Il cyber risk management nel settore marittimo

Il settore della logistica portuale e del trasporto marittimo non è immune da rischi legati agli attacchi informatici. L’aumento esponenziale delle connessioni eterogenee di dispositivi e l’iperconnettività dell’IoT nel nuovo ecosistema digitale ha determinato le condizioni per una dilatazione della superficie esposta che è stata percepita anche nel settore dello shipping. Con oltre 1.600 cyberattacchi in danno di aziende, come rilevato dal Clusit nello scorso 2018 con un trend crescente nel 2019,  il fenomeno della criminalità informatica è in crescente espansione.

Con l’Internet delle cose e l’avvento della tecnologia 5G, nel 2020 saranno connessi 76 miliardi di dispositivi, e la “blu economy” è certamente un’industria che necessita di una forte protezione per l’importante contributo al PIL nazionale, attraverso una puntuale valutazione dei rischi e lo sviluppo di modelli efficaci di information security. Infatti, il settore marittimo fonda armai la sua tecnologia principalmente sulla connettività in tempo reale e ciò, conseguentemente, espone il sistema industriale ai rischi che provengono dalla rete, specie in presenza di vulnerabilità più o meno note e, in ogni caso non valutate. 

Una nave è di per sé un’infrastruttura critica ed è dotata di infrastrutture informatiche e da sistemi di microelettronica e sensoristica che acquisiscono e trasmetto dati per il controllo, l’analisi e la gestione della navigazione, della sicurezza in accesso ed in trasbordo dei passeggeri (se non mercantile), delle strutture di bordo, della gestione del carico. 

Per questo è fondamentale che il settore marittimo investa nella creazione di modelli di governance dell’information security, allineati agli obiettivi di business, per il presidio dei domini della sicurezza cibernetica e la protezione dei dati personali, attraverso la messa in campo di procedure di valutazione dei rischi e lo sviluppo di misure di mitigazione e di resilienza operativa.

L’industria dello shipping, invero, già oggi è tra le più avanzate dal punto di vista tecnologico. 

Si pensi ad esempio alla prima nave drone mercantile della storia, “Yara Birkeland”, che sarà completata nel 2022  e navigherà sulla rotta nordeuropea.

Eppure, non può non tenersi conto dei rischi del settore marittimo legati alla potenziale vulnerabilità dei processi informatici dedicati al funzionamento dei vari sistemi.  

Si pensi al cyberattacco ransomware che nel giugno 2017 ha reso inaccessibili tra gli altri i sistemi informatici il colosso dei trasporti marittimi Moller-Maersk tenendoli in “ostaggio” al fine di estorcere denaro alle vittime per lo sblocco degli stessi. 

Proprio per fornire una risposta a quei rischi, attraverso l’introduzione di un modello di corretta gestione del rischio informatico, il 16 giugno 2017 l’International Maritime Organization (IMO) ha adottato le raccomandazioni contenute nella Risoluzione MSC.428(98) “Maritime Cyber Risk Management in Safety Management Systems”. Le raccomandazioni evidenziano che la valutazione del rischio informatico, oltre ad essere divenuto elemento essenziale, rientra tra gli obiettivi del Codice ISM e ricade tra rischi generali che possono interessare ed impattare sulla sicurezza della nave, del personale e dell’ambiente. l’ISM fornisce infatti uno standard internazionale per la sicurezza nella gestione e nell’esercizio delle navi e per la prevenzione dell’inquinamento ed è applicabile a tutte le navi d’altura superiori a 500 GT e al loro Armatore o alla loro Società di Gestione che si è assunta la responsabilità per l’esercizio della nave. Il codice ISM prevede tra l’altro che gli armatori e gli operatori di navi mettano in atto un Sistema di Gestione della Sicurezza (SMS) che ne incorpori gli obiettivi e coinvolga la totalità delle operazioni della Società e delle navi gestite. Il sistema SMS permette alle società di misurare le proprie prestazioni a fronte di un sistema documentato e consente loro di identificare le aree di miglioramento per le pratiche di sicurezza e per le misure di prevenzione dell’inquinamento.

Alla luce di quanto determinato in sede IMO garantire che i rischi cibernetici siano adeguatamente analizzati e mitigati nell’ambito del SMS è diventato imprescindibile.

E così il 5 luglio 2017, l’IMO ha pubblicato un secondo documento, la MSC-FAL.1/Circ.3 “Guidelines on maritime cyber risk management”, recante una serie di raccomandazioni di carattere generale, in cui vengono individuate le possibili vulnerabilità dei sistemi, distinguendo le “information e operational technology” e definendo altresì la protezione dello scambio di informazioni e dati. Particolare importanza viene attribuita alla valutazione della vulnerabilità attraverso una necessaria comparazione tra progettazione, integrazione e/o manutenzione dei sistemi per la definizione di eventuali vuoti/errori nella c.d. cyberdiscipline. Le linee guida raccomandano una gestione del rischio cibernetico attraverso un “risk management approach”, dal momento che le rapide modifiche tecnologiche e le relative minacce non consentono di indirizzare i rischi solo attraverso standard tecnici.  

Il rischio cibernetico è dunque, inevitabilmente, da considerarsi quale “naturale” evoluzione ed estensione delle già esistenti “management practices” in campo safety e security. E così con la circolare 155/2019 del 10.12.2019 il Comando Generale del Corpo delle Capitanerie di Porto, avuto riguardo alla Circolare Titolo Security n.35/2017 ed alla Circolare non di Serie n.8/2018, ha inteso meglio definire il “cyber risk management” che l’IMO ha identificato quale “processo di identificazione, analisi, verifica e comunicazione di un cyber-related risk accettando, evitando, trasferendo o mitigando lo stesso rischio ad un livello accettabile e considerando costi/benefici delle azioni da intraprendere”. Precisa la circolare che il processo di cyber risk management può essere svolto attraverso una globale verifica e comparando l’attuale organizzazione, quella desiderata e i risultati (posture) del cyber risk management. Tale comparazione potrebbe rilevare mancanze (gaps) che dovrebbero quindi essere valutate al fine di raggiungere gli obiettivi del risk management anche attraverso un piano di prioritizzazione dei rischi.  

Richiamando il documento MSC-FAL.1/Circ.3, la circolare indica i cosiddetti “functional elements” utili per supportare un efficace cyber risk management la cui finalità è quella di assicurare un adeguato livello di awareness del cyber risk a tutti i livelli dell’organizzazione ed essere commisurato in considerazione dei ruoli e delle responsabilità di ogni elemento parte del sistema.  

La circolare ribadisce infine che gli aspetti della gestione del rischio informatico, compresa la sicurezza fisica, dovrebbero essere considerati anche nei Piani di Security delle navi (SSP) ai sensi del codice ISPS fermo restando che non deve essere considerato obbligo per le Società di gestione istituire un sistema di gestione separato della sicurezza informatica che operi in parallelo con il sistema SMS adottato. 

Il Piano di Security della nave (SSP) farà comunque riferimento alle procedure di gestione dei rischi informatici presenti nel citato SMS ed il loro trattamento avverrà tenendo conto: 

  • Dell’assess all identified risks to its ships, personnel and the environment and establish appropriate safeguards;
  • Del  “radio and telecommunication systems, including computer systems and networks”. 

Già con Circolare titolo Security n.35/2017, si è proceduto ad operare un primo censimento concernente il cyber risk management i cui risultati sono stati resi noti con la Circolare Non di Serie n.8/2018. 

Pertanto il  Comando Generale del Corpo delle Capitanerie di Porto, su condiviso parere del Gruppo di lavoro in materia di sicurezza della navigazione integrato da un rappresentante dell’Autorità NIS, ha ritenuto  necessario che le Società di navigazione si dotino di un risk management framework che tenga in debita considerazione gli elementi delle disposizioni citate nonché di quelle impartite dall’Autorità NIS alle Società che sono state classificate Operatori di Servizi Essenziali (OSE).  

Per completezza, si evidenzia che con la recente Circolare Non di serie n. 24/2019, il Comando ha introdotto il Distance Learning Programme (DLP) a favore del personale e dell’utenza su “Awareness in Maritime Cybersecurity” e “Maritime security” con l’obiettivo di migliorare la formazione del personale 

La formazione e l’aggiornamento continui costituiscono infatti le basi per la preparazione e la crescita del personale. A tal proposito, l’Agenzia Europea per la Sicurezza Marittima (EMSA), da molti anni, ha inserito la formazione a distanza, attraverso i cosiddetti Distance Learing Programme (DLP), tra gli strumenti imprescindibili nel quadro della formazione e dell’aggiornamento dei Port State Control Officer.

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Facebook Comments

Articoli suggeriti