Le sfide imposte dalle tecnologie emergenti richiedono un aggiornamento costante delle strategie di difesa. Navi e porti non fanno eccezione. Aumentano infatti i rischi di attacchi cyber nel settore marittimo e il Mit, il ministero delle Infrastrutture e dei trasporti, ha provveduto ad aggiornare le misure di sicurezza per le navi nazionali, i porti e gli impianti portuali con una circolare che entrerà in vigore il primo novembre. Titolo della circolare: “Aggiornamento delle misure di sicurezza per le navi nazionali, le società di gestione ISM (Company) e i gestori di impianti portuali (port facility)”. Il messaggio che viene lanciato è chiaro: «La cybersicurezza deve essere considerata parte integrante della gestione complessiva della sicurezza marittima e non un elemento accessorio, richiedendo un approccio coordinato e coerente tra navi, società di gestione e impianti portuali, in linea con il quadro normativo internazionale, unionale e nazionale di riferimento».
Il precedente del tentato hackeraggio del traghetto “Fantastic”
Il documento è stato diramato attraverso il Comando generale del Corpo delle Capitanerie di Porto – Guardia Costiera e l’Autorità Nis – Settore Trasporti. La mossa arriva a pochi giorni dal tentato hackeraggio del traghetto “Fantastic”, della compagnia italiana Grandi navi veloci (Gnv). La circolare, informa il Guardia costiera, «introduce un quadro avanzato, moderno e vincolante di misure di cybersicurezza destinate a rafforzare la resilienza del comparto marittimo-portuale, alla luce della crescente digitalizzazione dei sistemi di bordo, delle infrastrutture portuali e delle procedure operative».
«Crescente necessità per la gestione dei rischi informatici anche nel settore marittimo»
«La gestione del rischio, nel mondo dello shipping, è stata tradizionalmente e prevalentemente focalizzata su operazioni tradizionali, ma – viene ricordato dal ministero – la sempre maggiore dipendenza dei sistemi di bordo dalla digitalizzazione, dall’integrazione fra equipaggiamenti, dall’automazione e dai sistemi basati sulla rete di trasmissione dati ha, però, evidenziato una crescente necessità per la gestione dei rischi informatici anche nel settore marittimo. Le vulnerabilità create dall’accesso, interconnessione o messa in rete di questi sistemi e i relativi, concreti rischi informatici evidenziano la necessità di un approccio strutturato e sistematico alla gestione del rischio cyber».
A chi sono rivolte le indicazioni
In particolare, nella circolare vengono definiti obblighi e raccomandazioni per compagnie di navigazione, comandanti di navi, gestori di impianti portuali e Autorità statali coinvolte, richiedendo l’adozione di un approccio strutturato di gestione del rischio informatico, la piena integrazione delle misure cyber nei Safety management system e nei Piani di security delle navi nazionali, l’aggiornamento delle procedure interne, l’adozione di misure tecniche e organizzative adeguate e proporzionate, nonché la formalizzazione di processi di prevenzione, rilevazione, risposta e recovery in caso di incidente. La politica della Company «deve essere aggiornata con l’inserimento degli aspetti di cyber security e le misure necessarie ai fini della sicurezza della nave, legata anche ai rischi cyber». La Company deve designare a terra, il Cyber Company Officer, quale responsabile per la gestione e protezione contro i rischi informatici che possa fornire assistenza al Comandante della nave per lo svolgimento dei suoi compiti; a bordo, il Cyber Security Officer, che può essere il Comandante o altro membro dell’equipaggio con compiti direttivi.
La valutazione del rischio
Il “risk assessment” (letteralmente “valutazione dei rischi”) dovrà individuare i rischi, le protezioni contro gli attacchi e le responsabilità. La valutazione del rischio – viene messo in evidenza nel documento – non è un’attività da eseguirsi una tantum, ma deve essere ripetuta, a valle di adeguate valutazioni, a intervalli regolari (si raccomanda almeno una volta l’anno), fatte salve valutazioni diverse della Company basate su rischio, complessità e cambiamenti significativi intervenuti. La valutazione del rischio deve essere aggiornata ogni qualvolta si presentino delle nuove minacce o a seguito di attacchi anche senza conseguenze».
