航运业的网络风险

作者：宫怡 Ida Gong – 高级副总裁 – 特殊风险及再保险

全球航运行业正面对急剧转变的数字时代，由全球定位系统(GPS)、电子海图显示与信息系统 (ECDIS)、船舶自动识别系统(AIS)、电子航海图(ENC)、船舶应急回应服务(ERS)和电子提单(e-B/L)到完全的智慧航运，技术时刻都在更新。很快我们就能看到完全遥距和自动化控制的智慧船舶在大海上航行。随着世界日渐数字化，相关的风险呈指数式增长，这同时意味着客户对保险行业所发挥的作用和期望将比过去更高。

近年，我们看到主要的网络风险趋势包括：勒索软件攻击(ransomware)在频繁和严重程度两方面在不断上升；AI 的日新月异使深度伪造技术 (deep fake)日臻完善，企业要面对更加复杂且难辨真伪的社会工程学犯罪(Social engineering attack)；针对大型企业、关键基建设施、供应链和企业并购等等的零日漏洞攻击(zero day attack即在在安全补丁或漏洞发布的同一日内所展开的网络攻击) 层出不穷；持续的地缘政治问题而带来的由敌对国家支持的网络攻击事件数目也不断增加。

对于航运行业来说，网络黑客可以针对海上作业的任何一部份发起攻击，包括导航系统、船上计算机和通讯系统、沿岸基建例如货物管理信息系统以及港口码头管理系统。黑客能利用网络或系统的弱点，入侵服务器并控制、操纵或者加密系统和敏感数据。这可以导致船舶和港口的直接财产损失、因系统瘫痪营业中断而引致的经济损失、被黑客勒索的财务损失、环境损害、甚至人员受伤或者死亡。不少大型企业意识到随着在线交易的扩展、新技术的采用和开放业务的发展趋势，潜在的网络攻击带来的挑战将越来越大。网络安全现在已被看待成环境、社会及公司治理(ESG)的综合风险之一。

来源：国际商业机器 IBM Security © 2023年数据泄露成本报告

2023年底中国某大银行的美国子公司遭勒索软件团伙Lockbit勒索软件攻击，造成公司电子邮件停止工作，迫使员工改用外部第三方邮箱进行联络。是次的黑客攻击导致该机构无法清算大量美国国债交易，暂时切断了与纽约梅隆银行平台的连接，更一度拖欠后者约90亿美元，据评估需数周才能恢复正常运营。此类安全事件可能使银行面对巨额缺口和违约责任。该案件也暴漏了大型企业海外机构网络安全上的薄弱问题。

根据不完全统计，2023年航运企业因网络攻击而遭受的损失每宗事故平均55万美元，比起2022年上升3倍。几种常见的网络攻击包括恶意软件、勒索软件、网络钓鱼和社会工程学犯罪等。多数的攻击事故涉及勒索软件，罪犯威胁受害人并要求他们交付更多的赎金，金额达两倍或三倍之多。黑客更可以毁灭数据数据，让系统复原工作变得更加困难。

2020年疫情开始后，全球的企业开启了线上办公模式后暴漏出很多企业网络安全的漏洞，网络犯罪案件急剧上升。随着企业对线上办公依赖程度的提高，以及海量的业务数据使用第三方云存储服务，保险公司开始担忧大规模的系统性网络风险。因此我们见到自2020年底开始网络保险公司开始收紧保险保障，对企业的网络安全要求也进一步提升，保险费率按季度持续呈双位数增加。

经过两年多被保险企业内部网络安全提升，保险公司在保障范围、费率、自负额等方面的调整，网络保险的赔付率达到可控的程度，我们见到自2023年第一季度期，网络保险的费率增加变化回落的个位数，并且在2023年第二、第三季度开始出现费率回落的情况。