Cyber Security on board ships
Convenzioni e Codici

Cyber Security on board ships

By 8 Marzo 2021No Comments

I sistemi di bordo, come la gestione logistica di una spedizione, si basano sull’uso della tecnologia.  L’interazione tra lavoro umano e digitale ha permesso lo sviluppo del trasporto marittimo per come lo conosciamo oggi,  ma se preso di mira può diventare il punto debole dell’intero sistema. È per questo che negli ultimi anni la sicurezza informatica in ambito marittimo ha acquisito sempre più attenzione, in particolare per la tutela dell’equipaggio, della nave, del carico e per tutto ciò che riguarda la protezione di sensori di bordo e la fuga di dati sensibili da accessi non autorizzati. Negli ultimi dieci anni si sono susseguiti numerosi attacchi cibernetici, la maggior parte di medio-bassa entità, mentre alcuni sono riusciti a bloccare l’attività di intere compagnie.

Per far fronte a questa nuova minaccia, l’IMO ha definito l’approccio che ogni società deve avere circa la Cyber Security, pubblicando linee guida che forniscono indicazioni sulla gestione dei sistemi digitali, con l’obiettivo di avere spedizioni sicure e protette e che siano operativamente resiliente ai rischi informatici.

Linee guida internazionali

Per far fronte alla minaccia del Cyber Risk e per sensibilizzare il settore marittimo in materia di sicurezza informatica, il 1° giugno 2016 il Maritime Safety Commitee dell’IMO ha approvato le Linee guida provvisorie in materia di Gestione del Rischio Informatico Marittimo” attraverso la MSC.1/Circ.1526. Queste linee guida costituiscono la base per affrontare il rischio informatico, comprese le raccomandazioni per salvaguardare la navigazione dalle vulnerabilità attuali ed emergenti.

Un anno dopo, con la MSC.428(98) del 2 giugno 2017, il Comitato ha affermato che tutte le aziende dovrebbero includere nel loro SMS (Safety Management System) approvato la gestione del rischio cibernetico secondo gli obiettivi e i requisiti funzionali del Codice ISM (International Safety Management); inoltre, incoraggia le amministrazioni a garantire che il tema della cyber security venga inserito nei sistemi di gestione della sicurezza entro e non oltre la prima verifica annuale del Documento di Conformità dell’azienda dopo il 1° gennaio 2021.
Il 3 luglio 2017, infine, l’MSC ha approvato “Le linee guida sulla Gestione del Rischio Cibernetico marittimo (MSC-FAL.1 / Circ.3), definendo i punti principali a cui far riferimento.

Ulteriori linee guida sono state pubblicate da BIMCO (Baltic and International Maritime Council) in collaborazione con altre associazioni del settore, arrivando alla versione 4.0 del “Guidelines on Cyber Security on board Ship”. La guida distingue la Cyber Security e la Cyber Safety.
Per Cyber Security si intende la protezione dell’IT- Information Technology, ovvero i sistemi per l’elaborazione e la gestione dei dati, e la protezione dell’OT- Operation Technology, ossia i sistemi per monitorare eventi e processi che interagiscono direttamente con il mondo fisico e le persone.
La Cyber Safety, invece, si riferisce ai rischi di perdita o danneggiamento dei dati e di OT.

Segue lo standard “ISO/IEC27001 sui “Sistemi di gestione della sicurezza delle informazioni”, pubblicato congiuntamente da ISO (Organizzazione Internazionale per la Standardizzazione) e IEC (Commissione Elettronica Internazionale).

Cyber risk management approach

La risoluzione MSC.428 (98) dell’IMO, oltre alle disposizioni principali già citate, fa riferimento anche ad ulteriori raccomandazioni e azioni sulla “Corretta gestione del rischio cyber” che possono essere riassunte in 5 fasi.

Fase 1→ IDENTIFICARE

L’operazione di maggiore importanza è quella di identificare le possibili minacce, partendo dal presupposto che la nave è obbligata a svolgere una serie di operazioni indispensabili per la sua corretta operatività. Di seguito vengono individuate le categorie di persone potenzialmente interessate ad effettuare un attacco informatico, le motivazioni, gli obbiettivi che le stesse si prefiggono ed infine gli strumenti e le modalità con cui l’attacco viene preparato e portato a termine:

Gli attacchi Cyber vengono classificati come untargeted e targeted attacks.
Negli untargeted attacks la vittima dell’attacco non è identificata; solitamente per questa tipologia vengono utilizzati strumenti informatici disponibili sul web, quali:

  • MALWARE: può essere un programma, un documento od un messaggio di posta elettronica in grado di apportare ingenti danni al sistema informatico, una volta penetrato al suo interno.
  • PHISHING: Consiste in un messaggio di posta elettronica nel quale vengono richiesti dati sensibili. Generalmente queste mail risultano molto credibili in quanto contraffatte con maestria, arrivando ad utilizzare sigle e loghi di Enti/ Aziende/ Istituzioni conosciute.
  • WATERING HOLE: i soggetti che vogliono lanciare un attacco informatico procedono preventivamente ad individuare i siti maggiormente utilizzati dall’azienda: successivamente, una volta verificata questa informazione, è sufficiente infettare il sito più utilizzato, risalendo così ai dati sensibili dell’azienda stessa.
  • SCANNING: attacchi random sul web.

Nei targeted attacks, invece, la vittima è specificamente identificata; esempi di tecnologie utilizzate per questo tipo di attacchi sono:

  • BRUTE FORCE: consiste nell’utilizzo di un programma generatore di password per effettuare log-in. In tal modo si ha accesso alle banche dati dell’azienda da attaccare.
  • DENIAL OF SERVICE: consiste nel negare l’accesso a determinati servizi all’ operatore “impadronendosi” del sistema informatico della società, impedendole di svolgere qualsiasi attività.
  • SOCIAL ENGINEERING: dipendenti o collaboratori della compagnia vengono raggirati al fine di ottenere la violazione delle procedure di sicurezza; spesso vengono utilizzati a tal fine i social network;
  • SPEAR-PHISHING: come il phishing ma le vittime sono destinatarie di email personalizzate.
  • INTERRUZIONE DELLA SUPPLY CHAIN: attacco a una società o ad una nave mediante compromissione degli equipaggiamenti, del software o dei servizi indispensabili ad esse.

Generalmente un attacco cyber viene effettuato seguendo passaggi predeterminati, estremamente rapidi e concatenati e difficilmente prevedibili. Per questa ragione il più delle volte i suoi effetti devastanti si protraggono nel tempo, causando danni di medio e lungo termine alle aziende colpite.
Di seguito vengono riportati le tipiche operazioni attuate dagli hacker:

  • la sorveglianza: durante questa fase, chi intende sferrare l’attacco informatico cerca di ottenere tutte le informazioni possibili sull’ azienda. Generalmente, gran parte di queste informazioni vengono reperite attraverso l’utilizzo di risorse open source (Internet, Social Media, Mail …).
  • la consegna: può avvenire sia in remoto (invio di mail contenenti link/files contenenti malware) oppure fisicamente, consegnando al personale di bordo dispositivi rimovibili (pen drive o software) contenenti virus.
  • la breccia: se la fase di consegna ha avuto successo, l’hacker ha la possibilità di inserirsi nel sistema. Il cyber attacco è appena iniziato, l’hacker ha a disposizione le informazioni e gli strumenti informatici, necessari ad attuare il suo intento.
  • l’attacco effettivo: è a questo punto che vengono esplicitate le motivazioni e gli obbiettivi che l’hacker persegue nei confronti della compagnia di navigazione o della singola nave. In questa fase, vengono attuate tutte le procedure volte a danneggiare la nave o/e la compagnia;

Un punto fondamentale di questa fase riguarda la valutazione delle vulnerabilità, ovvero il processo di stima del rischio che inizia con l’assessment dei sistemi di bordo da parte della stessa compagnia di navigazione, aiutata dal proprio IT Department o da specialisti esterni.
Nelle sue linee guida, la BIMCO consiglia di analizzare i seguenti dispositivi di bordo:

  • CARGO MANAGEMENT SYSTEM: il sistema informatico di controllo del carico potrebbe essere preso di mira con lo scopo di nascondere merce illegale, modificare informazioni riguardanti il carico (peso/volume) od occultare la presenza di merci pericolose.
  • SISTEMA DI NAVIGAZIONE INTEGRATA: in riferimento ai sistemi digitali di navigazione interfacciati con i network di terra che provvedono ad aggiornare continuativamente i dati necessari. Un’azione dolosa potrebbe estendersi fino a rendere il controllo della nave difficile o impossibile, andando a interferire con i sistemi ECDIS, GPS/GNSS, AIS, VDR e radar/ARPA, tutti interconnessi tra loro. Di seguito vengono mostrati i dispositivi più vulnerabili sul ponte di comando:
  • SISTEMI DI GESTIONE DELLA PROPULSIONE: se si riuscisse a penetrare il sistema i danni potrebbero essere ingenti e di difficile riparazione; un solo valore di temperatura hackerato potrebbe portare all’ arresto temporaneo della nave se non alla rottura dei sistemi di propulsione. Anche il sistema di controllo e gestione della propulsione ha una percentuale di vulnerabilità elevata.
  • SISTEMA CONTROLLO ACCESSI A BORDO: i sistemi di controllo degli accessi a bordo e di sorveglianza interna svolgono ruoli primari nella efficace gestione della security. Una loro manomissione permetterebbe un libero accesso ai potenziali malintenzionati, garantendo loro la possibilità di muoversi indisturbati all’ interno della nave.
  • SISTEMI INTRATTENIMENTO PASSEGGERI: l’accesso internet dedicato ai passeggeri è in grado di rendere l’intero network della nave vulnerabile. Se non protetto, un singolo passeggero che si colleghi ed hackeri il sistema può avere accesso ai dati sensibili dell’intera nave.

Fase 2→ PROTEGGERE

La fase più complessa e costosa, anche in termini di impegno dei singoli operatori marittimi, è quella della protezione. L’IMO ha suggerito l’utilizzo di alcuni strumenti operativi per le compagnie che intendano intraprendere tale percorso di protezione; tra i più importanti vi è il Cyber Security Assessment e il Cyber Security Plan.

Cyber Security Assessment

Le società di navigazione devono valutare tutti i fattori di rischio sopra citati e produrre un Cyber Security Assessment. Lo scopo è quello di fornire alla compagnia un quadro esauriente e dettagliato delle possibili minacce e quantificare gli investimenti da mettere in atto per ridurre al minimo il rischio di hackeraggio.
Il CSA, da effettuarsi per ogni nave, dovrà tenere conto dei seguenti fattori:

  • l’area geografica di lavoro della nave
  • le procedure operative adottate tra nave e terra
  • i tipi di comunicazioni che effettua la nave
  • la localizzazione dei server della nave
  • i tipi di connessioni presenti a bordo (Wifi, LAN)
  • i software presenti a bordo
  • i sistemi di gestione della manutenzione

Una volta determinati i punti sensibili del network nave si potrà procedere allo sviluppo del piano vero e proprio.

Cyber Security Plan

Lo scopo di questo protocollo operativo è quello di fornire informazioni pratiche e definire quali sono le procedure a cui la nave dovrà attenersi per mantenere un adeguato livello di network security.
Un CSP dovrà includere le seguenti informazioni:

  • Identificazione del responsabile della compagnia in materia di Cyber Security e relativi contatti (Security Operation Center)
  • nomina del Cyber Security Officer (CySO), generalmente SSO, addetto alla supervisione e manutenzione dei sistemi informatici.
  • criticità dei sistemi di bordo
  • Buone pratiche a cui l’equipaggio dovrà ottemperare
  • Meccanismi di valutazione dei possibili rischi
  • Sistemi per garantire un adeguato controllo dei sistemi e la loro manutenzione (controlli fisici e antivirus)
  • Identificazioni dei luoghi sensibili della nave (ubicazione dei server, box di multi connessione, box smistamento segnale, computer…)
  • Operazioni da effettuare in caso di attacco hacker
  • Formazione ed addestramento per l’equipaggio
  • Sistemi di revisione del CSA e del CSP

E’ evidente che, nel rispetto delle direttive del CSP, andranno apportate modifiche allo Ship Security Plan: aree normalmente non ritenute ristrette, dopo la valutazione delle minacce Cyber, potrebbero diventarle (locali di passaggio cavi o le aree destinate all’alloggiamento dei Server).

Fase 3→ SCOPRIRE

La fase di accertamento consiste nell’ utilizzo di sistemi e/o software in grado di dare un allarme istantaneo nel caso in cui i sistemi vengano infettati. In informatica non esiste un sistema sicuro al 100%, quindi ogni dispositivo può diventare vulnerabile. Questa fase è la più delicata perché può far sì che un attacco venga bloccato non appena esso si verifichi, evitando che l’intero sistema si infetti.
Un caso che ben sottolinea l’importanza della fase di accertamento è stato quello occorso ad un terminal contenitori di un porto Nord Europeo: per ben due anni il sistema di controllo e smistamento è stato manipolato da una organizzazione criminale il cui scopo era quello di spedire merce illegale tramite i contenitori che il sistema, abilmente hackerato, impediva di tracciare. L’attacco è stato scoperto solo dopo l’installazione di un nuovo software di sistema, a seguito dei periodici aggiornamenti di routine. Questo caso ci fa ben comprendere quanto sia importante non tanto avere sistemi inattaccabili che, come si è visto di fatto non esistono, quanto potersi dotare di procedure standardizzate in grado di rilevare in tempi brevi eventuali criticità o manomissioni dei sistemi, in modo tale da poter interrompere in tempi brevi la diffusione degli attacchi informatici od almeno la permanenza dei loro disastrosi effetti nei sistemi stessi.

Fase 4→ RISPONDERE

In questa fase operativa, il Cyber Security Officer di bordo ed il Security Operation Center dovranno cooperare per cercare di scoprire l’attacco, decidere lo strumento di difesa da utilizzare e definire le procedure da seguire. Se un sistema informatico viene compromesso, le conseguenze potrebbero diffondersi passando di nave in nave oppure, partendo dalla sede societaria, trasmettersi a tutte le navi. In questa fase bisognerà analizzare quali sono stati i dati o i processi che sono stati infettati, come si è verificato l’incidente, il tipo di virus utilizzato, la tipologia dei dati sottratti e le ripercussioni possibili. Una volta individuate le informazioni essenziali, bisognerà decidere come eliminare il problema. Una volta superata la fase di emergenza, bisognerà attivare le procedure di investigazione e di recupero.

Fase 5→ RECUPERO

Questo processo è il più delicato e complesso: richiede innanzitutto la disponibilità delle copie di back-up dati, sia a bordo che in compagnia. Il grado di difficoltà di questa operazione è strettamente correlato alla complessità dell’architettura network della società. Dopo che l’attacco si è concluso, bisognerà ripristinare tutti i sistemi di bordo. Come consigliato dalle linee guida della BIMCO, andranno formattati tutti i sistemi, anche quelli che si pensa non siano stati intaccati dall’ attacco, questo per essere certi che nessuna traccia del virus rimanga occultata in qualche sistema. Poiché il processo di recupero è molto complesso e può compromettere diverse funzionalità della nave, nel ripristinare un sistema aziendale la BIMCO sottolinea l’importanza di risolvere in prima battuta il problema sulle navi e solo successivamente passare a trattare le infrastrutture di terra. Per facilitare questa operazione viene consigliato di mantenere copia continua di backup a bordo delle navi. Il sistema SMS dovrà essere aggiornato inserendovi procedure dettagliate per un primo ripristino parziale dei sistemi di bordo; successivamente al primo scalo della nave dei tecnici della società dovranno andare a bordo per completare le operazioni e ripristinare il sistema come in origine. Una volta completate tutte queste operazioni si potrà procedere alla fase di investigazione. Lo scopo è quello di permettere al dipartimento informatico di individuare gli strumenti utilizzati per far breccia nel sistema, cercare di limitarne la vulnerabilità e, obiettivo primario, istruire il personale per far sì che aumenti la consapevolezza ed il focus sull’argomento.

Profili assicurativi

L’assicurazione è una componente importante nella gestione di queste minacce, ma la mancanza di dati affidabili, il continuo e rapido mutamento degli attacchi informatici sono tutti fattori che hanno condizionato lo sviluppo di una copertura mirata contro i rischi cyber. Inoltre, la mancata denuncia delle compagnie degli attacchi per timore di perdere clienti, di spaventare gli azionisti o di subire danni reputazionali e d’immagine, contribuisce alla difficoltà ad offrire una copertura per questi rischi. Attualmente, uno dei temi di discussione riguarda le clausole di esclusione della copertura dei danni provocati da attacchi Cyber; l’obiettivo è quello di rendere esplicito nei contratti di assicurazione se la copertura è “affirmative cyber risk” o “non-affirmative”, risolvendo le ambiguità sulle “silent cyber cover”.

Le coperture Protection and Indemnity dei P&I Clubs, associazioni mutualistiche di armatori specializzate in coperture assicurative a favore dei propri membri, attualmente non contemplano specifiche esclusioni dei cyber risk. I membri sono quindi assicurati contro questi rischi anche quando gli eventi dannosi siano causati da un rischio informatico.

In conclusione, le coperture disponibili all’interno delle linee di assicurazione convenzionali spesso comportano lacune per quanto riguarda i rischi informatici. Le coperture assicurative contro i cyber attacks sono destinate a crescere in linea con la continua espansione del fenomeno. Anche se rimangono molte questioni in sospeso, ciò che sembra certo è che le questioni informatiche nell’industria marittima rimarranno in primo piano sia per i soggetti che operano nel settore che per gli assicuratori.

Conclusioni

Oggi, l’anello più debole quando si parla di sicurezza informatica è ancora il fattore umano. È quindi importante che il personale marittimo riceva una formazione adeguata per identificare e segnalare gli incidenti cibernetici. Quando si valuta il cyber risk è necessario considerare le minacce informatiche sia esterne che interne all’ambiente nave, pertanto il personale di bordo ha un ruolo chiave nella protezione dei sistemi IT e OT.  Chiaramente l’impegno preponderante delle compagnie sarà quello di analizzare a fondo i propri sistemi informatici, individuando le possibili falle e dotandoli delle migliori protezioni, i quali dovranno essere costantemente aggiornate, stante i sorprendenti ritmi di crescita della minaccia informatica. Queste operazioni graveranno in modo importante sui bilanci societari, ma secondo la BIMCO il rapporto tra costi e benefici sarà sempre a favore di questi ultimi. Si ricorda inoltre che dall’inizio del 2021 gli armatori saranno tenuti a incorporare nell’SMS un sistema di gestione dei rischi informatici in conformità con i requisiti del codice ISM, entro e non oltre la prima verifica annuale del Documento di Conformità successiva al 1 ° gennaio 2021.

In attesa della creazione del sistema a prova di qualunque attacco, dobbiamo confidare nella costante attenzione e nella responsabilità da parte di ogni singolo componente dell’equipaggio e del personale di terra. Il fattore umano costituisce la prima e più efficace barriera contro la pirateria informatica in campo marittimo.

 

 

 

Tags:

Andreea

Andreea

Allievo Ufficiale di Coperta

Recommended For You

Convenzioni e Codici

Che cos’è il Codice ISPS

Andreea
Andreea10 Marzo 2021
Convenzioni e Codici

Ship Recycling

Andreea
Andreea9 Marzo 2021

Leave a Reply