从保赔险的角度看网络安全风险
伴随着海事行业日益数字化的趋势,网络安全问题引起了不少船东和保险人的共同关注。协会希腊办公室的副总裁兼抗辩险经理Elina Souli女士从保赔协会的角度出发,浅谈如何应对网络安全,以及一旦发生网络风险事件,P&I保险会如何应对。以下是文章的中文翻译,欢迎点击文章末尾链接,查看英文原文。近年来,海事行业越来越依赖数字化和信息技术来提高效率和可靠性,就连货运操作也是如此。几年前,行业更多地还是依靠人力,而如今货物处理也趋于数字化的方式。2017年6月马士基(MAERSK)发生的一起严重网络袭击事件,导致了马士基(MAERSK)全球运作瘫痪,并关闭了几个码头,累计损失超过3亿美元。这一事件的发生表明黑客和网络破坏活动带来的越来越大的安全风险及威胁。
P&I与网络威胁之间存在的共同因素是人为因素。P&I承保的大多数事故都涉及由人为错误引起的第三方责任。所有保赔协会都已建立了完善的防损部门,和会员分享其经验,并培训有关各方如何最好地预防此类事件。
很多人并没有意识到网络攻击的风险,这是过去几年网络威胁和相关风险如此迅速地在全球范围内蔓延的主要原因之一。在过去的十年中,事件以惊人的速度增长。值得庆幸的是,由于航运市场的意识增强,这一比例最近已趋于稳定。尽管如此,海事界对网络风险的担忧与日俱增。有数据表明,在任一时间段内有50,000艘船舶在港口或海上,而最近的报道称,每周全球有近1,700万起网络袭击。这清楚地说明了网络安全的重要性。
另一个关键问题是船员对此类风险的认识。 2018年的一项调查显示,被调查的船员中有近47%的船员表示,他们在航行时有过成为网络攻击目标的经历。遗憾的是,只有15%的船员接受了相关网络安全的培训。而其中的部分培训是由船员外派公司在船员开始他们的下一份合同之前完成的。这意味着相关的培训既不是针对公司,也不是针对特定船型。因此,我们迫切需要采取预防措施来减少或消除网络风险的发生- 预防胜于治疗。
我们须纵观全局,有针对性地进行足够的网络安全风险的培训和教育。重要的是,行业内的各方都需要对其所面临的网络安全进行相关风险的评估,并为此进行培训。海事行业也需要做好准备,以应对不久的将来来自网络安全风险的挑战,例如,随着全自动船只的出现而可能出现的各种风险及威胁。
美国保赔协会制定了严格的政策,要求员工针对市场的需求进行充分的相关培训。网络威胁在不断发展,黑客技术更是日益精进,因此每位市场参与者需要通过不断评估其系统以及优化其内部流程来增强抗风险能力,以使他们能够尽早发现危险信号。
网络风险事件一旦发生,P&I保险应如何应对?显然,每个案件都必须根据其各自的事实进行处理。但为了给您提供一些示例,我们假设了一些情景。
第一个与非法进入代理系统有关。当船东试图将资金汇入其代理人的银行帐户时,这些资金最终被重定向至黑客的银行帐户。这显然是欺诈行为,给所有者造成经济损失。不幸的是,这些损失是纯粹的财产损失,超出保赔险范畴。但是,我们仍然能够在FD&D保险范围内提供协助,并采取法律行动以追回这些钱款。
另一个可能的情况是,海员意外将恶意软件安装到了船舶的导航系统中;例如使用中了病毒的U盘。这可能会对船舶的导航系统造成问题,从而导致重大人员伤亡,例如碰撞或受伤。在这种情况下,我们有一个共同的因素,那就是人为错误,因此P&I保险将照常进行响应。“培训以及执行严格执行流程”,作为防损工作的核心内容,以此为原则一般就可以预防这一情景的发生。
最后一种情况与电脑病毒有关。这种病毒可能是海员不小心植入船上电脑,并导致发动机故障。但是无论是发动机的故障,或者是由此带来的船舶经营的停滞而造成的商业损失都非P&I保险的范畴。
由于网络风险在全球范围内的提高,海事组织已通过向全行业发布了相关指导和并提出了一些倡议倡议。国际海事组织(IMO)同样也发布了有关海事网络风险管理的指南,并于2017年6月通过了一项决议,以确保在2021年1月1日之前在安全管理系统内适当解决网络风险。如果船舶没有于该日期前合规,则存在被拘留的风险。
在其他国际组织的协助和支持下,BIMCO也回应并发布了相关的船上网络安全指南。目的是通过图表的形式来提供基本准则,以便公司定义人事规则,并制定一系列计划以评估处于风险中的资产,并能够及时检测网络事件。同样重要的是制定相关应急方案,在系统受到攻击时能够马上对系统进行修复。此外,不让悲剧重复发生也至关重要。
在美国保赔协会,我们支持所有上述这些准则。我们也已经向会员发布了提醒,如果我们的会员需要我们进一步的说明或者协助,我们将随时为他们服务。 BIMCO采取的最后一项举措是其2019年《网络安全条款》,旨在向租船合同中的所有合同方(所有人,租船人和经纪人)传播防损意识,致力于创造一个免受网络攻击的环境,或者当网络攻击发生时能够将损失降到最低。
总之,评估各自风险以及了解不同保险之间是否有缺陷部分非常重要。当然了解保险与保险之间的缺陷可能需要咨询保险专家。请记住,尽管您的P&I保险范围内没有网络排除项目,但P&I保险无法涵盖所有情况。对于将来,希望能在公司的各个级别建立培训和教育程序,以确保能够拥有一个健康的网络环境,并免遭网络攻击。
来源:美国保赔协会@ Jul.2020
https://www.american-club.com/files/files/currents_44.pdf#page=4
返回
