Il cyber risk management nel settore dello shipping: normativa e regole per adeguarsi - Cyber Security 360

CYBER SECURITY MARITTIMA

Il cyber risk management nel settore dello shipping: normativa e regole per adeguarsi

Le nuove norme marittime che obbligano le navi ad integrare la valutazione dei rischi cyber nei loro sistemi di safety management, introducono il concetto di cyber risk management nel settore dello shipping: ecco tutti i dettagli e le regole operative per adeguarsi correttamente

05 Gen 2021
C
Giovanni Campanale

Security Manager, Data Protection Officer e Formatore

L’entrata in vigore delle nuove norme IMO (Organizzazione marittima internazionale) che, dallo scorso primo gennaio 2021, obbligano le navi ad avere integrato nei loro sistemi di safety management anche la valutazione dei rischi cyber, rappresenta un punto di svolta per quanto riguarda la sicurezza informatica a bordo delle navi, introducendo il concetto di cyber risk management nel settore dello shipping.

La normativa introduce interessanti novità ed è utile conoscere bene le regole applicative per adeguarsi correttamente, anche imparando dagli importanti attacchi informatici che negli ultimi anni hanno preso di mira proprio il settore della navigazione e delle spedizioni via mare.

Il cyber risk management nel settore dello shipping: il contesto

L’ultimo incidente informatico risale al mese di settembre dello scorso anno, quando la società francese di shipping CMA CGM ha subito un attacco ai propri sistemi IT a mezzo del ransomware Ragnalocker.

L’attacco ha avuto impatto sul sistema di prenotazioni relativo al traffico container ed ancora oggi il servizio di prenotazione principale risulta in fase di riassesto.

Ma dal 2017 ad oggi, tutte le quattro principali compagnie armatoriali di shipping (per TEU movimentati), hanno subito attacchi ai propri sistemi IT, sperimentando gravi danni economici e commerciali. In ordine di tempo le società colpite sono state le seguenti:

  1. AP Moeller Maersk con il ransomware NotPetya nel giugno 2017;
  2. Cosco Shipping Lines nel 2018;
  3. MSC – Mediterranean Shipping Company colpita da un malware nel corso del 2020;
  4. CMA CGM (a cui accennavamo prima) a fine settembre 2020.

Questi attacchi, fino ad ora, hanno colpito i sistemi informativi a terra, ovvero l’infrastruttura di rete riconducibile agli headquarters delle società indicate.

Questo aspetto rileva anche rispetto agli impianti portuali gestiti direttamente o indirettamente dalle società armatoriali, che in alcuni casi possono coincidere con l’intero porto di una città o area metropolitana.

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Non sarà inutile ricordare che alcuni porti, per il tipo di traffico gestito e per il volume delle merci trattate, potrebbero essere individuati quale infrastruttura critica, magari chiamata a costituire il perimetro di sicurezza nazionale cibernetica, con le conseguenze derivanti dalla relativa normativa.

Pertanto, se la necessità di istituire un sistema di gestione della sicurezza delle informazioni trova fondamento per la tutela degli asset “di terra”, allo stesso modo deve trovare una collocazione per la sicurezza delle informazioni e dei sistemi presenti a bordo delle navi costituenti la flotta della società armatrice.

Rispetto quindi alla sicurezza della nave, del suo personale e dell’ambiente, si inseriscono le fonti di diritto e le best practice emanate a seguito delle campagne di attacchi del giugno 2017 e già indicate in precedenti contributi, fino ad arrivare alla circolare sulla Sicurezza della Navigazione – Cyber risk management, serie generale 155/2019 del 13/12/2019 emessa dal Comando Generale del Corpo delle Capitanerie di Porto.

La circolare sul cyber risk management nel settore dello shipping

Il documento riprende a tal fine le seguenti best practice, fondanti il processo di cyber risk management proposto:

  • Risoluzione MSC.428 (98)Maritime Cyber Risk Management in Safety Management Systems” emanata dall’IMO in data 16 giugno 2017. In questo documento, il Maritime Safety Committee riconosce e sottolinea come tutti gli attori del settore marittimo – portuale, siano coinvolti al fine di lavorare insieme verso la salvaguardia dello shipping, dai rischi di tipo cyber attuali e futuri e dalle relative vulnerabilità.
  1. In questo senso, si afferma che la gestione del rischio informatico, deve essere considerata all’interno degli esistenti sistemi di gestione della sicurezza (intesa come safety) delle navi. In particolare, si fa riferimento al Codice ISM (International Management Code for the Safe Operation of Ships and for Pollution Prevention) che introduce uno standard internazionale che orienta ad una gestione e operatività delle navi “safety compliant” e che fa rientrare fra i suoi obiettivi, “…the assessment of all identified risks to ships, personnel and the environment…and the continuous improvement of safety management skills of personnel ashore and aboard ships”. Non solo, la Risoluzione conclude il documento ribadendo che i rischi in ambito cyber devono essere considerati, analizzati e mitigati, all’interno degli esistenti sistemi di gestione della safety (Safety Management System – SMS), non più tardi della data del primo gennaio 2021, in occasione della prima verifica annuale del Documento di Compliance[1] (DoC) della Società armatrice.
  • Circolare 3/MSC – FAL 1Guidelines on Maritime Cyber Risk Management” emanata dall’IMO in data 5 luglio 2017. Il documento presenta una serie di raccomandazioni di carattere generale, rivolte a tutti gli attori del settore marittimo e portuale in tema di cybersecurity. In particolare, il paragrafo 2.1.1. della Circolare individua alcuni sistemi di bordo essenziali, sul piano della safety e della security della navigazione e potenzialmente vulnerabili, a fronte della loro interconnessione alle reti informatiche[2].
  1. La circolare introduce poi la distinzione tra information technology (IT) ed operational technology (OT) systems, focalizzando come, “…the protection of information and data exchange within these systems should also be considered”.
  2. Gli scenari di rischio considerati possono trovare la loro fonte in atti di natura dolosa (es. attaccanti esterni o interni) o colposa (es. imperizia e negligenza nelle attività di mantenimento ed aggiornamento dei sistemi IT o colpa nelle sue declinazioni per le mancanze nella configurazione dei sistemi stessi), i cui effetti possono riguardare la security e la safety della navigazione.
  3. Stante la “fluidità” di questa tipologia di rischi, la Circolare intende orientare l’interprete verso un processo di gestione del rischio (Cyber Risk Management) “tailor made”, ovvero tarato su misura nella singola società di shipping, piuttosto che indicare l’adozione di uno standard tecnico specifico (che rimane in ogni caso una scelta discrezionale dell’Organizzazione).

Rendere resilienti le operazioni connesse allo shipping

L’obiettivo perseguito dal Maritime Cyber Risk Management introdotto dalla circolare indicata è pertanto rendere resilienti le operazioni connesse allo shipping, tutelando gli aspetti connessi alla safety ed alla security delle operazioni ivi eseguite.

Questo obiettivo è raggiungibile mediante l’implementazione di un processo di identificazione, analisi, valutazione, ponderazione e trattamento degli scenari di rischio informatico identificati, nell’ambito di un rapporto costi/benefici sul quale fondare la marginalità di rischio accettato (Cyber Risk Management).

Tale processo per poter esplicare i suoi effetti necessita di essere condiviso anzitutto dal Top Management aziendale in una logica di condivisione top down degli obiettivi e della consapevolezza attesa in ambito cyber security all’interno dell’Organizzazione, a tutti i livelli presenti.

Come detto, i rischi in ambito cyber devono essere considerati, analizzati e mitigati, all’interno degli esistenti sistemi di gestione della safety (Safety Management Systems – SMS), presso i quali sarà possibile individuare le procedure di gestione e trattamento dei rischi informatici.

Questi aspetti dovranno poi essere considerati anche nei piani di security delle navi (Ship Security Plans), i quali dovranno fare riferimento alle procedure di gestione dei rischi informatici, già individuate nel sistema di gestione della sicurezza (Safety Management System – SMS) ex Codice ISM.

Un sistema di gestione del cyber risk per la sicurezza della nave

L’annesso alla Circolare Serie Generale n. 155/2019, ripercorre il processo individuato nel Codice ISM ai fini della valutazione del rischio cyber, nell’ambito delle società di gestione operanti nel settore dello shipping.

In questo senso, l’obiettivo perseguito dal risk assessment posto alla base del risk management framework incluso nel sistema di gestione della sicurezza (SMS), è condiviso con il punto 1 del preambolo ed il punto 1.2. del Codice ISM: “The purpose of this Code is to provide an international standard for the safe management and operation of ships and for pollution prevention”… “The objectives of the Code are to ensure safety at sea, prevention of human injury or loss of life, and avoidance of damage to the environment, in particular to the marine environment and to property…”.

Le fasi del sistema di gestione della safety

Le fasi di adeguamento del sistema di gestione della safety (SMS) ai rischi per la sicurezza informatica, così come indicati nell’annesso, sono i seguenti:

  • Politica (Codice ISM punto 2.1) – La politica dell’Organizzazione dovrà essere modificata con un ampliamento dei propri obiettivi di gestione ISM, mediante con l’inserimento degli aspetti di cybersecurity e le misure necessarie ai fini della sicurezza della nave legata anche ai rischi cyber.
  • Responsabilità (Codice ISM punto 3.2) – L’Organizzazione deve designare, a terra, un Responsabile designato per la Cybersecurity, che possa fornire assistenza al Comandante della nave o delle navi sotituenti la flotta, per l’implementazione dei controlli.
  • Compliance (Codice ISM punto 1.2) – Linee guida e raccomandazioni dell’IMO (punto 4.2. della MSC-FAL.1/Circ.3), dell’Amministrazione e degli Organismi riconosciuti costituiscono una base per la creazione e l’aggiornamento del Cybersecurity Risk Assessment e dell’aggiornamento dell’SMS dell’Organizzazione. Gli aggiornamenti/modifiche al Sistema di gestione della sicurezza (SMS) dovranno essere verificati ai sensi del punto 6 del “Manuale del safety management” ex Circolare Serie Generale 69/2007.
  • Risk assessment (anche solo, RA) (Codice ISM punto 1.2) – Il Risk Assessment dovrà individuare i rischi, le protezioni contro gli attacchi e le responsabilità. Nello sviluppo del RA è necessario considerare i diversi sistemi operativi (Operational Technology System – OT) e quelli informatici (Information Technology System- IT).
  • Risultati del risk assessment – I risultati del RA dovranno essere registrati come processi e le misure adottate dovranno essere rese note all’equipaggio.
  • Comandante della nave (Codice ISM punti 6.1, 6.2) – Il SMS dovrà riportare le procedure indirizzate al Comandante della nave, tenendo conto che l’implementazione delle nuove misure coinvolge tutto il personale di bordo e dell’headquarter a terra.
  • Uffici di supporto – Il Comandante deve ricevere un supporto qualificato da terra al fine di porre in essere le misure e i compiti previsti in materia di cybersecurity. Questo supporto deve almeno prevedere:
  1. come rispondere ad un attacco di cybersecurity;
  2. cosa fare a seguito di un attacco;
  3. come ripristinare i servizi dopo un attacco.
  • Familiarizzazione (Codice ISM punti 6.3, 6.5) – I membri dell’equipaggio ed il personale dell’ufficio devono familiarizzare con le misure di sicurezza informatica. Il SMS dovrà contenere un piano di formazione e descrivere le misure per determinare le esigenze di formazione per i marittimi ed il personale di terra.
  • Emergenza (Codice ISM punti 8.1, 8.2) – L’SMS deve contenere un “cyber security contingency plan” che deve essere messo in pratica attraverso esercitazioni, simulazioni e training. I piani devono almeno includere le misure per rispondere ad un attacco cyber, alle sue conseguenze e le necessarie misure di backup.
  • Rapporti (Codice ISM punti 9.1, 9.2) – Gli incidenti, i mancati incidenti ed altri eventi rilevanti dovranno essere segnalati ai responsabili dell’Organizzaizone utilizzando le procedure previste dal manuale SMS.
  • Manutenzione dei sistemi (Codice ISM punti 10.1, 10.2, 10.3) – Le misure di sicurezza che sono state identificate dal RA come ricorrenti devono essere inserite nel sistema di manutenzione pianificato che monitora e documenta tali misure. (es: aggiornamenti software).
  • Documentazione (Codice ISM punto 11) – Se le misure individuate e i requisiti previsti rientrassero nel campo dei dati sensibili, misure specifiche dovrebbero essere attuate al fine di renderle accessibili solo ad un gruppo limitato di persone a bordo e a terra. (Esempi: diritti di amministratore a bordo e gestione password, gestione backup e ripristino).
  • Verifiche (Codice ISM punto 12.1) – L’implementazione della gestione della sicurezza informatica nel sistema ISM aziendale e il continuo aggiornamento sono monitorati e verificati da audit e revisioni. Gli audit interni devono essere eseguiti a bordo e presso l’ufficio a intervalli non superiori a 12 mesi.
  • Valutazione (Codice ISM punti da 12.2 a 12.7) – L’Organizzazione verifica e valuta regolarmente il sistema di gestione della sicurezza, rispondendo almeno alle seguenti domande:
  1. L’Organizzazione (Bordo e terra) funziona secondo i requisiti SMS?
  2. Le misure dell’SMS sono efficaci?
  3. I revisori interni sono qualificati in sicurezza informatica?
  4. I risultati degli audit sono portati all’attenzione del personale competente?
  5. Le misure correttive e preventive necessarie sono avviate/implementate tempestivamente?
  • Miglioramento continuo – La Company deve tenere conto dei cambiamenti costanti e delle debolezze identificate nel proprio sistema e garantire l’aggiornamento del sistema di valutazione dei rischi e del SMS, avviando così il processo di miglioramento continuo.

NOTE

  1. Il modello del Documento di Conformità (DOC) vigente in ambito nazionale è consultabile a questo indirizzo.
  2. Fra questi a titolo esemplificativo e non esaustivo, “…bridge systems, propulsion and machinery management and power control systems, communication systems…”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5