Assagenti News

Maritime cyber risk:linee guida di IMO e BIMCO contro il rischio di attacchi informatici

01/12/2017

Maritime cyber risk:linee guida di IMO e BIMCO contro il rischio di attacchi informatici

Rubrica a cura dello Studio Legale Siccardi Bregante & C. - www.siccardibregante.it - studio@siccardibregante.it

Nel corso degli anni l’incremento dell’uso della tecnologia ha certamente determinato significativi vantaggi in termini di efficienza in tutti i settori, ivi incluso quello marittimo, presentando al contempo notevoli rischi legati alla potenziale vulnerabilità dei processi informatici dedicati al funzionamento dei vari sistemi. Nel giugno 2017 l’impatto di tali rischi è stato avvertito a seguito dell’attacco informatico perpetrato a livello internazionale da parte di hacker mediante l’utilizzo di un ransomware - noto come Petya o NotPetya – ovvero un virus che ha reso inaccessibili i sistemi informatici tenendoli in “ostaggio” al fine di estorcere denaro alle vittime per lo sblocco degli stessi. L’attacco, che ha colpito inizialmente banche e società ucraine, ha coinvolto imprese di tutto il mondo, tra cui la centrale nucleare di Chernobyl, l’agenzia pubblicitaria britannica Wpp, il colosso dei trasporti marittimi Moller-Maersk, l’impresa di materiali edili francesi Saint Gobain e la società farmaceutica americana Merck Sharp & Dome.
Sebbene l’opportunità di un’idonea protezione contro le minacce informatiche nel comparto dello shipping fosse già stata avvertita in passato, a seguito di tale ultimo evento le imprese operanti in detto settore hanno concretamente percepito, da un lato, l’esigenza di procedere ad una corretta gestione del rischio informatico, per escludere o arginare errori operativi e di sicurezza causati dal danneggiamento o dalla perdita di informazioni o sistemi e, dall’altro, i potenziali pericoli degli attacchi cyber per l’attività svolta. I danni discendenti dall’assenza di adeguate protezioni informatiche possono, in via esemplificativa, concretizzarsi nella perdita di dati sensibili e della proprietà intellettuale propria e di terzi, la perdita economica derivante dalla possibile deviazione di pagamenti attraverso infiltrazioni esterne nei sistemi informatici, l’interruzione dell’attività, il danno alla reputazione e i costi per la gestione e la riparazione dei danni subiti.
Per rispondere a tali esigenze, il 16 giugno 2017 sono state adottate da parte dell’International Maritime Organization (IMO) le raccomandazioni contenute nella Risoluzione MSC.428(98), Maritime Cyber Risk Management in Safety Management Systems, nelle quali si evidenzia che il sistema di gestione della sicurezza (SMS) dovrebbe tener conto della gestione del rischio informatico in conformità agli obiettivi e ai requisiti funzionali del Codice ISM (art. 1). Secondo l’IMO è quindi necessario garantire che i rischi informatici siano adeguatamente affrontati nell’ambito del SMS entro la prima verifica annuale del documento di conformità della società seguente al 1 gennaio 2021 (art. 2).
Il 5 luglio successivo, l’IMO ha elaborato un secondo documento, il MSC-FAL.1/Circ.3, Guidelines on maritime cyber risk management, recante una serie di raccomandazioni rivolte a tutte le organizzazioni del settore marittimo per incoraggiare pratiche di gestione della sicurezza nel cyber spazio per salvaguardare le spedizioni dalle minacce e dalle vulnerabilità informatiche (art. 2.2.1).
In tali linee guida l’IMO identifica alcuni dei sistemi più vulnerabili alle aggressioni cyber, tra i quali, per esempio, i sistemi informatici mediante i quali sono gestiti i carichi trasportati, i dispositivi elettronici per la navigazione e per la comunicazione, nonché i sistemi informatici correlati ai servizi forniti ai passeggeri (art. 2.1.1). Individuati i sistemi più vulnerabili, nella gestione del rischio informatico, ogni società dovrebbe considerare la distinzione esistente tra i sistemi della information technology (nei quali i dati sono usati come informazioni) e quelli della operational technology (in cui i dati sono usati per scopi diversi, ovvero per controllare o monitorare processi fisici). La cyber-security dovrebbe essere implementata in entrambi i sistemi oltre che nello scambio di dati tra gli stessi (art. 2.1.2) al fine di limitare i rischi derivanti da vari fattori, quali, ad esempio, operazioni inadeguate, protezioni vetuste e minacce informatiche intenzionali (come hacking o introduzione di malware) e non intenzionali (come manutenzione del software) (artt. 2.1.3-4). Alla valutazione di tali cyberrisk è necessario aggiungere la previsione di una rapida evoluzione delle tecnologie e delle minacce, che rende difficile impedire le intrusioni dal cyberspazio solo attraverso la valutazione di standard tecnici. Di conseguenza, l’IMO suggerisce di affrontare la questione dei cyber risk nel contesto più generale del sistema di gestione della sicurezza aziendale (SMS), adottando un approccio che sia in grado di resistere ai pericoli informatici noti e che sia, al contempo, in grado di progredire tenuto conto dell’evoluzione delle minacce informatiche. Tutto ciò, mediante l’istituzione di diversi meccanismi di controllo dei rischi informatici da un punto di vista operativo, procedurale e tecnico (art. 3).
Accanto alle sopraccitate iniziative dell’IMO anche il Baltic and International Maritime Council (BIMCO), nel luglio di quest’anno, ha offerto il suo contributo al riguardo. Con la partecipazione di altre organizzazioni (CLIA, ICS, INTERCARGO, INTERTANKO, IUMI e OCIMF), BIMCO ha pubblicato la seconda edizione del documento denominato The Guidelines on Cyber Security Onboard Ships (sostitutivo del precedente del gennaio 2016), recante linee guida dirette a fornire assistenza agli armatori e agli operatori a bordo delle navi. Tale documento si focalizza sui sei aspetti considerati critici nella gestione della cyber-security, ossia (i) l’identificazione delle minacce, (ii) l’individuazione delle vulnerabilità nel sistema di sicurezza informatica della nave, (iii) la valutazione della probabilità di essere esposti a minacce esterne, (iv) lo sviluppo di misure di protezione e di rilevamento per ridurre al massimo l’impatto, (v) l’istituzione di piani di emergenza per ridurre l’incidenza di minacce e (vi) l’individuazione della risposta agli incidenti relativi alla cyber-security, con la previsione di una copertura assicurativa ad hoc quale parte integrante della strategia di gestione dei rischi informatici.
Gli interventi sopra riferiti denotano un’accresciuta sensibilità degli operatori del settore in tema di cyber risks, che non può essere considerata sorprendente considerate le numerose conseguenze legali ed economiche ipotizzabili in conseguenza di un attacco informatico nei confronti di un’impresa marittima. In questa sede, esemplificativamente, rileviamo che qualora un sistema informatico venga violato su una nave e l’armatore non sia in grado di provare di aver agito con la dovuta diligenza nel gestire i rischi informatici, non si può escludere che tale nave sia considerata “innavigabile” in violazione del contratto di trasporto. Invero non riuscire a proteggere una nave da attacchi informatici, la quale non potrebbe operare senza idonei dispositivi elettronici per la navigazione e la comunicazione, potrebbe condurre ad un reclamo in base alla polizza di carico o al contratto di noleggio, atteso che tale mancanza potrebbe essere considerata come un inadempimento del dovere di diligenza nel rendere la nave idonea alla navigazione e/o come una violazione dell’art. 3, par. 1, lett. a) delle Regole dell’Aja-Visby, per il quale “the carrier shall be bound before and at the beginning of the voyage to exercise due diligence to: (a) make the ship seaworthy”.