Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SISTEMI DI SICUREZZA

Penetration test in porti e impianti portuali ISPS: linee guida per la sicurezza di dati e informazioni

I penetration test sulle infrastrutture ICT di porti e impianti portuali sono utili per verificare e prevenire attacchi informatici al sistema portuale e a tutti i sistemi ad esso collegati. Ecco i progetti di cooperazione internazionale attualmente in essere e le soluzioni per mettere in sicurezza dati e informazioni

15 Nov 2019
C
Giovanni Campanale

Security Manager, Data Protection Officer e Formatore


I penetration test sono strumenti di difesa cyber molto utili per verificare e prevenire eventuali attacchi informatici a sistemi sempre più connessi e interconnessi tra loro come sono ormai i porti e gli impianti portuali.

Penetration test in porti e impianti portuali: lo scenario normativo

Il rapporto fra gli impianti portuali cosiddetti ISPS e la cyber security non può prescindere dalla considerazione del Regolamento (CE) n. 725/2004 che recepisce in ambito comunitario il Capitolo XI-2 della Convenzione SOLAS ed il Codice ISPS (Codice internazionale per la sicurezza delle navi e degli impianti portuali).

Come visto nel corso di un precedente contributo, il Regolamento in oggetto non sembrerebbe fornire disposizioni cogenti circa la valutazione ed il trattamento degli scenari di minaccia cosiddetta cyber nell’ambito dei due principali documenti di gestione, ovvero il Port Facility Security Assessment ed il Port facility Security Plan, relativamente alla sicurezza informatica di dati ed informazioni[1].

Ma se da un lato il Regolamento (CE) n. 725/2004 rappresenta una base generale di riferimento, ancorché prescrittiva in materia di port security, dall’altro l’assenza di specifiche norme cogenti in materia di valutazione del rischio cyber, integrative del Regolamento europeo o del successivo Programma Nazionale di Sicurezza Marittima (PNSM), ha visto la valorizzazione di iniziative indipendenti poste in essere da parte di Enti, Organismi internazionali ed associazioni private, finalizzate a fornire un contributo per il miglioramento del livello di sicurezza delle reti e dei sistemi informativi in ambito portuale e marittimo, sul piano sia nazionale che europeo.

Acceleratore di questa tendenza, oltre ai numerosi casi registrati di attacchi informatici, è l’entrata in vigore di normative dedicate, le quali nel loro rapido susseguirsi, stanno segnando la formazione di un corpus normativo di settore, legato agli scenari di rischio connessi alla cyber security.

In questo senso, si fa riferimento in via principale a:

● Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 06/07/2016 (c.d. Direttiva NIS);

● Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17/04/2019 (c.d. Cybersecurity Act).

Inoltre, nell’ambito della Direttiva 1148/2016, il settore marittimo e portuale ha visto riconfermato il ruolo strategico delle proprie infrastrutture, rispetto alle quali, “…gli obblighi di sicurezza…riguardano tutte le operazioni, compresi i sistemi radio e telecomunicazione, i sistemi informatici e le reti[2].

Ruolo di centralità, questo, già ribadito da ENISA nel suo report dal titolo, Analysis of Cyber Security Aspects in the Maritime Sector, del novembre 2011[3].

Il progetto di cooperazione istituzionale SECNET

Nell’ambito delle iniziative in ambito europeo, assume rilievo il recente progetto “SECNET – Cooperazione istituzionale transfrontaliera per il rafforzamento della security portuale”, co-finanziato dal Programma di Cooperazione Interreg V A Italia – Slovenia 2014-2020[4].

Il programma di cooperazione, in seno al quale nasce SECNET, comprende un’area territoriale che si estende da nord, partendo dal triplice confine Austria – Italia – Slovenia e si dirama verso sud, fino oltre Trieste.

Sul piano specifico delle infrastrutture di trasporto, risultano complessivamente coinvolti i poli portuali di Venezia, Trieste e Koper (Capodistria)[5].

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
IoT
Sicurezza

Il progetto SECNET avviato ad ottobre 2017 e conclusosi nel marzo 2019, si muove nel contesto normativo indicato in premessa e nasce in via principale, con l’obiettivo di:

  • rafforzare la capacità di cooperazione istituzionale fra i porti dell’area di programma;
  • creare le basi per una governance coordinata e permanente di security portuale a livello transfrontaliero;
  • impiegare le più recenti soluzioni digitali ICT;
  • fornire competenze specialistiche comuni a livello transfrontaliero.

Tutto questo, all’interno di un territorio di confine, che porta con sé fattori di rischio specifici sul piano geo-politico, incidenti sulla sicurezza dei diversi porti e di conseguenza, sulla loro competitività[6].

Gli obiettivi sopra indicati, sono stati perseguiti mediante un approccio di analisi preliminare dello stato di fatto, che caratterizza i porti del Progetto e che verte sui seguenti aspetti:

  • sicurezza di dati ed informazioni (o cyber security);
  • sicurezza perimetrale (nell’ambito della sicurezza fisica);
  • best practice in uso nei sistemi ICT utilizzati per la security portuale.

Sulla base di questo studio è stato redatto successivamente un piano di azione transfrontaliero, testato ed implementato mediante specifiche azioni pilota, idonee a migliorare i sistemi di protezione perimetrale (sul piano fisico) e della cyber security, sul piano ICT.

Sicurezza dei dati e delle informazioni

Per quanto di interesse, la sicurezza informatica in ambito portuale incontra le seguenti aree critiche, così come evidenziate nel report di ENISA del 2011, ovvero:

  • scarsa consapevolezza/attenzione verso la sicurezza informatica marittima che si traduce in una inadeguata preparazione a fronteggiare rischi informatici;
  • complessità dei sistemi ICT nel contesto marittimo che includono anche elementi molto specifici, rispetto ai quali il rapido sviluppo tecnologico complessivo, ha in alcuni casi ridotto l’attenzione sulle vulnerabilità connesse ai mancati aggiornamenti. Inoltre, è stato notato che non esiste una standardizzazione delle buone pratiche per garantire un’adeguata protezione dei sistemi ICT. Le linee guida in materia di sicurezza sono spesso riferite solo a misure di base e non trovano corrispondenza nella complessità degli strumenti ICT o non coprono tutta la tecnologia pertinente;
  • frammentazione delle autorità marittime: esistono diversi livelli di governance nel settore marittimo rispetto ai temi di sicurezza informatica e rischi connessi. La mancanza di un coordinamento tra queste organizzazioni e quelle esistenti a livello europeo e nazionale comporta disarmonia nell’affrontare la sicurezza marittima;
  • bassa considerazione della sicurezza informatica nella regolamentazione marittima: l’attuale contesto normativo pone molta attenzione verso la sicurezza (safety) e la sicurezza fisica (physical security) delle aree portuali, ma tralascia quasi del tutto l’aspetto della sicurezza informatica e della prevenzione di possibili attacchi informatici tramite atti illeciti;
  • assenza di un approccio unitario verso i rischi informatici: le autorità marittime stanno gestendo la sicurezza informatica considerando solo una parte dei rischi effettivi, trascurando tutti gli aspetti rilevanti della protezione dell’infrastruttura marittima critica, per l’identificazione delle misure necessarie a prevenire e gestire, tutte le tipologie di incidenti informatici;
  • carenza di incentivi economici per la realizzazione della sicurezza informatica;
  • necessità di iniziative volte alla collaborazione, allo scambio di informazioni e alla condivisione di esperienze tra gli attori interessati. Si segnalano poche e scarse iniziative collaborative di settore.

Questi aspetti hanno rappresentato il punto di partenza, rispetto al quale considerare un piano di azione transfrontaliero di rafforzamento della security portuale, mediante l’utilizzo di soluzioni ICT e procedure dedicate, da introdurre mediante singole azioni pilota, assegnate ai porti coinvolti.

Le azioni pilota di cyber security

Le azioni pilota di cyber security hanno interessato i porti di Koper e Trieste, rispettivamente per l’esecuzione di:

  • penetration test[7];
  • piattaforma unica di gestione dati[8];
  • azioni di GDPR compliance[9].

L’azione pilota di penetration test implementata presso il Porto di Luka Koper è stata finalizzata a verificare e successivamente prevenire attacchi informatici al sistema portuale ed a tutti i sistemi ad esso collegati, verificandone le vulnerabilità ed aggiornandone il database.

In particolare, sono stati eseguiti i seguenti test:

  • controllo di sicurezza secondo il principio della scatola nera, in cui vengono inclusi i controlli sulle possibilità di accesso non autorizzato ai dati e loro modifica;
  • verifica dell’adeguatezza della conservazione dei dati presso postazioni di lavoro locali, per evitare ulteriori abusi del sistema;
  • assunzione dell’identità degli utenti esistenti nel sistema;
  • modifiche dei privilegi degli utenti;
  • valutazione delle funzionalità;
  • controlli di sicurezza dell’OS dei server con l’applicazione MS Windows Server;
  • previsione di un nuovo test per la verifica di completamento delle azioni correttive individuate a seguito del test inziale.

I test di penetrazione nei sistemi ICT dei porti

Il test di penetrazione implementato nel Porto di Koper (ed in particolare la previsione di un test di verifica successivo), può ragionevolmente considerarsi un’eccezione, nel quadro complessivo della protezione dei sistemi portuali ICT oggetto di analisi nel progetto SECNET[10].

Questo aspetto critico, emerso grazie allo studio indicato, potrebbe rappresentare un’opportunità, qualora inserito nel quadro delle esercitazioni periodiche previste ai sensi della Sezione A/18.3. e del Paragrafo 18.4[11] e ss. Parte B del Codice ISPS (rispettivamente, Allegati II e III del Regolamento (CE) n. 725/2004).

In questo senso, il Paragrafo 18.5. Parte B, in tema di esercitazioni (c.d. Drills), precisa che, “Per garantire un’efficace applicazione delle disposizioni del piano di sicurezza (intesa come security) dell’impianto portuale, è necessario effettuare esercitazioni almeno una volta ogni tre mesiL’esercitazione deve servire a mettere alla prova i singoli elementi del piano di sicurezza, in particolare quelli relativi alle minacce per la sicurezza elencate al paragrafo 15.11”.

Oggetto delle esercitazioni trimestrali rese obbligatorie in capo a PFSO ed Autorità di Sicurezza del Porto[12], sono quindi gli scenari di minaccia codificati (originariamente al fine della valutazione di sicurezza dell’impianto portuale) nel Paragrafo 15.11 e inerenti agli scenari di rischio tipici, riferibili alla sicurezza (security) fisica.

In particolare, nella sua ampiezza assume rilievo lo scenario di rischio 4 (Paragrafo 15.11.4.), laddove contempla l’ipotesi di “Accesso (nell’impianto portuale) o utilizzo non autorizzato, compresa la presenza di clandestini”.

È evidente che lo scenario indicato si riferisce alle ipotesi di ingresso materiale o fisico nell’impianto portuale, da parte di soggetti e mezzi non aventi titolo autorizzativo, o che si trattengano in esso contro la volontà dei responsabili dell’impianto, ma questo aspetto, potrebbe rilevare anche sul piano della sicurezza cyber.

Ora, si consideri che ogni PFSP nella sua struttura, deve contenere almeno le voci di cui alla Sezione A/16.3, ed in particolare il punto 2, indicando “misure per impedire l’accesso non autorizzato nell’impianto portuale…e nelle aree riservate dell’impianto stesso”.

In particolare, le zone ad accesso ristretto dell’impianto portuale, ai sensi del Paragrafo 16.25. e ss., possono comprendere i luoghi nei quali sono conservate informazioni sensibili sotto il profilo della sicurezza, nonché i luoghi nei quali vi sono impianti di radio e telecomunicazioni[13] ed altri servizi collettivi.

Le zone ad accesso ristretto oggetto delle misure di sicurezza disciplinanti l’accesso regolamentato, possono quindi ricomprendere, ad esempio, i luoghi dove sono conservati i server che compongono l’infrastruttura di rete ed in particolare, il server web, eventuali server dedicati ad erogare servizi specifici per operatori professionali e privati, server di backup ed ogni altro elemento periferico, servente l’infrastruttura di rete oggetto di tutela.

Tali elementi si inseriscono dunque a pieno titolo nell’organizzazione del dispositivo di security, così da dover essere correttamente identificati nel PFSP quali infrastrutture da proteggere, con l’indicazione delle relative contromisure. Il tutto previa valutazione degli scenari di rischio specifici nell’ambito del PFSA[14].

Da iniziativa pilota a esercitazione periodica ISPS

Poste tali premesse, la tutela dell’infrastruttura di rete di un impianto portuale ISPS, oltre che dover essere oggetto di procedure di sicurezza che tutelino i beni sul piano fisico, contro manomissioni o sabotaggi ed agenti direttamente sull’hardware del sistema, dovrà essere oggetto altresì di procedure di reazione[15], connesse agli scenari di accesso abusivo (es. accesso non autorizzato) al sistema informatico per via telematica.

In questo senso, si fa riferimento a livello normativo all’Art. 615 ter. del Codice Penale, titolato Accesso abusivo ad un sistema informatico o telematico, il quale punisce la condotta di chi abusivamente, si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Il presente articolo, collocato a livello sistematico nella Sezione IV del Codice – Dei delitti contro la inviolabilità del domicilio, introduce il concetto del c.d. domicilio informatico, qui inteso quale bene giuridico tutelato ed individuato, “…quale spazio ideale in cui sono contenuti i dati informatici di pertinenza della persona ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto”, così tracciando un parallelo con il domicilio reale[16].

Questo percorso di analisi, nelle more di specifiche integrazioni della normativa, potrebbe consentire ai PFSO degli impianti portuali, la calendarizzazione nell’ambito delle esercitazioni trimestrali (drills), di un penetration test sui propri sistemi ICT, da ripetere nel trimestre dell’anno successivo. In questo modo, ciò che nasce come un’azione pilota posta in essere solo da alcuni porti virtuosi, potrebbe consolidarsi come uno scenario di esercitazione peculiare e ripetibile nel tempo.

L’iniziativa ipotizzata potrebbe inoltre rappresentare un’utile opzione al fine di ridurre il rischio di ricorrere a scenari molto spesso ripetitivi e/o non sufficientemente realistici, così come evidenziato dalla recente attività ispettiva posta in essere dal Comando Generale delle Capitanerie di Porto, nei porti e negli impianti portuali nazionali[17].

Infine, includere i test di penetrazione nei drills trimestrali, significherebbe la creazione di nuove sinergie con le funzioni ICT aziendali, contribuendo allo sviluppo di un gruppo interno capace di sviluppare e migliorare congiuntamente, prassi e misure di prevenzione idonee ad essere incluse nel Port Facility Security Plan vigente.

NOTE

  1. Vedi, Comando Generale delle Capitanerie di Porto, Circolare Titolo Security n. 40 del 29/03/2018, Maritime cyber risk management.
  2. Vedi, Considerando 10, Direttiva (UE) 2016/1148 del 6/07/2016.
  3. Pubblicazione ENISA: “The European economy is therefore critically dependent upon the maritime movement of cargo and passengers. On the other hand, the maritime activity increasingly relies on Information Communication and Technology (ICT) to optimize its operations, like in all other sectors. ICT is used to enable essential maritime operations, from navigation to propulsion, from freight management to traffic control communications, etc”.
  4. Il Programma di Cooperazione approvato dalla Commissione Europea con decisione C (2017)6247 del 14/09/2017.
  5. Nella parte italiana dell’area del Programma, i porti di Venezia (2.000.000 m²) e Trieste (1.725.000 m²) possiedono le maggiori superfici dedicate allo stoccaggio merci. Oltre a questo, in particolare per il porto di Venezia, c’è da considerare il notevole aumento del traffico crociere, che senza dubbio è capace di stimolare le attività turistiche dei porti considerati. Il porto di Koper è uno dei principali centri logistici e di distribuzione e svolge un ruolo da leader, detenendo dal 2010 la maggiore quota di mercato dell’Alto Adriatico.
  6. Questo aspetto assume rilievo perché misure aggiuntive e non coordinate di security, spesso si traducono in una più lenta gestione delle operazioni portuali e quindi in una minore attrattività dei porti.
  7. Secondo ENISA, “Penetration testing is the assessment of the security of a system against different types of attacks performed by an authorised security expert. The tester attempts to identify and exploit the system’s vulnerabilities. The difference between a penetration test and an actual attack is that the former is done by a tester who has permission to assess the security of the system and expose its security weaknesses. In addition the tester is given certain boundaries to operate and perform this task”.
  8. Per quanto concerne il Porto di Trieste una prima azione pilota riguarda l’implementazione di una consolle di gestione dei dati provenienti da due distinti sistemi informatici, i quali sono congiuntamente in grado di offrire un elevato e complesso set di dati, il cui studio permetterebbe di massimizzare il controllo delle presenze in porto, anche nell’ottica di un supporto alle decisioni gestionali e di trattamento delle emergenze.
  9. La seconda azione pilota posta in capo ad ADSP MAO di Trieste è stata focalizzata sui servizi di c.d. Security & Compliance Consulting ed in particolare è orientata ad assicurare l’adeguamento dell’infrastruttura IT del Porto di Trieste rispetto alle previsioni di cui a: Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (c.d. GDPR); D. Lgs. n. 196/2003 (c.d. Codice della Privacy), in particolare per quanto riguarda la direttiva sul monitoraggio degli accessi degli amministratori di sistema. Grazie al progetto SECNET è stato quindi redatto un importante documento di assessment, la ‘’Valutazione di Sicurezza del Porto di Trieste – Cyber Risk Management’’, che ricostruisce lo stato di fatto del Porto di Trieste. Questo elaborato è stato utilizzato anche dal Data Protection Officer (DPO) dell’ADSP MAO per le fasi propedeutiche all’applicazione del GDPR di recente entrato in vigore.
  10. Vedi, Allegato 6.1., Studio delle best practices nei sistemi ICT utilizzati per la security portuale, pagg. 38 e ss. Come evidenziato, la maggior parte dei porti intervistati si è dotata di un piano di sicurezza cibernetica, accessibile a tutti i dipendenti e regolamenta le responsabilità e gli obblighi dei singoli. Nei porti di Valencia, Varna, Burgas e Capodistria sono state introdotte anche procedure comportamentali in caso di incidenti cibernetici, che comprendono il riconoscimento dei tentativi di intrusione nel sistema e la trasmissione di allarme al team di reazione. Solo due porti (Capodistria e Burgas) analizzano gli attacchi in modo sistematico. I dati raccolti indicano che nemmeno la metà dei porti intervistati svolge regolarmente una valutazione dei rischi per la sicurezza cibernetica. Solo pochi porti includono i fornitori di software e hardware nella valutazione della sicurezza. I test di intrusione al sistema (penetration test) vengono svolti regolarmente solo nei due porti spagnoli, a Varna ed a Capodistria.
  11. Vedi, Par. 18.4, “Le esercitazioni e gli addestramenti mirano a garantire che il personale dell’impianto portuale sia in grado di svolgere i compiti di sicurezza affidatigli a tutti i livelli di sicurezza e di individuare eventuali lacune del sistema di sicurezza alle quali occorre ovviare”.
  12. Vedi, Art. 8, Comma 6 del D.Lgs. n. 203/2007.
  13. Rilevante l’estensione degli obblighi di sicurezza a tutte le operazioni, compresi i sistemi radio e telecomunicazione, i sistemi informatici e le reti, per i porti e gli impianti portuali. Vedi Considerando 10, Direttiva (UE) 2016/1148 (c.d. Direttiva NIS).
  14. Vedi Sezione A/15.5, Codice ISPS e Circolare Titolo Security n. 40 del 29/03/2018.
  15. La cui realizzazione è posta in capo in via principale al personale ICT ed in via di eventuale supporto, al personale dell’ufficio del PFSO se presente.
  16. Vedi, Cassazione Penale sez. un. N. 17325 del 26/03/2015. Inoltre, la fattispecie di cui all’art. 615 ter, prevede un’ipotesi aggravante qualora le condotte delittuose vengano poste in essere a danno di sistemi informatici di interesse pubblico (comma III). Questo assume rilievo anche rispetto alla definizione di “Operatore di Servizi essenziali”, di cui alla Direttiva NIS.
  17. Vedi, Comando Generale delle Capitanerie di Porto, Circolare Titolo Security n. 25, var. 1 del 03/07/2019.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5