Il settore della logistica portuale e del trasporto marittimo non è immune da rischi legati agli attacchi informatici. L’aumento esponenziale delle connessioni eterogenee di dispositivi e l’iperconnettività dell’IoT nel nuovo ecosistema digitale ha determinato le condizioni per una dilatazione della superficie esposta che è stata percepita anche nel settore dello shipping. Con oltre 1.600 cyberattacchi in danno di aziende, come rilevato dal Clusit nello scorso 2018 con un trend crescente nel 2019, il fenomeno della criminalità informatica è in crescente espansione.
Con l’Internet delle cose e l’avvento della tecnologia 5G, nel 2020 saranno connessi 76 miliardi di dispositivi, e la “blu economy” è certamente un’industria che necessita di una forte protezione per l’importante contributo al PIL nazionale, attraverso una puntuale valutazione dei rischi e lo sviluppo di modelli efficaci di information security. Infatti, il settore marittimo fonda armai la sua tecnologia principalmente sulla connettività in tempo reale e ciò, conseguentemente, espone il sistema industriale ai rischi che provengono dalla rete, specie in presenza di vulnerabilità più o meno note e, in ogni caso non valutate.
Una nave è di per sé un’infrastruttura critica ed è dotata di infrastrutture informatiche e da sistemi di microelettronica e sensoristica che acquisiscono e trasmetto dati per il controllo, l’analisi e la gestione della navigazione, della sicurezza in accesso ed in trasbordo dei passeggeri (se non mercantile), delle strutture di bordo, della gestione del carico.
Per questo è fondamentale che il settore marittimo investa nella creazione di modelli di governance dell’information security, allineati agli obiettivi di business, per il presidio dei domini della sicurezza cibernetica e la protezione dei dati personali, attraverso la messa in campo di procedure di valutazione dei rischi e lo sviluppo di misure di mitigazione e di resilienza operativa.
L’industria dello shipping, invero, già oggi è tra le più avanzate dal punto di vista tecnologico.
Si pensi ad esempio alla prima nave drone mercantile della storia, “Yara Birkeland”, che sarà completata nel 2022 e navigherà sulla rotta nordeuropea.
Eppure, non può non tenersi conto dei rischi del settore marittimo legati alla potenziale vulnerabilità dei processi informatici dedicati al funzionamento dei vari sistemi.
Si pensi al cyberattacco ransomware che nel giugno 2017 ha reso inaccessibili tra gli altri i sistemi informatici il colosso dei trasporti marittimi Moller-Maersk tenendoli in “ostaggio” al fine di estorcere denaro alle vittime per lo sblocco degli stessi.
Proprio per fornire una risposta a quei rischi, attraverso l’introduzione di un modello di corretta gestione del rischio informatico, il 16 giugno 2017 l’International Maritime Organization (IMO) ha adottato le raccomandazioni contenute nella Risoluzione MSC.428(98) “Maritime Cyber Risk Management in Safety Management Systems”. Le raccomandazioni evidenziano che la valutazione del rischio informatico, oltre ad essere divenuto elemento essenziale, rientra tra gli obiettivi del Codice ISM e ricade tra rischi generali che possono interessare ed impattare sulla sicurezza della nave, del personale e dell’ambiente. l’ISM fornisce infatti uno standard internazionale per la sicurezza nella gestione e nell’esercizio delle navi e per la prevenzione dell’inquinamento ed è applicabile a tutte le navi d’altura superiori a 500 GT e al loro Armatore o alla loro Società di Gestione che si è assunta la responsabilità per l’esercizio della nave. Il codice ISM prevede tra l’altro che gli armatori e gli operatori di navi mettano in atto un Sistema di Gestione della Sicurezza (SMS) che ne incorpori gli obiettivi e coinvolga la totalità delle operazioni della Società e delle navi gestite. Il sistema SMS permette alle società di misurare le proprie prestazioni a fronte di un sistema documentato e consente loro di identificare le aree di miglioramento per le pratiche di sicurezza e per le misure di prevenzione dell’inquinamento.
Alla luce di quanto determinato in sede IMO garantire che i rischi cibernetici siano adeguatamente analizzati e mitigati nell’ambito del SMS è diventato imprescindibile.
E così il 5 luglio 2017, l’IMO ha pubblicato un secondo documento, la MSC-FAL.1/Circ.3 “Guidelines on maritime cyber risk management”, recante una serie di raccomandazioni di carattere generale, in cui vengono individuate le possibili vulnerabilità dei sistemi, distinguendo le “information e operational technology” e definendo altresì la protezione dello scambio di informazioni e dati. Particolare importanza viene attribuita alla valutazione della vulnerabilità attraverso una necessaria comparazione tra progettazione, integrazione e/o manutenzione dei sistemi per la definizione di eventuali vuoti/errori nella c.d. cyberdiscipline. Le linee guida raccomandano una gestione del rischio cibernetico attraverso un “risk management approach”, dal momento che le rapide modifiche tecnologiche e le relative minacce non consentono di indirizzare i rischi solo attraverso standard tecnici.
Il rischio cibernetico è dunque, inevitabilmente, da considerarsi quale “naturale” evoluzione ed estensione delle già esistenti “management practices” in campo safety e security. E così con la circolare 155/2019 del 10.12.2019 il Comando Generale del Corpo delle Capitanerie di Porto, avuto riguardo alla Circolare Titolo Security n.35/2017 ed alla Circolare non di Serie n.8/2018, ha inteso meglio definire il “cyber risk management” che l’IMO ha identificato quale “processo di identificazione, analisi, verifica e comunicazione di un cyber-related risk accettando, evitando, trasferendo o mitigando lo stesso rischio ad un livello accettabile e considerando costi/benefici delle azioni da intraprendere”. Precisa la circolare che il processo di cyber risk management può essere svolto attraverso una globale verifica e comparando l’attuale organizzazione, quella desiderata e i risultati (posture) del cyber risk management. Tale comparazione potrebbe rilevare mancanze (gaps) che dovrebbero quindi essere valutate al fine di raggiungere gli obiettivi del risk management anche attraverso un piano di prioritizzazione dei rischi.
Richiamando il documento MSC-FAL.1/Circ.3, la circolare indica i cosiddetti “functional elements” utili per supportare un efficace cyber risk management la cui finalità è quella di assicurare un adeguato livello di awareness del cyber risk a tutti i livelli dell’organizzazione ed essere commisurato in considerazione dei ruoli e delle responsabilità di ogni elemento parte del sistema.
La circolare ribadisce infine che gli aspetti della gestione del rischio informatico, compresa la sicurezza fisica, dovrebbero essere considerati anche nei Piani di Security delle navi (SSP) ai sensi del codice ISPS fermo restando che non deve essere considerato obbligo per le Società di gestione istituire un sistema di gestione separato della sicurezza informatica che operi in parallelo con il sistema SMS adottato.
Il Piano di Security della nave (SSP) farà comunque riferimento alle procedure di gestione dei rischi informatici presenti nel citato SMS ed il loro trattamento avverrà tenendo conto:
- Dell’assess all identified risks to its ships, personnel and the environment and establish appropriate safeguards;
- Del “radio and telecommunication systems, including computer systems and networks”.
Già con Circolare titolo Security n.35/2017, si è proceduto ad operare un primo censimento concernente il cyber risk management i cui risultati sono stati resi noti con la Circolare Non di Serie n.8/2018.
Pertanto il Comando Generale del Corpo delle Capitanerie di Porto, su condiviso parere del Gruppo di lavoro in materia di sicurezza della navigazione integrato da un rappresentante dell’Autorità NIS, ha ritenuto necessario che le Società di navigazione si dotino di un risk management framework che tenga in debita considerazione gli elementi delle disposizioni citate nonché di quelle impartite dall’Autorità NIS alle Società che sono state classificate Operatori di Servizi Essenziali (OSE).
Per completezza, si evidenzia che con la recente Circolare Non di serie n. 24/2019, il Comando ha introdotto il Distance Learning Programme (DLP) a favore del personale e dell’utenza su “Awareness in Maritime Cybersecurity” e “Maritime security” con l’obiettivo di migliorare la formazione del personale
La formazione e l’aggiornamento continui costituiscono infatti le basi per la preparazione e la crescita del personale. A tal proposito, l’Agenzia Europea per la Sicurezza Marittima (EMSA), da molti anni, ha inserito la formazione a distanza, attraverso i cosiddetti Distance Learing Programme (DLP), tra gli strumenti imprescindibili nel quadro della formazione e dell’aggiornamento dei Port State Control Officer.
