Le Linee guida IMO sulla cybersecurity nascono dalla consapevolezza sui pericoli al comprato, derivati da campagne come WannaCry e PetYa
IMO ribadisce che la cybersecurity sulle navi è fondamentale per garantire la tutela e sicurezza dello shipping a livello globale. Lo fa con la pubblicazione di linee guida sulla gestione dei cyber rischi in ambito marittimo. Il documento è conseguente a un’altra pubblicazione di questo tipo dell’International Maritime Organization: il Maritime Cyber Risk Management in Safety Management Systems, adottato a giugno del 2017. Questo era stato compilato dopo che le due campagne malware, WannaCry e PetYa, avevano prodotto danni molto ingenti a tutto il comparto. Che per la prima volta è stato attaccato dal cybercrime in modo massiccio e violento. Di conseguenza, si è reso necessario aggiornare tutti i meccanismi di difesa cibernetica dai pericoli provenienti dal cyberspazio. Rivolti in particolare verso i sistemi critici sia delle navi sia a terra.
I sistemi delle navi più vulnerabili ai cyber attacchi secondo IMO
Nelle Linee guida contro i cyber rischi a bordo delle navi, IMO identifica una serie di sistemi che sono più vulnerabili alle aggressioni informatiche. Da quelli di ponte a quelli di gestione dei carichi, passando per quelli di controllo dell’energia alla gestione delle macchine e della propulsione. Non mancano i servizi ai passeggeri e le reti pubbliche per essi, nonché quelli di controllo dell’accesso, le comunicazioni e i software per la gestione amministrativa e del welfare dell’equipaggio. Ce ne sono comunque anche altri, utilizzati o meno dalle imbarcazioni, a seconda della loro tipologia. Che siano navi da crociera, petroliere o portacontainer per lo shipping.
Information Technology e Operational Technology
Inoltre la International Maritime Organization ricorda che c’è una netta distinzione tra i sistemi della information technology (IT) e quelli della operational technology (OT). La prima è caratterizzata dall’uso dei dati come informazioni. Per IMO, invece, la seconda per scopi diversi. Cioè controllare o monitorare processi fisici. Di conseguenza, è imperativo incrementare la cybersecurity di entrambi e dello scambio di dati con questi sistemi. I rischi sono derivati da operazioni inadeguate, dall’integrazione di IT e OT, da protezioni vecchie e da minacce informatiche intenzionali e non. Queste si presentano con azioni offensive, come hacking o inoculazioni di malware. Oppure come risultato non voluto di operazioni “benigne”, quali la manutenzione del software o l’uso lecito dei sistemi.
IMO: il settore shipping e navale in generale deve adottare un approccio di risk management resiliente ai pericoli e controllabile
A questi cyber rischi, ricorda IMO, si aggiunge anche il fatto che c’è una rapida evoluzione delle tecnologie e delle minacce, che rendono difficile contrastare le intrusioni dal cyberspazio solo attraverso standard tecnici. Di conseguenza, si suggerisce a tutto il settore shipping e navale in generale di adottare un approccio di risk management verso i pericoli informatici che sia resiliente e che si possa evolvere come una estensione naturale delle pratiche di gestione della sicurezza. Inoltre, si suggerisce di istituire una serie di potenziali opzioni per il controllo del cyber risk management. Da quello operativo al procedurale, fino al tecnico.
L’Organizzazione cerca di diffondere la cybersecurity awareness anche collaborando con altri settori
IMO, peraltro, sta anche cercando di diffondere quanto possibile le Guidelines on maritime cyber risk management. Ciò, partecipando a diversi fora internazionali di alto livello, non solo legati al settore marittimo e dello shipping. Ma anche alla protezione delle infrastrutture critiche in generale. A proposito, l’Organizzazione ha preso parte al Sub Regional Workshop on Critical Infrastructure Protection: Cybersecurity and Border Protection a Panama City dal 13 al 15 settembre. L’evento era organizzato dal Segretariato dell’Inter-American Committee against Terrorism (CICTE) dell’Organizzazione degli Stati Americani (OSA).