Le innovazioni nel campo della robotica e dell’automazione, dell’intelligenza artificiale e delle tecnologie della comunicazione stanno comportando una rivoluzione in tutti i settori industriali, anche nel settore marittimo e portuale in cui la cyber security riveste un ruolo sempre più di primaria importanza.
I processi di innovazione in atto espongono tuttavia gli impianti portuali e il settore navale a maggiori rischi cyber. L’uso di strumentazioni digitali richiede un’adeguata prevenzione dagli attacchi cyber per non compromettere il livello di sicurezza di settori strategici e sensibili quali la logistica e la navigazione.
Per mitigare le potenziali conseguenze commerciali in caso di incidenti informatici, un gruppo di associazioni marittime internazionali che rappresentano gli armatori, con il supporto di una vasta gamma di parti interessate, ha partecipato allo sviluppo di alcune linee guida, progettate per aiutare le aziende nel formulare i propri approcci per la gestione del rischio informatico a bordo delle navi.
Nei prossimi anni, porti e operatori del settore (compagnie di navigazione, armatori, operatori logistici, terminal, caricatori e autorità di controllo) baseranno particolarmente la propria affidabilità sulla capacità di resistenza agli attacchi cyber.
Indice degli argomenti
Evoluzione tecnologica alla base del crescente trend di attacchi cyber
Le navi utilizzano sempre più sistemi che si basano su tecniche di digitalizzazione, integrazione e automazione, le quali richiedono pertanto una corretta gestione del rischio informatico a bordo. Inoltre, le navi stanno diventando sempre più integrate con le operazioni lato terra, perché la comunicazione digitale viene utilizzata per mantenere il contatto con la sede centrale.
Sebbene la cyber security sia un tema ben maturo in certi settori, come quello bancario e finanziario, l’introduzione della sua gestione nel mondo industriale incontra maggiori difficoltà, legate alla presenza contemporanea di due tecnologie – l’information tecnology (IT) e l’operation technology (OT) – che, facendo uso di dispositivi e reti, aventi requisiti molto simili, convergono sempre di più verso le stesse soluzioni tecniche.
La necessità di utilizzare dei dispositivi dalle caratteristiche simili ha portato l’industria e, di conseguenza, anche il settore marittimo, ad affidare parte dei suoi processi alle tecnologie informatiche disponibili sul mercato, per disporne in maniera remota, talvolta anche utilizzando il modello Internet of Things (IoT). Questo comporta un maggior rischio di accesso non autorizzato o di attacchi dannosi ai sistemi e alle reti delle navi.
A riprova della rilevanza del fenomeno, nel 2016 il Parlamento Europeo ha adottato la cosiddetta Direttiva NIS (Network and Information Security), recepita in Italia dal D.lgs. n. 65/2018, che impone agli Stati Membri di identificare i cosiddetti Operatori di Servizi Essenziali (OSE), tra cui rientrano gli organi di gestione dei porti, le compagnie di navigazione ed i gestori di servizi di assistenza al traffico marittimo.
A tali soggetti è stato imposto l’obbligo di informare degli attacchi hacker il Computer Security Incident Response Team, apposito organo di ricezione delle notifiche di incidenti informatici, sotto pena di sanzioni amministrative pecuniarie.
Giova sottolineare come i rischi possano verificarsi tanto sui sistemi di bordo, quanto al di fuori di essi. I sistemi di comunicazione satellitare e, quando vicino alla costa, le reti 4G e 5G consentono infatti di accedere alle reti e ai dati di bordo.
Anche sistemi apparentemente isolati, con connettività disabilitata, sono esposti alle vulnerabilità tipiche del “cyber environment”, come ad esempio un malware introdotto attraverso un supporto rimovibile o un altro dispositivo di data storage connesso per caricare/scaricare dati dalla rete di un sistema critico.
Evidentemente, sistemi stand-alone sono meno vulnerabili agli attacchi informatici esterni rispetto a quelli collegati a reti non controllate o direttamente a Internet.
La vulnerabilità dei sistemi di bordo
Alla stregua di quanto sta accadendo in altri settori industriali, anche nel settore marittimo le accresciute esigenze di connettività in tempo reale, volte a fornire informazioni all’occorrenza per ottimizzare le operazioni marittime e l’esperienza e soddisfazione del cliente, sta aumentando la superficie di attacco cyber, rendendo questi attacchi potenzialmente più letali.
Tra i sistemi informatici più delicati e vulnerabili a bordo delle navi vanno considerati i sistemi di gestione del carico, che controllano carico e scarico delle merci e che si interfacciano con porti e terminal, i sistemi di navigazione, fra i quali l’ECIDIS (Electronic Chart Display and Information System), il GNSS (global navigation satellite system), i sistemi VDR (voyage data recorder) e i radar. Altrettanto sensibili sono i sistemi di gestione della propulsione, i sistemi di controllo degli accessi, di sorveglianza a bordo, i tablet utilizzati dal personale di bordo, i sistemi di comunicazione.
Tutti questi sistemi critici per la sicurezza della navigazione e per la gestione della potenza e del carico sono diventati sempre più digitalizzati e connessi ad Internet, in quanto svolgono un’ampia gamma di funzioni indispensabili, fra cui il monitoraggio delle prestazioni del motore, la manutenzione e gestione delle parti di ricambio, le operazioni di carico e scarico, la gestione della pompa, la pianificazione dello stivaggio e il monitoraggio delle prestazioni di viaggio.
Questi sistemi critici di bordo sono tutti composti da dispositivi potenzialmente vulnerabili e possono fornire un elevato numero di dati, di forte interesse per gli attaccanti cyber. Le moderne tecnologie possono quindi aggiungere molteplici vulnerabilità alle navi.
Spesso la vulnerabilità di tali sistemi è causata dall’utilizzo di sistemi operativi obsoleti, dall’assenza di software antivirus, dall’inadeguatezza e dall’inefficienza della gestione dei sistemi informatici e di controllo degli accessi agli stessi. Ad esempio, permettere l’accesso ai sistemi di bordo con strumentazioni informatiche non aziendali consente di avere notevoli risparmi sulle attrezzature, ma comporta un aggravarsi del rischio sul controllo degli accessi.
Anche i «wearable devices» o dispositivi indossabili, interagendo con sistemi connessi da remoto, introducono numerosi vettori di attacco e conseguentemente nuove vulnerabilità e un maggior numero di rischi legati al loro utilizzo.
È chiaro quindi come l’adozione di misure atte a garantire la sicurezza degli operatori e delle informazioni da essi gestite per mezzo dei sistemi di bordo sia un tema preminente anche nel settore marittimo.
Nello specifico, i sistemi di bordo più critici includono:
- sistemi di gestione del carico: sono i sistemi digitali utilizzati per il carico, la gestione e il controllo delle merci, comprese le merci pericolose. Possono interfacciarsi con una varietà di sistemi a terra, compresi porti e terminali marittimi. Interfacce di questo tipo rendono i sistemi di gestione del carico vulnerabili agli attacchi informatici;
- sistemi di gestione e controllo della propulsione e dei macchinari: la vulnerabilità di questi sistemi può aumentare quando il monitoraggio avviene da remoto o se integrati con apparecchiature di navigazione e di comunicazione delle navi che utilizzano sistemi integrati ponte;
- sistemi di controllo degli accessi: sistemi di sorveglianza, allarme di sicurezza a bordo e sistemi elettronici di rilevazione del personale a bordo;
- sistemi di assistenza e gestione dei passeggeri: i sistemi digitali utilizzati per l’imbarco e il controllo degli accessi possono contenere preziosi dati, relativi ai passeggeri;
- sistemi amministrativi e di welfare dell’equipaggio: le reti informatiche di bordo utilizzate per l’amministrazione della nave o il benessere dell’equipaggio sono particolarmente vulnerabili quando forniscono accesso a Internet e posta elettronica. Questo aspetto può essere sfruttato da malintenzionati informatici per ottenere l’accesso ai sistemi di bordo e ai dati. Le reti fisse o wireless connesse a Internet, installate a bordo a beneficio dei passeggeri, come ad esempio i sistemi di intrattenimento per gli ospiti, non devono essere collegate a nessun sistema critico per la sicurezza a bordo. Anche i software forniti dalle società di gestione della nave sono inclusi in questa categoria.
Cyber security nel settore marittimo: linee guida
Nel 2017, l’Organizzazione marittima internazionale (IMO) ha adottato la risoluzione MSC.428 (98) sui servizi di Cyber Risk Management in Safety Management System (SMS). La risoluzione afferma che un sistema SMS deve prendere in considerazione la gestione dei rischi informatici in conformità con gli obiettivi ed i requisiti funzionali del codice ISM (International Safety Management).
Accanto alle iniziative dell’IMO, appena citate, anche la più grande delle associazioni marittime internazionali che rappresentano gli armatori, il Baltic and International Maritime Council (BIMCO), nel luglio del 2019, ha offerto il suo contributo al riguardo, aggiornando e pubblicando il documento “The Guidelines on Cyber Security Onboard Ships”, che riporta utili linee guida atte ad assistere gli armatori e gli operatori a bordo delle navi, nel fronteggiare i rischi di carattere cyber.
Le linee guida di BIMCO (Baltic and International Maritime Council) richiamano e sviluppano il contenuto della risoluzione IMO in materia di cyber security, identificando i principali rischi, vulnerabilità e minacce cyber a bordo delle navi e fornendo un approccio basato sul rischio per rispondere alle minacce informatiche.
Anche l’Istituto Nazionale di Standard e Tecnologia (NIST) degli Stati Uniti è stato preso in considerazione per lo sviluppo di queste linee guida. Come è noto, il framework NIST assiste le aziende nelle loro valutazioni del rischio cyber aiutandole a comprendere, gestire ed esprimere le potenziali minacce cyber, sia interne che esterne all’azienda.
Come risultato di questa valutazione, viene sviluppato un “profilo”, che può aiutare a dare priorità alle azioni di remediation per la riduzione dei rischi informatici.
Le linee guida di BIMCO definiscono la cyber security a bordo delle navi come:
- protezione dell’IT – Information Technology, ossia i sistemi per il calcolo computazionale e per la gestione dei dati;
- protezione dell’OT – Operation Technology, ossia i sistemi utilizzati per monitorare eventi e processi fisici; i sistemi di controllo OT interagiscono direttamente con il mondo reale (sistemi di gestione del carico e del personale a bordo), ragion per cui i rischi cyber, nel settore marittimo, possono essere rilevanti sul fronte OT.
Di conseguenza, è fondamentale incrementare la cyber security di entrambe le tipologie di sistemi, specie con riferimento agli scambi di dati tra di essi. I rischi possono essere infatti derivati dall’integrazione di IT e OT, nonché da protezioni informatiche non aggiornate.
Le guidelines IMO pongono l’attenzione sulla gestione dei rischi, che devono essere oggetto di specifici piani e procedure operative da inserire nel sistema SMS (Safety Management System previsto dal ISM Code) per consentire al personale di bordo e di terra di affrontare adeguatamente eventuali incidenti cyber.
Vengono inoltre identificati i potenziali autori di attacchi cyber, ciascuno mosso da un’aspettativa di guadagno, o da motivazioni varie quali spionaggio industriale e diffusione di dati sensibili della società a scopi politici.
Infine, IMO ha identificato le varie fasi dell’attacco, che vanno dallo studio della vittima, all’invio/consegna dello strumento utilizzato, all’attacco vero e proprio, fino al cosiddetto pivoting, il principio per il quale l’attacco informatico viene condotto contro i sistemi più vulnerabili, ma, una volta riuscito l’accesso a questi, anche tutti gli altri sistemi diventano potenzialmente vulnerabili dall’interno.
Le linee guida di BIMCO riprendono il contributo di IMO e forniscono un utilissimo sistema di valutazione e gestione degli attacchi, che include la classificazione del rischio (impatto potenziale basso/medio/alto), nonché la sua gestione e valutazione.
Viene incoraggiata inoltre la formazione sul rischio cyber, sia del personale di bordo (inclusi comandanti e ufficiali) che di quello a terra, e che dovrebbe ricomprendere informazioni sul rischio nell’utilizzo di internet, delle e-mail, dei dispositivi di bordo, dell’aggiornamento del software, della tutela delle password, delle procedure di gestione degli attacchi.
Ciò richiede anche una comprensione di tutti i sistemi di bordo basati su computer e di come la sicurezza può essere compromessa da un incidente informatico.
Un altro aspetto legato alla prevenzione degli incidenti di sicurezza considerato da BIMCO riguarda i fornitori esterni.
I servizi erogati dalle aziende sono infatti sempre più integrati all’interno di processi produttivi, sempre più complessi e geograficamente distribuiti, in cui i rapporti e lo scambio di informazioni con le terze parti diventano imprescindibili per il raggiungimento dei risultati attesi e la creazione di valore.
La sicurezza di un’azienda dipende quindi dalla sicurezza dell’intera catena del valore. I fornitori meno strutturati, inoltre, costituiscono sempre più spesso il punto di ingresso per gli attaccanti, da cui partire per poi colpire anche le aziende più mature.
Pertanto, la gestione del rischio cyber deve essere considerata anche in relazione ai soggetti terzi, come ad esempio l’eventuale noleggiatore, con il quale si suggerisce di stipulare una specifica clausola di gestione del rischio informatico, nonché nel rapporto tra shipowner e agente, essendo quest’ultimo il soggetto che con maggior frequenza si interfaccia con armatori, operatori logistici, terminal, caricatori e autorità di controllo, spesso scambiando informazioni rilevanti di natura tecnica e finanziaria, l’accesso illegittimo alle quali, perpetrato tramite ransomware, ha già bloccato, in passato, l’operatività di un’intera flotta per diverse ore o giorni: è evidente pertanto la necessità di armonizzazione dei principi e delle procedure di cyber security fra tutti i vari attori della filiera.
La gestione delle relazioni con i produttori e i terzi, inclusi appaltatori e fornitori di servizi, richiede quindi specifiche procedure relative alla gestione del rischio informatico del produttore e del fornitore di servizi: tali società potrebbero non disporre di un’adeguata formazione in merito alla governance del rischio informatico e ciò potrebbe rappresentare un’ulteriore causa di vulnerabilità, che potrebbe tradursi in incidenti informatici.
Queste aziende dovrebbero avere una politica aziendale di gestione del rischio informatico aggiornata, con delle procedure di formazione e di governance accessibili all’IT.
L’armatore dovrebbe cercare di ottenere una garanzia di gestione del rischio informatico quando prende in considerazione la possibilità di contratti e servizi futuri. Ciò è particolarmente importante se la nave deve essere interfacciata con terze parti, come società di terminali o stivaggio marino.
Le Linee Guida BIMCO riportano anche le vulnerabilità informatiche principali che possono essere rilevate a bordo delle navi:
- sistemi operativi obsoleti e non supportati;
- software antivirus obsoleto o mancante;
- configurazioni di sicurezza inadeguate, ivi inclusi un’inefficace gestione ed utilizzo di account e password di amministratore predefiniti;
- reti informatiche di bordo che mancano di misure di protezione dei confini e segmentazione delle reti;
- apparecchiature o sistemi critici per la sicurezza sempre connessi con la costa;
- controlli inadeguati di accesso a terzi, inclusi appaltatori e fornitori di servizi.
Un passaggio chiave sono le comunicazioni tra le navi e la terraferma. È qui che gli hacker hanno più probabilità di attaccare. Pertanto, risulta fondamentale prestare attenzione per capire quanto sia critica la circostanza in cui i sistemi di bordo siano collegati o meno a reti non controllate.
Nel fare questa analisi, anche l’elemento umano deve essere preso in considerazione, dal momento che molti incidenti sono originati dalle azioni del personale.
Tra le raccomandazioni e le procedure da seguire disposte delle Linee guida in caso di attacco cyber alle navi, se ne rilevano due di particolare importanza.
Innanzitutto, quella di inserire nel Sistema di gestione della sicurezza (SMS) anche i rischi cyber. A questo proposito, è necessario studiare misure ad hoc per ogni singola nave, anche all’interno della flotta.
Inoltre, considerando che la gestione delle operazioni di ripristino, in caso di incidenti di carattere informatico, avviene prevalentemente da remoto, si suggerisce di creare un team di esperti, sia a bordo delle navi che a terra, al fine di velocizzare il ripristino dei sistemi in caso di attacchi, e riprendere la normale operatività.
Cyber security nel settore marittimo: le sfide
Da quanto detto finora emerge quanto risultino necessarie skills trasversali per la gestione della cyber security nel settore marittimo.
In Italia, l’industria dell’automazione costituisce un’eccellenza nella fornitura di prodotti al settore marittimo. Non a caso, la cantieristica delle navi da crociera e degli yacht vantano un know-how unico al mondo e si avvantaggiano dell’indotto industriale italiano, che da sempre cura la ricerca di nuove tecnologie e ne sviluppa altre provenienti da settori industriali diversi.
Sistemi di monitoraggio e controllo e sistemi di sicurezza sono al centro delle tecnologie che caratterizzeranno il futuro prossimo dell’industria cantieristica navale.
Gli sviluppi nei campi del big data analytics, delle telecomunicazioni, dell’interazione uomo-macchina, dell’intelligenza artificiale e del machine learning, nonché l’uso di energie sostenibili costituiscono i driver del prossimo futuro, in quanto sono strumenti utili per la riduzioni dei costi, l’ottimizzazione dei processi, l’aumento della sicurezza nella navigazione e nella gestione delle operazioni marittime, e per la riduzione delle emissioni in un’ottica di sostenibilità.
Queste tecnologie e strumentazioni connesse portano in dote con sé nuovi rischi e di conseguenza la necessità di effettuare costantemente dei risk assessment.
Tra i vari rischi, il rischio cyber ha rappresentato una novità che ha colto impreparati gli attori e gli enti normatori e certificatori che operano nel mondo marittimo. I sistemi di navigazione, di controllo della propulsione, di gestione del carico sui mercantili e dei passeggeri sulle navi da crociera ma anche quelli di controllo e sicurezza delle operazioni offshore, necessitano tutti di essere inclusi in un programma di gestione dei rischi cyber che contempli tutti gli assi portanti di un piano di cyber security: le tecnologie, i processi e l’elemento umano.
In altre parole, l’approccio al programma di cyber security non può che essere di tipo olistico. Un’eccessiva e dispendiosa attenzione al solo elemento tecnologico può risultare vana quando un attacco ad una rete aziendale o industriale, magari perpetrato con un banale phishing via e-mail, trovi il suo viatico nella debolezza dell’elemento umano.
È quindi compito del fornitore delle tecnologie predisporre le opportune protezioni tecnologiche ai prodotti e alle reti fornite, nonché curare gli aspetti di processo e di formazione e consapevolezza delle persone che ne fanno uso.
Ecco perché la ciclicità e costanza delle attività di un piano di cyber security costituiscono una necessità per l’industria e, al tempo stesso, un’opportunità di crescita e di business, anche nel settore marittimo.
