近年来,网络攻击已令集装箱航运公司马士基,中远,达飞和MSC等遭受损失,但根据一项新的调查显示,航运公司的网络安全仍然落后。
一项针对全球20前家航运公司的网络安全分析显示,在14家集装箱航运公司中,其中只有2家IT安全措施到位,使用了防止犯罪分子对电子邮件系统进行身份盗窃。另外多家航运公司缺乏密码保护和安全的Web解决方案。
据悉,总部位于丹麦的网络安全公司Improsec通过三个参数评估了航运公司的IT安全,这三个参数为:密码的设置,面向客户的Web服务和电子邮件系统。
并得出结论:尽管与以前的调查相比,使用密码的安全性有所提高,但其网络安全和电子邮件安全仍然相对较差。
据悉,Improsec的分析不是基于调查表,而是通过侵入这些船公司的IT系统进行压力测试。不过这家丹麦IT安全公司仅检查了一些简单的对外交易和客户系统,并检查了公司在密码和网络安全方面的明确声明。Improsec拒绝透露哪些公司是分析的一部分。
根据分析,三分之一的航运公司允许员工拥有密码,这些密码允许员工访问包含少于8个字符的重要IT系统。在一种情况下,航运公司只接受一个字符的密码。
通常认为,最低要求密码至少应包含八个字符,最好由数字,字母和字符组成。
Improsec的分析还表明,在一些航运公司中也缺乏电子邮件安全性。其中,只有14%的航运公司实现了电子邮件身份验证协议DMARC(基于域的消息身份验证、报告和一致性)。
DMARC的设计是为了让域名所有者保护他们的域名免受未经授权的使用。
Improsec检查的第三个参数表明,四分之一的航运公司没有足够的措施来保护其Web服务,这些措施包括诸如交易和客户平台之类的外向工具。四分之一的航运公司使用HTTP,这是用于Internet上通信的非加密协议。
这意味着从客户的网络浏览器发送到航运公司的网络服务器的信息可以被任何人读取。根据Improsec的说法,每个人都应该使用更安全的HTTPS协议,该协议可以加密所有通信并保护其不受外界窥探。
