porti rischio informatico

Cyber Security degli impianti portuali: linee guida per la gestione del rischio

Condividi

 

Dopo gli attacchi ai danni di Maersk e dei porti di Barcellona e San Diego, la gestione del rischio informatico è divenuta una priorità anche in ambito portuale. Mentre i ransomware continuano a diffondersi, ENISA ha pubblicato nuove linee guida e best practice per delineare un piano di risk management, implementarlo e garantire la sicurezza degli asset strategici.

Rischio cyber in ambito portuale

Gli impianti portuali hanno la necessità di predisporre adeguate misure di protezione non solo dalle minacce alla sicurezza “fisica”, ma anche in materia di cyber security. Gli attacchi ai sistemi informatici puntano alla sottrazione di preziosi dati e alla compromissione della supply chain, con conseguenze dannose per i sistemi portuali e marittimi. Per questo, ENISA (European Union Agency for Cybersecurity) ha pubblicato un nuovo documento di approfondimento, dal titolo Port Cyber Security – Good practices for cybersecurity in the maritime sector.

Dall'uscita del primo studio in materia di cyber security nel settore marittimo intitolato Analysis of cyber security aspects in the maritime sector, si sono evoluti in maniera significativa le normative e i rischi per le informazioni trattate e conservate sui sistemi informatici, i processi operativi e i sistemi riconducibili al mondo dell’industria 4.0. La trasformazione digitale apre i processi produttivi ed operativi dell’impresa alla rete internet, inevitabile per consentire la piena operatività delle nuove tecnologie. Ne deriva tuttavia il bisogno di un apposito sistema di gestione della security delle informazioni e dei dati trattati.

Gestione del rischio ransomware in ambito portuale: gli asset

Esiste un impianto normativo e di best practice generale, che necessita però di essere inserito in una struttura di processo, idonea a minimizzare il rischio d’impresa e, nell’eventualità che si verifichi un attacco informatico o una disfunzione dei sistemi, preservi la continuità operativa.

Una prima fase essenziale del risk assessment è l’identificazione del rischio, un processo di individuazione, riconoscimento e descrizione del rischio, che si fonda sulle seguenti attività: identificazione degli asset da tutelare (informazioni e supporti che le contengono), identificazione delle possibili minacce, definizione delle misure di protezione implementate, per poi ridurre i rischi individuati.

Asset critici

Identificare e descrivere nel dettaglio gli asset rilevanti in ambito portuale fornisce un contributo importante sia per le attività di risk assessment condotte sul piano della sicurezza di dati ed informazioni (con riferimento particolare allo standard tecnico ISO/IEC 27001), sia nell’ambito dell’analisi del rischio prevista dalla normativa di port security e relativa alla formazione del Port facility Security Assessment (PFSA). Lo studio di ENISA isola dieci macro categorie di asset informativi e di trattamento tipici del settore portuale-marittimo. Di seguito i più rilevanti.

  • Informazioni: le informazioni e dichiarazioni, che le navi devono comunicare alle autorità competenti prima dell’ingresso in porto, secondo le disposizioni normative internazionali, comunitarie e nazionali. A queste si aggiungono le informazioni necessarie per organizzare e gestire i servizi alle navi, cosiddetti “operational data”, i dati di navigazione condivisi con il porto, le informazioni commerciali inerenti la prenotazione dei servizi di ormeggio e i relativi dati di traffico. Sono da considerare tra gli asset informativi anche i dati personali trattati nell’ambito dei rapporti tra porto e compagnie armatoriali e di navigazione. Rispetto al traffico crocieristico, possono assumere rilievo i dati personali comunicati direttamente dai passeggeri per l’erogazione di specifici servizi.
  • Trattamento di informazioni e dati: gli asset di trattamento dei dati sono la macro categoria più ampia e coprono i sistemi e le reti IT ed OT con relativi dispositivi end user per l’utente professionale, le reti di comunicazione e relativi componenti.
  • Persone: il personale dipendente delle autorità portuali, degli impianti portuali e navi in ormeggio ivi presenti, nonché del pubblico e dei passeggeri aventi titolo per accedere in area portuale, utilizzare i sistemi e trattare dati.

Minacce alla sicurezza delle informazioni

Lo studio di ENISA propone inoltre un elenco dei possibili scenari di minaccia informatica, aventi impatto sulla sicurezza di dati e informazioni nell’ecosistema portuale. I rischi considerati, ad eccezione degli attacchi fisici e disastri naturali, riguardano gli asset di trattamento di informazioni e dati e tecniche di minaccia con abusi e condotte dolose, quali: attacchi DoS, uso di malware, attacchi in forza bruta, furti d’identità, ingegneria sociale, attacchi aventi obiettivi specifici, manipolazione di dati, modifiche illegittime dei segnali GPS delle navi e delle rotte di navigazione.

A queste minacce si aggiungono le tecniche di intercettazione delle comunicazioni tra porto e navi, intercettazione di dati sensibili ed attacchi man-in-the-middle, in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra loro.

Alcune vulnerabilità strutturali del sistema porto agevolano successo delle diverse tipologie di attacco. Le prime lacune rilevate nello studio ENISA riguardano l’assenza di cultura di base del digitale nell’ecosistema portuale, ancora prima della scarsa cultura e formazione in ambito security e cybersecurity. I budget stanziati per investimenti inerenti la cybersecurity sono di conseguenza scarsi e mancanza del personale qualificato idoneo a coordinare, sviluppare e mantenere progetti in ambito IT ed OT (Operational Technology). Occorre mantenere il necessario aggiornamento sui temi dell’innovazione e delle tecniche di minaccia emergenti, anche correlate allo sviluppo di specifici progetti di digitalizzazione dei processi produttivi nei porti, mediante l’impiego degli strumenti tipici dell’industria 4.0.

Sussiste poi una lacuna strutturale di normative in materia di cybersecurity. La Direttiva Europea NIS ed il relativo decreto legislativo di attuazione aprono la strada e legittimano il ruolo della sicurezza informatica delle informazioni, ma ancora mancano provvedimenti ad hoc idonei ad imporre l’adeguamento dell’ecosistema portuale, ad adeguati livelli di cyber sicurezza (con stanziamento del relativo budget di spesa). Eppure le minacce informatiche rivolte verso il settore continuano a crescere e il ruolo dei porti e degli impianti portuali è indispensabile quali infrastrutture critiche a livello nazionale. Sono identificabili come operatori di servizi essenziali, una qualifica rilevante in relazione alla loro possibile inclusione nel perimetro di sicurezza nazionale cibernetica, secondo la Legge n.133/2019.

Danni degli attacchi malware

Lo studio di ENISA presenta diversi tipi di attacchi informatici nell’ecosistema portuale e per ciascuno fornisce il dettaglio della tecnica utilizzata, degli asset coinvolti e delle principali misure di protezione da implementare. In questo senso, assume rilievo (anche per i precedenti storici di settore, con il ransomware NotPetya), lo scenario relativo alla propagazione di un ransomware, che può provocare la totale interruzione delle operazioni portuali. Il danno diretto può riguardare anche la perdita delle copie di backup dei dati, qualora siano colpiti i server portuali. In questo senso, una buona gestione del rischio può affrontare questo scenario di rischio seguendo gli step precedentemente accennati: identificazione degli asset coinvolti, identificazione del rischio di propagazione di un codice malevolo che infetta i sistemi informatici degli utenti in modo tale che la vittima non possa (parzialmente o completamente) utilizzare i dati memorizzati su di esso. E ancora, è importante capire la modalità di infezione e di esecuzione del ransomware.

L’infezione viene spesso contratta dal sistema IT, mediante un aggiornamento per server già contenente il malware (altre modalità possibili di infezione, riguardano il phishing con tecniche di ingegneria sociale, o chiavette USB con codice malevolo). La propagazione del ransomware si diffonde poi nella rete del porto, grazie ad alcune vulnerabilità non corrette e alla mancanza di una adeguata segmentazione della rete IT in parti non comunicanti o separate da controlli di sicurezza. L’esecuzione del ransomware avviene sui sistemi e dispositivi dello stakeholder portuale e ruba le credenziali ivi conservate. A volte, il ransomware richiede privilegi elevati per completare l’infezione e pertanto, esegue un meccanismo di elevazione degli stessi per effettuare modifiche di alto livello al sistema. Altre volte, i sistemi e dispositivi infettati da malware subiscono un processo di criptazione dei dati o un blocco del sistema che ne rende impossibile l’accesso. Spesso è richiesto un riscatto per lo sblocco dei sistemi infetti.

Misure di protezione dai rischi informatici in ambito portuale

Lo sviluppo di misure di sicurezza per tutti gli attori coinvolti nell’ecosistema portuale nello studio di ENISA, consiste in un elenco di 22 classi di misure di sicurezza relative ai porti, raggruppate in tre macro-gruppi:

  • Politiche e governance in ambito IT ed OT (PS);
  • Pratiche organizzative di settore IT ed OT, per il personale impiegato (OP);
  • Misure tecniche sui sistemi IT ed OT (TP).

Rispetto allo scenario di rischio da infezione di ransomware in ambito portuale, lo studio individua le corrette misure di protezione per ciascuna categoria interessata.

  • Politiche e governance (PS): nei piani di resilienza devono risultare esistenti ed operativi misure idonee a garantire la continuità delle operazioni portuali ed il recupero dei dati. In particolare, si fa riferimento ad un Business Continuity Plan e Disaster Recovery Plan (PS-15), da considerare nell’ambito di un processo di crisis management di un’organizzazione che coinvolga più attori portuali.
  • Pratiche organizzative (OP): le misure concernenti le pratiche organizzative coinvolgono tutto il personale portuale interessato nell’uso dei cosiddetti “IT end devices” (come laptop, desktop, tablet e mobile phone). Questi dispositivi vengono tutelati da programmi antivirus, sistemi di criptazione e disattivazione di funzionalità non necessarie, quali sistemi di blocco delle porte USB a contatto con l’utente finale (OP-01 e 05). A questo si deve affiancare l’implementazione di sistemi di analisi degli asset tecnologici, al fine di ricercarne le possibili vulnerabilità, se possibile nel quadro di un’organizzazione di security centralizzata denominata Security Operations Centre (SOC) e competente nella identificazione, gestione e rimedio, di rischi ed eventi di Cyber Security (OP-16).
  • Misure tecniche (TP): si suggerisce di introdurre delle segmentazioni dell’intera rete IT ed OT nella sua architettura complessiva, per isolare le aree critiche e contenere eventuali infezioni o incidenti di security (TP-01). Occorre disporre programmi anti-malware ed anti-virus aggiornati su tutte le macchine, nonché aggiornamenti per tutti i componenti IT e OT che compongono la rete (TP-15, TP-23, TP-24).

Cyber Security di navi e porti: norme e documenti di riferimento

La normativa di Port Security vigente è ancora rivolta in via quasi esclusiva alla prevenzione e protezione da minacce di security di tipo “fisico”. Nel frattempo, sul piano giuridico risulta di particolare interesse il panorama normativo considerato da ENISA. Riguardo al diritto internazionale di port security destinata a navi ed impianti portuali, sono anzitutto citate le seguenti norme, già introdotte nel corso della conferenza diplomatica dell’IMO del 2002:

  • il Codice ISPS (International Ship and Port Facility Security Code);
  • la Convenzione SOLAS (Safety Of Life at Sea) e per essa, il suo nuovo Capitolo XI – 2, contenente Misure speciali per migliorare la security marittima e richiamante il Codice ISPS.

I principali documenti strutturati nel Codice ISPS, ovvero il documento di valutazione del rischio di security (Port Facility Security Assessment o PFSA) ed il relativo piano di trattamento del rischio (Port Facility Security Plan o PFSP) non offrono indicazioni specifiche sui rischi di tipo cyber e l’adeguamento da parte dell’impianto portuale passa ad oggi da una interpretazione estensiva della norma.

Sul piano delle fonti di diritto comunitario, sono citate le norme relative alla security di impianti portuali, porti e trattamento dei dati, in particolare:

  • il Regolamento CE n. 725/2004 relativo al miglioramento della sicurezza delle navi e degli impianti portuali;
  • la Direttiva 2005/65/CE relativa al miglioramento della sicurezza dei porti;
  • il Regolamento (EU) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 – Regolamento generale sulla protezione dei dati (o GDPR);
  • la Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. Direttiva NIS). C’è una sezione dedicata al sottosettore del trasporto per vie d’acqua ed in particolare, l’Allegato II, settore II, sottosettore c, individua i requisiti per essere considerati “operatori di servizi essenziali”;
  • il Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019, relativo ad ENISA e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (Regolamento sulla Cibersicurezza).

Sul piano delle best practice assumono rilievo i seguenti documenti aventi valore di linee guida e raccomandazioni di settore:

  • European Union Maritime Security Strategy emanata nel 2014 ed aggiornata nel 2018, rappresenta un piano condiviso all’interno dell’UE, sviluppato al fine di tutelare persone ed assett costituenti complessivamente l’ecosistema marittimo, porti inclusi, avverso i rischi e le nuove minacce di security che coinvolgono il settore. In particolare, il paragrafo 5, lett. d, del documento in oggetto, include fra le minacce ai danni di porti ed impianti portuali, anche i cyber attacchi;
  • Guidelines on Maritime Cyber Risk Management emanate con la Circolare MSC-FAL.1/Circ.3 emanata dall’IMO in data 5 luglio 2017. Il documento presenta raccomandazioni rivolte a tutti gli attori del settore marittimo e portuale in tema di cybersecurity.

L’impianto normativo e di best practice complessivo sopra indicato, necessita in ogni caso di essere inserito in una struttura di processo, idonea a creare un sistema di gestione per la security delle informazioni.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI