。这在很大程度上是由于参与设计新建船舶的网络安全专家配备不足。根据研究发现，只有32%的船东在其新建船舶团队中纳入了网络安全人员，许多较小的公司将网络安全责任分配给任何人(常常是不具备网络安全专业知识的人)。这种做法导致网络安全被当作一个信息技术问题来管理，而不是船舶运营的一个组成部分。

该报告指出，将网络安全融入船舶设计对于防止在船舶运营期间进行昂贵的改造至关重要。海运船舶依赖定制系统，原始设备制造商(OEM)设计之间的细微差异会产生重大的安全漏洞。OEM和船东在船舶建造过程中整合适应性系统时也面临挑战，从而留下安全漏洞。虽然船东要求提供风险管理证明，但根据研究发现，只有10%的OEM将安全设计理念融入新系统。

一旦船舶投入运营，许多组织认为他们拥有有效的应对计划，但在实际操作中，这些计划在现实条件下往往会失败。缺乏对风险的持续可见性，阻碍了应对决策的制定。培训仍然过于理论化，船员没有为管理网络事件做好准备。糟糕的网络应对措施最终可能会影响保险索赔的成功与否。

该报告认为，IACS的E26和E27为提高整个船队的网络弹性提供了一个机会，而不仅仅是针对新建船舶。在船舶设计过程中做出正确的选择，可确保在船舶运营期间所实施的控制措施切实可行。明智的决策可避免昂贵的改造，同时也认识到在船舶超过25年的使用寿命中，风险会不断变化。因此，该报告认为，在船舶的整个生命周期中，保持透明度、数据共享以及对网络安全责任的清晰理解，是主动风险管理和长期运营安全的关键。

问题前置

Thetius在报告中强调，网络威胁不是孤立存在的，航运业更不应该如此。有效的网络安全依赖于整个供应链的通力合作，因为这对船舶的适航性和复原力至关重要。报告明确指出，网络安全不能再被视为事后才处理的风险。相反，它必须被视为船舶全生命周期中的一个基本要素。因此，Thetius在报告中建议：

第一，设计阶段。设计阶段所作的安全选择会在船舶运行期间产生后果，因此，在做出正确的决定可以大大降低管理船舶网络风险的终生成本，并随着风险的演变而灵活地做出改变。所有船舶的利益相关方都必须在设计阶段考虑加强网络安全问题，并为安全的系统连接提供明确的指导，例如在最初阶段就将网络安全要求嵌入船舶及其系统的架构中。启用“设计监控”，以便随着网络威胁的演变而保持保护。此外，还可指定物联网(IoT)和运营技术系统(OT)的连接代码，设定最低安全标准，实现从设计阶段就加强网络安全，并为安全的系统连接提供明确的指导，类似于国防部门的做法。

第二，船舶建造阶段。在船舶建造过程中，对安全系统进行整合，对网络进行隔离，为船舶的运行做好准备。对船舶系统进行审核和认证，以确保最大限度地减少漏洞。造船厂、船东和OEM之间的合作至关重要，当然，目前要在供应链利益相关方之间实现统一、透明的方法还存在一些障碍。

第三，运营和维护阶段。一旦船舶从造船厂移交给船东，在船舶运行期间维护网络安全的责任就落在了船东身上。然而，他们往往会受到设计和建造过程中所做决定的限制。要确保船舶网络安全的一个重大挑战是新的船级社要求及其实际影响的不确定性。虽然56%的船东声称了解并理解新的入级规则，但调查发现只有六分之一的船东知道从船厂接收船舶时应注意哪些事项。这表明船东对网络安全法规的理论理解与运用这些知识确保船舶网络安全的能力之间存在差距。从船厂的角度来看，这一问题更加复杂，只有17%的船厂拥有足够的内部网络安全专业知识，46%的船厂担心缺乏设计和建造网络安全船舶的必要知识和技能。此外，93%的船员认为没有做好应对当前网络安全挑战的准备，并承认需要额外的培训。

此外，Thetius的最新报告还强调，IACS关于网络安全的要求为海运业的变革提供了重要机遇。作为第一套强制性网络安全标准，它们提供了明确的规范，为船东提供了宝贵的洞察力，使其了解当前实践中可能存在的不足。这些要求，特别是E26和E27，涉及船舶的整个生命周期，强调网络安全不应再被视为一次性的解决方案，而应被视为船舶生命周期中一个持续的、不可分割的过程。