Cyber risk management per porti e impianti portuali ISPS: regole per la valutazione del rischio - Cyber Security 360

IL RAPPORTO ENISA

Cyber risk management per porti e impianti portuali ISPS: regole per la valutazione del rischio

In assenza di provvedimenti formali in tema di port cyber security, il miglior riferimento per il mondo degli impianti portuali ISPS nell’identificazione e analisi dei rischi informatici è il rapporto Cyber Risk Management for Ports di ENISA. Ecco le fasi per una corretta valutazione del rischio

04 Feb 2021
C
Giovanni Campanale

Security Manager, Data Protection Officer e Formatore

Parlare di cyber risk in ambito marittimo e portuale è necessario al fine di meglio comprendere il trend evolutivo che, dal 2017 ad oggi, ha caratterizzato il settore dello shipping e della portualità su scala globale: a tal riguardo, occorre fare riferimento al report pubblicato da ENISA lo scorso mese di dicembre 2020 dal titolo Cyber Risk Management for Ports[1] e mirato alla gestione del rischio cyber per porti e impianti portuali ISPS.

Il report è importante perché mette in relazione le modalità di valutazione del rischio di port security del Codice ISPS, con le linee guida di ENISA che si riferiscono agli standard di risk assessment più conosciuti, partendo dalle peculiarità del mondo portuale.

In assenza di provvedimenti formali in tema di port cyber security, (come già avvenuto in ambito marittimo e dello shipping) questo report è, allo stato attuale, il miglior riferimento per il mondo degli impianti portuali ISPS nell’identificazione e analisi dei rischi informatici.

Cyber risk management per porti: quale approccio

Già a partire dal 19 dicembre 2011, ENISA nel suo ruolo di Agenzia Europea per la cyber security ha focalizzato la propria attenzione anche al comparto dei trasporti via mare (c.d. shipping), della crocieristica e della portualità. Lo ha fatto nel 2011 con un primo report, dal titolo Cyber Security Aspects in the Maritime Sector e successivamente nel novembre 2019, con il report dal titolo Port Cyber Security – Good practices for cybersecurity in the maritime sector.

quiz
Sistemi legacy, cloud e gestione infrastrutture: sai bilanciare le prestazioni? Rispondi al Quiz
Cloud
Cloud storage

Il nuovo report Cyber Risk Management for Ports è finalizzato a introdurre un approccio di tipo specifico per la valutazione del rischio cyber in ambito portuale, in relazione sia ai sistemi IT che OT e fondato sui principi di base del risk management.

Questo approccio viene redatto in conformità al metodo di valutazione del rischio di security in ambito portuale e marittimo, previsto nel Codice ISPS e conforme, dunque, alle principali normative europee in tema di security dei porti e degli impianti portuali.

I temi affrontati in questo report non si pongono quindi come orientamenti di carattere squisitamente tecnico-informatico, ma di processo, ponendosi pertanto in un rapporto di genere a specie con le metodologie di valutazione del rischio di tipo standard, e già utilizzate nei sistemi di gestione delle Organizzazioni portuali interessate.

Cyber risk management per porti: ambito di applicazione

Vale la pena focalizzare ulteriormente l’ambito di applicazione del report rispetto al mondo portuale; in tal senso, conformemente all’Allegato II della Direttiva (UE) 2016/1148 (di seguito, anche solo, Direttiva NIS), nell’ambito del settore dei trasporti per vie d’acqua, sono idonei ad essere identificati come Operatori di Servizi Essenziali (OES), “gli organi di gestione dei porti quali definiti all’art. 3, punto 1, della Direttiva 2005/65/CE, compresi i relativi impianti portuali quali definiti all’art. 2, punto 11, del Regolamento (CE) n. 725/2004, unitamente ai soggetti che gestiscono opere e attrezzature all’interno dei porti”.

La Direttiva NIS, rispetto agli OES, richiede che questi provvedano all’esecuzione di valutazioni del rischio idonee a proteggere la sicurezza, l’integrità e la resilienza delle reti e dei sistemi informativi, così da promuovere contestualmente una cultura della gestione del rischio all’interno dell’organizzazione.

Rispetto quindi ai soggetti indicati nella Direttiva NIS[2], una metodologia comune di analisi e valutazione dei rischi di security è indicata nel Codice ISPS (così come recepito nel Regolamento (UE) n. 725/2004), dedicato alle navi ed impianti portuali che ricadono nell’ambito di applicazione indicato nella Sezione A/3 del codice.

In questo senso, è previsto che gli impianti portuali che forniscono servizi a navi provenienti da viaggi internazionali, provvedano ad implementare un Port Facility Security Plan, redatto sulla base di un Port Facility Security Assessment.

L’aspetto rilevante del modello di valutazione del rischio proposta dal Codice ISPS, riguarda il fatto che esso si concentra in via principale sui rischi di security di tipo fisico (anche grazie all’individuazione di specifici scenari di minaccia oggetto di valutazione e successivamente di esercitazione ed addestramento), limitandosi in ambito ICT ad una mera individuazione[3] dei “sistemi quali reti di distribuzione elettrica, sistemi di radio e telecomunicazioni, compresi reti e sistemi informatici“ da tutelare, ivi incluse le relative procedure (queste ultime quale parte integrante del PFSP)[4].

La metodologia esplicitata nel Codice ISPS, è inoltre alla base dei requisiti richiesti per lo sviluppo del Port Security Plan, redatto sulla base del Port Security Assessment e relativi all’ambiente porto (così come disciplinato nella Direttiva (UE) 2005/65), quale area che include uno o più impianti portuali ISPS rilevanti ai sensi del Regolamento CE n. 725/2004.

All’interno di questo ambito di analisi, i soggetti interessati sono le persone apicali e relativi gruppi di lavoro, che all’interno dell’organizzazione dei porti (Autorità di Sistema Portuale), degli impianti portuali/operatori terminalistici o degli operatori che svolgono attività nell’ambito portuale, ricoprono il ruolo di Responsabili ICT.

La struttura del report ENISA

Il punto di partenza del report ENISA è la presa d’atto che gli operatori portuali in ambito UE hanno iniziato ad affrontare i rischi informatici all’interno dei loro processi di gestione dei rischi per la sicurezza in modo sempre più sistematico e consapevole.

Tuttavia, la valutazione dei rischi informatici introduce sfide completamente nuove per gli operatori portuali, che spesso mancano di competenze interne specifiche, oltre che di una struttura organizzativa interna adeguata, per la loro corretta valutazione e mitigazione.

Un tema questo tanto più importante, quanto più si considerino le interconnessioni e le interdipendenze esistenti tra i vari servizi ed ecosistemi portuali, e dunque la necessità che tutti gli operatori coinvolti, raggiungano e mantengano dei livelli almeno minimi per la security informatica.

Il report di ENISA affronta dunque il tema del Risk Management relativo ai rischi cyber, attraverso un modello in quattro fasi ispirato ai passaggi descritti nella norma tecnica ISO 31000 e idoneo a fornire linee guida attuabili per la gestione del rischio informatico e dunque applicabili rispetto a qualsiasi metodologia di risk assessment adottata da un operatore portuale.

L’aspetto rilevante del modello proposto riguarda la conformità delle prime tre fasi alla metodologia di risk assessment descritta nel Codice ISPS, come recepito dal Regolamento (UE) n. 725/2004 (per quanto riguarda gli impianti portuali ISPS), nonché dell’Allegato I, della Direttiva 2005/65, per quanto concerne l’ente porto.

La quarta fase introduce infine un modello utile per eseguire autovalutazioni della maturità della cyber security, identificando le priorità per investire risorse utili per strutturare un sistema efficace ed efficiente di gestione del rischio informatico.

Ecco come vengono indicate e sviluppate le fasi appena individuate.

Cyber risk management per porti e impianti portuali ISPS: fase 1

Identificazione degli asset (principali beni ed infrastrutture da proteggere) e dei servizi dell’organizzazione rilevanti in ambito informatico (vedi, Sezione A/15.5.1).

La prima fase riguarda l’identificazione dei principali beni ed infrastrutture da proteggere, in ambito information security, si fa riferimento all’infrastruttura di rete IT ed OT (se presente) e ad i servizi portuali (dipendenti dall’infrastruttura di rete identificata) erogati dall’operatore portuale[5].

Il punto di riferimento, in una fase di maturità avanzata dell’Organizzazione, dovrebbe partire dai servizi erogati dall’operatore portuale, in funzione dell’impatto sul piano operativo e di business che i rischi di cyber security potrebbero avere su di essi.

In una fase iniziale, prosegue il report, gli operatori portuali si concentreranno su un primo livello di esauriente identificazione dei beni interessati. In sintesi, dunque, questa prima fase si struttura come segue:

  1. identificazione delle risorse informatiche (IT/OT) e dei servizi erogati con esse correlati[6];
  2. sviluppo degli indicatori per misurare l’impatto degli incidenti di cybersecurity sulle risorse informatiche coinvolte e sui servizi con esse correlati (es. numero di utenti interessati, impatto economico, impatto ambientale, tempi di recupero);
  3. valutazione dell’impatto sulla Riservatezza, Integrità e Disponibilità (RID) delle risorse informatiche e sui servizi correlati;
  4. identificazione delle dipendenze interne;
  5. identificazione delle dipendenze esterne con le terze parti (partner o vendor).

Cyber risk management per porti e impianti portuali ISPS: fase 2

Identificazione e valutazione dei rischi di security connessi all’ambito informatico (vedi, Sezione A/15.5.2 e 15.5.4).

Questa fase si realizza mediante l’identificazione di possibili minacce ai principali beni (risorse informatiche IT/OT e servizi correlati) e infrastrutture e della probabilità che si verifichi un problema, per la definizione delle misure di sicurezza e la determinazione del loro ordine di priorità; questo unitamente all’identificazione dei punti deboli, fattore umano compreso, delle infrastrutture, politiche e procedure.

Sulle modalità concrete di identificazione valutazione del rischio di security, il Codice ISPS riconosce l’identificazione delle minacce e l’identificazione delle vulnerabilità (punti deboli), come attività essenziali e distinte nell’esecuzione di una valutazione della sicurezza dell’impianto portuale.

Indipendentemente dalla metodologia, o dallo standard utilizzato, i risultati ottenuti in questa fase dovrebbero includere l’identificazione di tutti i rischi rilevanti, che dovrebbero essere accompagnati da un’analisi della loro probabilità (likelihood) e del potenziale impatto, espresso in termini quantitativi o qualitativi[7].

In questo senso, per gli operatori portuali coinvolti, possono rivelarsi utili le seguenti azioni:

  1. contestualizzare il processo di identificazione e valutazione del rischio;
  2. identificare le minacce informatiche (scenari di minaccia);
  3. identificare le vulnerabilità di risorse IT/OT e servizi correlati;
  4. identificare le dipendenze interne ed esterne;
  5. valutare probabilità (likelihood) e l’impatto di un incidente di security informatica;
  6. adottare una metodologia specifica per identificare e valutare i rischi;
  7. sviluppare indicatori (qualitativi o quantitativi) per valutare i rischi identificati.

Cyber risk management per porti e impianti portuali ISPS: fase 3

Identificazione delle misure di security da implementare (vedi, Sezione A/15.5.3).

In questa fase, si realizza l’identificazione, selezione e determinazione dell’ordine di priorità delle contromisure e dei cambiamenti di procedura, e determinazione del loro livello di efficacia nel ridurre le vulnerabilità individuate, riducendo i rischi identificati a livelli accettabili.

Le misure di sicurezza dovrebbero essere adottate seguendo un approccio basato sul rischio che quindi orienti il budget, le risorse e le capacità tecniche verso l’implementazione di quelle misure di security che avranno un impatto sostanziale sulla gestione del rischio informatico dell’organizzazione.

Questa fase, dunque, si basa sulla valutazione dei rischi identificati. Le azioni specifiche che gli operatori portuali possono eseguire in questo senso, includono:

  1. identificare misure di sicurezza per mitigare i rischi identificati;
  2. valutare l’efficacia e l’impatto delle misure di sicurezza in termini di come esse influenzare la valutazione del rischio;
  3. valutare i requisiti di risorse per l’attuazione delle misure di sicurezza
  4. definire un processo per assegnare priorità alle misure di sicurezza.

Il rapporto 2019 dell’ENISA fornisce un elenco completo delle misure di sicurezza di base raggruppate in domini specifici.

Quando si identificano le misure di sicurezza, gli operatori portuali possono fare riferimento alla mappatura nella Tabella 1 per identificare quali misure di sicurezza sono più appropriate per proteggere le risorse identificate contro le minacce riconosciute.

Cyber risk management per porti e impianti portuali ISPS: fase 4

Valutazione del livello di maturità dell’organizzazione sul piano della cyber security.

La fase quattro va oltre l’adozione di misure di sicurezza di base per identificare le aree in cui gli operatori portuali possono migliorare la loro maturità della sicurezza informatica.

Identificare dove le organizzazioni devono migliorare le loro pratiche di sicurezza informatica, determina le priorità nell’allocazione di risorse limitate, così da tradursi in un’azione più efficace. Le misure di sicurezza già considerate, sono quelle proposte nel rapporto ENISA 2019 ed in questa fase, si introducono i maturity levels idonei ad aiutare gli operatori portuali a determinare le priorità nella scelta delle misure di sicurezza e condurre così un’autovalutazione utile a determinare il livello corrente di maturità.

Un approccio basato su un maturity model, si basa sul fatto che un’efficace gestione del rischio informatico non può essere ottenuta attraverso una “mentalità da lista di controllo”, poiché le minacce informatiche rappresentano un rischio persistente ed in continua evoluzione per le operazioni portuali.

Raggiungere e sostenere la resilienza informatica dell’organizzazione, richiede pertanto un’efficace valutazione e gestione del rischio informatico a livello organizzativo.

Il primo passo per un’efficace resilienza informatica è dunque la creazione di una base di riferimento delle capacità di sicurezza informatica a livello di organizzazione, adeguata al rischio effettivo.

Per stabilire una linea di base realistica è necessario quindi che le organizzazioni portuali acquisiscano una sorta di consapevolezza situazionale delle loro attuali capacità di sicurezza informatica e ne identifichino le relative lacune.

NOTE

  1. Lo studio può essere utile per le autorità nazionali competenti che potrebbero così sviluppare una guida per gli operatori portuali, al fine di supportarli nella conduzione della valutazione del rischio informatico o dell’autovalutazione della maturità della sicurezza informatica.
  2. Autorità di Sistema Portuale, Società di gestione degli impianti portuali/operatori terminalistici e le altre entità che operano nei porti (gerenti di opere ed attrezzature all’interno dei porti stessi), compongono assieme agli Enti di Stato presenti nelle zone di frontiera (Polizia di Frontiera, USMAF, Agenzia delle Dogane, Guardia di Finanza), alla Municipalità dove insiste il demanio portuale, alle infrastrutture e mezzi di trasporto pubblici e le altre infrastrutture di servizi essenziali e coinvolte nelle operazioni portuali, rappresentano i gruppi di stakeholders privati e pubblici, che compongono il c.d. Ecosistema Portuale;
  3. At the international level, the ISPS Code was added to the SOLAS Convention 2002 to recognise the role of port facilities in maritime security and define mandatory requirements and recommendations that ships and port facilities must follow. The Chapter XI – 2 SOLAS has been defined to address ports security, but requirements can be related also to ports cybersecurity to some extent (access control and authentication requirements) …The PFSA must address within a port facility, the following aspects: physical security … radio and telecommunication systems, including computer systems and networks and relevant transportation infrastructure…”. Cybersecurity for the maritime ecosystem, in particular for ships, has been only directly addressed at international level since 2017 (MSC – FAL. 1/Circ. 3);
  4. Nonostante il Codice ISPS già contenga al proprio interno concetti e disposizioni di sprono, già attuabili concernenti la valutazione e l’indirizzo del cyber risk management, ad oggi, sia per quanto concerne la realtà nazionale sia internazionale, non sono state emanate disposizioni cogenti in materia”;
  5. “The identification and evaluation of these assets, systems and services is not necessarily constrained to the organisation’s own operational ecosystem. Ports represent complex ecosystems where assets and systems are increasingly integrated and interconnected, resulting in service-based interdependencies and voluminous data exchanges that occur every day … At the same time external third-party stakeholders (partners, vendors) frequently request or maintain continuous access to port IT/OT assets, systems, supporting infrastructure, and data, exponentially increasing the attack surface for potential malicious cyber threat actors … Within the context of this digital environment the port must be able to assess its ability to continue provisioning services in the event an asset, system or service is rendered unavailable as a result of a cyber incident, and also understand the extent to which rapid re-establishment of normal operation is possible”;
  6. Il report 2019 di ENISA, identifica i principali servizi ed infrastrutture portuali e presenta una tassonomia delle risorse portuali. Gli operatori portuali possono utilizzare le tassonomie proposte come base per identificare le loro risorse e servizi principali legati alla valutazione del rischio cyber (Passengers’ Services);
  7. Il rapporto 2019 di ENISA sulla security informatica dei porti identifica le principali minacce alle risorse e ai servizi portuali e propone una tassonomia delle minacce ed elenca anche i principali possibili impatti degli incidenti di sicurezza informatica. Gli operatori portuali possono utilizzare le tassonomie proposte come base per identificare i loro principali rischi informatici.

WEBINAR
16 Settembre 2021 - 11:00
Quanto contano per te User Experience e Device Management? Partecipa al Webinar!
Mobility
Personal Computing
@RIPRODUZIONE RISERVATA

Articolo 1 di 4