BIMCO ha recentemente pubblicato la terza edizione delle “Guidelines on Cyber Security Onboard Ships”, volte a fornire raccomandazioni pratiche sulla gestione del rischio cyber a bordo delle navi.
Le linee guida distinguono:
la “Cyber security”, intesa come:
- protezione dell’IT - Information Technology, ossia i sistemi per il calcolo computazionale e gestione dei dati; e
- protezione dell’OT - Operation Technology, ossia i sistemi per monitorare eventi, processi; i sistemi di controllo OT interagiscono direttamente con il mondo reale (carico, personale a bordo, ambiente), pertanto i rischi soprattutto in ambito marine possono essere più rilevanti;
la “Cyber safety”, che concerne i rischi di perdita o danneggiamento di dati e di OT.
Le linee guida richiamano e sviluppano il contenuto della risoluzione IMO in materia di Cyber security (MSC.428-98), che identifica i principali rischi cyber a bordo delle navi. Nelle guidelines viene posta l’attenzione sulla gestione dei rischi, che devono essere oggetto di specifici piani e procedure operative da inserire nel SMS (Safety Management System previsto dal ISM Code) per consentire al personale di bordo e di terra di affrontare adeguatamente eventuali incidenti cyber.
Gestione del rischio cyber con utilizzatori della nave e agenti
La gestione di tale rischio deve essere affrontata anche con i soggetti terzi che esercitino la nave, ad esempio l’eventuale noleggiatore, con i quali si suggerisce di stipulare una specifica clausola di gestione del rischio informatico, nonché nel rapporto tra shipowner e agente, essendo quest’ultimo il soggetto che con maggior frequenza si interfaccia con armatori, operatori logistici, terminal, caricatori e autorità di controllo, spesso scambiando informazioni rilevanti di natura tecnica e finanziaria. Sono purtroppo già noti casi di ransomware dei quali sono rimasti vittime agenti marittimi, che hanno coinvolto anche le linee di navigazione mandanti, bloccando talvolta l’operatività di un’intera flotta per diverse ore o giorni: è evidente pertanto la necessità di armonizzazione tra linee ad agenti marittimi dei principi e delle procedure di cyber security.
Nelle guidelines vengono identificati i potenziali autori di attacchi cyber: attivisti, ex dipendenti, criminali, Stati, organizzazioni supportate da Stati, terroristi, hackers. Ciascuno è spinto da motivazioni diverse quali il guadagno, lo spionaggio industriale, la diffusione di dati sensibili della società a scopi politici.
Classificazione dei rischi: targeted / untargeted attacks
Gli attacchi cyber vengono classificati in:
untargeted attacks – la vittima dell’attacco non è identificata; solitamente per questa tipologia di attacchi vengono utilizzati strumenti informatici disponibili sul web, quali:
- malware: software progettato per accedere o danneggiare un sistema informatico. Rientrano in questa categioria trojans, ransomware, spyware, virus
- phishing: email con richiesta di informazioni sensibili, talvolta con l’utilizzo di link a siti falsi;
- water holing: creazione di falsi siti web per intercettarne gli utilizzatori;
- scanning: attacchi random sul web.
targeted attacks – la vittima dell’attacco è specificamente identificata: esempi di tecnologie utilizzate per questo tipo di attacchi sono:
- social engineering: dipendenti o collaboratori della compagnia vengono raggirati al fine di ottenere la violazione delle procedure di sicurezza; spesso vengono utilizzati a tal fine i social network;
- brute force: ripetuto tentativo di accesso ai sistemi informatici volto a “indovinare” la password;
- denial of service (DoS): i sistemi informatici vengono “bombardati” di richieste, che non riescono ad essere gestite contemporaneamente; il sistema pertanto si blocca impedendone l’utilizzo
- spear-phishing: come il phising ma le vittime sono destinatarie di email personalizzate;
- interruzione della supply chain: attacco ad una società o ad una nave mediante compromissione degli equipaggiamenti, del software o dei servizi dei quali esse usufruiscono.
Il tempo di risposta medio tra l’attacco e la sua scoperta è di ben 140 giorni: è un dato in forte diminuzione, grazie all’aumento della consapevolezza del cyber risk, ma che ancora risulta del tutto inadeguato. Le linee guida identificano le varie fasi dell’attacco, che vanno dallo studio della vittima, all’invio/consegna dello strumento utilizzato, all’attacco vero e proprio, fino al c.d. pivoting: l’attacco viene spesso sferrato sui sistemi più vulnerabili, ma una volta effettuato l’accesso, tutti gli altri sistemi sono potenzialmente vulnerabili “dall’interno”.
Sistemi di bordo vulnerabili
Tra i sistemi informatici più delicati e vulnerabili a bordo delle navi vengono elencati i sistemi di gestione del carico, che controllano caricazione, scaricazione, merci pericolose e che si interfacciano con porti e i terminal, i sistemi del ponte di comando quali i sistemi di navigazione, l’ECIDIS, GNSS, AIS, VDR, radar. Altrettanto sensibili sono i sistemi di gestione della propulsione, i sistemi di controllo degli accessi, di sorveglianza a bordo, i tablet utilizzati dal personale di bordo, i sistemi di comunicazione.
Spesso la vulnerabilità di tali sistemi è causata dall’utilizzo di sistemi operativi obsoleti, dall’assenza di software antivirus, dall’inadeguatezza e dall’inefficienza della gestione dei sistemi informatici e controllo degli accessi agli stessi. In via esemplificativa, talvolta viene consentito l’accesso ai sistemi di bordo con attrezzatura informatica personale dei dipendenti/fornitori: questo consente un notevole risparmio sulle attrezzature, ma comporta necessariamente un rischio sul controllo degli accessi.
Le linee guida forniscono un utilissimo sistema di valutazione e gestione degli attacchi, che include la classificazione del rischio (impatto potenziale basso/medio/alto), nonché la sua gestione e valutazione (pre-assessment, ship assessment, debrief and vulnerability review/reporting, producer debrief).
Viene incoraggiata inoltre la formazione sul rischio cyber, sia del personale di bordo (inclusi comandanti e ufficiali) che di quello a terra, e che dovrebbe ricomprendere informazioni sul rischio nell’utilizzo di internet, delle email, dei dispositivi di bordo, dell’aggiornamento del software, della tutela delle password, delle procedure di gestione degli attacchi.
Raccomandiamo a tutti gli operatori del settore la lettura e lo studio approfondito delle linee guida, che potete scaricare a questo link:
Avv. Simone Moretti