Porto

Il Cyber Risk nel settore Marine

Condividi

Assicurazione trasporti

 

Nell’estate 2017, AP Moller-Maersk S/A (APM), il più importante vettore nel trasporto di container e di general cargo, che controlla circa il 18% dei traffici mondiali, ha subito l’attacco informatico di Petya o NotPetya, un malware che si è poi propagato nei terminal dislocati in 76 Paesi nel mondo.

Il terminal maggiormente colpito è stato quello di Rotterdam Maasvlakte II, che nei primi giorni successivi all’attacco è stato in grado di operare solo al 15% del suo potenziale.

Il blackout è durato diversi giorni e i costi economici sono stati stimati in US$ 850 milioni.

I rischi legati agli attacchi informatici sono ormai una realtà anche dell’industria marittima. Un’indagine di settore evidenzia che oltre il 44% delle linee di navigazione analizzate mostra ridotti livelli di sicurezza dei sistemi informativi, che mancano dei basilari elementi di protezione. BIMCO (Baltic and International Maritime Council), la più importante associazione internazionale nello shipping, ha stilato delle linee guida per informare gli armatori sui rischi e sulle possibilità di mitigarli, anche con un’assicurazione trasporti specifica.

La digitalizzazione del settore marittimo

Le navi e le compagnie di navigazione sono vulnerabili come qualsiasi altro utilizzatore di sistemi informatici.

I porti e i loro container terminal dipendono sempre più da sistemi di comunicazione e gestione elettronica che permettono di semplificare e velocizzare le operazioni di imbarco/sbarco, lo stoccaggio e l’inoltro delle merci. E’ evidente che qualsiasi errore o disfunzione dei sistemi di gestione IT può causare gravi disservizi in catene di approvvigionamento sempre più complesse.

Anche i sistemi di gestione delle navi sono in pieno processo di digitalizzazione, sia a livello di navigazione che di controllo della propulsione e di tutti i sistemi di bordo.

Le vulnerabilità

Già da alcuni anni, il settore marittimo sta prendendo consapevolezza dei cyber risk marittimi: il Maritime Safety Committee dell’IMO – International Maritime Organization - con la circolare MSC-FAL.1/Circ.3 ha predisposto una serie di indicazioni per gli armatori e gli operatori sugli specifici rischi del settore.

BIMCO - Baltic and International Maritime Council - la più importante associazione internazionale nello shipping, presente in oltre 120 Paesi nel mondo e i cui armatori controllano circa il 65% del tonnellaggio navigante, ha avviato parallelamente un’analisi al fine di individuare le più specifiche vulnerabilità delle navi per fornire ai propri associati indicazioni pratiche che incrementino la cyber security. Sono state riscontrate debolezze nei principali sistemi utilizzati per la navigazione: GPS (Global Positioning System), AIS (Marine Automatic Identification System) e ECDIS (Electronic Chart Display and Information System).

Nel 2016, le autorità della Corea del Sud hanno dichiarato che numerosi pescherecci erano stati costretti a un rientro anticipato in porto a seguito di interferenze sul sistema GPS causato da hacker della Corea del Nord, con conseguente perdita del principale strumento automatico di navigazione e della maggior parte dei sistemi di collegamento. In casi simili, il comandante è costretto a rallentare e a procedere in modalità di navigazione a controllo manuale, con ritardi e perdita di attracchi programmati.

A seguito di un attacco informatico, non è remoto nemmeno il rischio di collisione fra navi non più sotto controllo, con la perdita della nave, del carico e di vite umane, senza contare il disastro ambientale che potrebbe derivare dal coinvolgimento di tanker nell’incidente.

La corretta gestione del rischio

Per limitare e gestire rischi sempre più concreti, la compagnia di navigazione non potrà limitarsi alla sicurezza informatica delle singole navi: dovrà allargare l’analisi e l’implementazione all’amministrazione di terra e a tutto il personale a bordo.

La comprensione delle minacce cibernetiche da parte di ciascun armatore che abbia accesso ai sistemi informatici sarà fondamentale quanto la determinazione dei rischi e lo sviluppo di piani per la loro mitigazione.

Secondo l’analisi condotta da BIMCO, appare necessario:

  • identificare i rischi provenienti dall’esterno capaci di compromettere la sicurezza della nave e della sua navigazione, insieme a quelli interni derivanti dall’uso improprio dei sistemi o dalla loro obsolescenza;
  • individuare le vulnerabilità con un inventario dei sistemi elettronici di bordo che siano direttamente o indirettamente collegati fra loro, per poter comprendere gli effetti di un’intromissione non autorizzata;
  • determinare le conseguenze sia di un possibile attacco esterno, sia di un uso improprio interno;
  • sviluppare misure di protezione e controllo per ridurre le vulnerabilità e l’impatto di un eventuale attacco doloso o utilizzo improprio;
  • sviluppare piani di intervento specifici che, in caso di danneggiamento dei sistemi informatici, permettano alla nave di continuare a navigare in maniera sicura e adeguata;
  • imparare a sfruttare i piani di risposta ad un attacco per valutare l’impatto effettivo sui sistemi, anche in un’ottica di prevenzione.

L’assicurazione trasporti

Il mercato assicurativo marine è ancora poco preparato ad assicurare i cyber risk. La Cyber Attack Exclusion Clause del novembre 2003, adottata in tutto il mondo dalla maggior parte degli assicuratori, ha escluso perdite, danni, responsabilità e costi derivanti da qualsiasi tipo di attacco informatico. Il settore si è messo in una posizione di difesa in relazione a un rischio per il quale altri trasporti possono già contare su valide soluzioni assicurative.

A fronte del nuovo scenario di rischio, potrebbero aprirsi nuovi tavoli di confronto per la copertura dei marine cyber risk. L’assicurazione dei rischi on shore ha maturato l’esperienza adeguata ad avviare lo sviluppo di coperture specifiche per il settore trasporti.

A breve il mercato assicurativo sarà probabilmente stimolato dalle richieste degli armatori, ormai consapevoli dei rischi che si trovano ad affrontare senza alcuna salvaguardia di Risk Transfer.