MAGGIO 2020 PAG. 24 - L’Università della Calabria sull’attacco cyber alla MSC
Il 9 aprile 2020 il sito web della Mediterranea Shipping Company (MSC) per circa 10 ore risultava non disponibile. L’inconveniente, come indicato alla pagina web della Società (Fig.1) – «msc.com» – si è protratto per circa 6 giorni per poi essere ripristinato il 15 aprile.
A questo riguardo, l’Osservatorio sulla Sicurezza Marittima, istituito nel 2019 presso l’Università degli Studi della Calabria nell’ambito del Laboratorio di Cyber-intelligence del Master in Intelligence, ha curato un breve analisi dell’evento. In questo articolo si riportano i principali aspetti emersi.
Elementi temporali dell’attacco
Uno dei primi a dare notizia dell’incidente – già il 9 aprile – è stato Lars Jensen, analista della società danese SeaIntelligence Consulting, che ha subito parlato di un attacco cyber andato a buon fine. Numerosi siti web, internazionali e nazionali, già dal 10 di aprile fino al 14 hanno riportato la notizia, non escludendo ma neanche confermando un possibile attacco informatico in corso.
La MSC, su Twitter, ha inizialmente confermato il disservizio parlando di un problema legato al proprio data center di Ginevra; poi, però, ha reso noto di non poter escludere l’ipotesi di un “malware” – contrazione di «malicious software» – concentrato sui sistemi informatici presso il proprio Quartier Generale e che aveva influito sulla disponibilità di alcuni servizi. Al momento del blocco sia il «sito Web globale» di MSC che il sito «myMSC.com», rispettivamente il portale clienti e la piattaforma di prenotazione, sono risultati inaccessibili. La Società ha, tuttavia, subito fornito, come alternativa, la diponibilità di piattaforme online di terze parti – come INTTRA, GT Nexus e CargoSmart – nonché collegamenti direttamente tramite i propri rappresentanti MSC utilizzando metodi più tradizionali come telefono o e-mail personali.
Successivamente, ancora su Twitter, MSC ha comunicato «di chiudere i server nella sede come prima misura di sicurezza, poiché la sicurezza è la nostra priorità assoluta» per poi precisare di «monitorare e valutare la situazione, lavorando per il pieno recupero nel più breve tempo possibile». Inoltre, ha voluto rassicurare che «la rete mondiale di agenzie sta funzionando e i nostri agenti locali stanno supportando i clienti per tutti i servizi come avviene abitualmente»; ha, infatti, inteso precisare che tutte le agenzie marittime locali del gruppo come tutti i propri Uffici erano comunque rimasti pienamente operativi.
Il 12 aprile, sempre via Twitter, la Società sembrava fiduciosa di intravedere a breve una soluzione affermando che il problema sarebbe stato risolto a breve.
Infine, il 15 aprile 2020, dopo circa 6 giorni dall’evento, MSC sul proprio sito istituzionale, dopo aver ripristinato tutti i servizi ha pubblicato uno proprio rapporto – “MSC STATEMENT & FAQ” – con il quale ha chiarito le dinamiche dell’inconveniente e fornito una serie di risposte a specifiche domande preparate. In sintesi, ha confermato di essersi trattato effettivamente di un attacco cyber. Un “malware” basato su di una «vulnerabilità mirata ingegneristica progettata». La Società ha precisato che l’incidente si è limitato ad un numero esiguo di «physical computer systems» esclusivamente presso la sede di Ginevra, con un impatto definito «limitato» ed adottando i protocolli interni riguardanti la sicurezza, le comunicazioni e le transazioni commerciali. MSC ha anche affermato di aver condiviso con i propri partner tecnologici, secondo gli standard del settore, le caratteristiche del malware sofferto in modo che le mitigazioni venissero rese disponibili non solo all’interno della Società. A tal riguardo MSC, nel predetto rapporto, ha comunque tenuto a precisare di non aver voluto commentare e fornire in dettaglio gli aspetti tecnici dell’attacco, dichiarando che ciò sarebbe stato «controproducente dal punto di vista della sicurezza».
Analisi
L’incidente subito il 9 aprile 2020 dalla MSC segue gli attacchi informatici che hanno colpito, rispettivamente nel 2017 e nel 2018, la danese A.P. Møller – Mærsk e la cinese Cosco Shipping Lines. Con questo incidente nell’arco degli ultimi tre anni le 3 principali compagnie di trasporto container a livello mondiale hanno subito un attacco informatico. Ad oggi, la Swiss Shipping Company MSC, dopo la Società danese è, infatti, la seconda più grande compagnia marittima di container al mondo, controllando circa 570 navi pari al 16% della capacità mondiale di trasporti in termini di TEU.
Gli elementi raccolti, essenzialmente da open-source, e le conseguenti considerazioni consentono di procedere ad una sommaria analisi dell’incidente.
A - Innanzitutto, l’attuale momento storico e la tempistica secondo cui l’evento si è realizzato consente di fissare alcune interessanti evidenze:
□ l’attacco si è concretizzato nel bel mezzo della pandemia da COVID-19; un periodo certamente eccezionale che, dal punto di vista info-tecnologico, risulta peraltro particolarmente caratterizzato da un elevato incremento dei flussi di dati a livello globale apparso decisamente superiore alla media; una condizione probabilmente aggravata da condizioni di lavoro essenzialmente svolte sulla rete (lavoro a distanza, uso essenziale di e-mail e in molti casi estremi delle reti “social”, oltre che video conferenze o telefonate collettive su piattaforme di comunicazione dedicate);
□ è, infatti, molto probabile/evidente che al momento dell’attacco anche per la società MSC erano state implementate attività lavorative a distanza nell’ottica di una strategia industriale mirata a mantenere, anche sotto condizioni di crisi o esposizione a minacce attive come quella che stava subendo, una propria capacità nell’esecuzione dei processi operativi; attività operative, come per le maggiori società, comunque presumibilmente svolte su piattaforme di comunicazione digitali e hardware aziendali dotate di adeguati sistemi di sicurezza informatica; una condizione tuttavia in qualche modo degradata rispetto a normali condizioni di lavoro;
□ alla data dell’attacco si era nell’imminenza di un lungo WE legato alle festività pasquali, quindi una data prescelta per l’attacco evidentemente prossima ad un periodo contraddistinto da una minore presenza lavorativa presso la sede di Ginevra; elemento questo di ulteriore criticità o quantomeno di ridotta disponibilità di personale tecnico, soggetto anche alle predette condizioni di lavoro a distanza, con una limitata possibilità di intervenire fisicamente e con adeguata rapidità su eventuali sistemi/hw danneggiati/bloccati.
In base a tali elementi, sembrerebbe che l’attaccante abbia individuato un periodo particolarmente favorevole dove, di massima, maggiore sarebbe risultato il grado di vulnerabilità del target. In questo senso si ritiene che la tempistica prescelta per l’attacco non sia risultata semplicemente casuale. Peraltro è noto il fatto che molti attacchi informatici vengono perseguiti proprio in momenti in cui l’attenzione o la capacità d’intervento può essere meno efficace. Del resto la stessa MSC, nel report del 15 aprile, ha confermato di aver sofferto alcune difficoltà per intervenire nei giorni non lavorativi previsti per il periodo festivo. Anche questo aspetto ha certamente generato una non operatività del sito MSC per ben 6 giornate.
B - L’evento risulterebbe decisamente concentrato e mirato sui sistemi ubicati presso il Quartier Generale di MSC a Ginevra; la Società ha infatti dichiarato di trattarsi di un attacco “malware” basato, come già accennato, su di una «vulnerabilità mirata progettata». Questo sembra quindi confermare che non si è trattato di un attacco di hacker diffuso e/o distribuito a più target ma, presumibilmente, mirato alla stessa MSC e probabilmente con un ben preciso obiettivo.
C - MSC, sempre nel report del 15 aprile, pur confermando di aver subito un malware non è voluta entrare, per ragioni pienamente comprensibili di sicurezza e riservatezza, nelle specifiche caratteristiche tecniche osservate. Tenuto conto del fatto che, come noto, esistono varie topologie di malware, è tuttavia chiaro che si sia trattato, ad esempio, di un ransomware (a fini di un profitto economico) o ad esempio di uno spyware (appropriazione di dati industriali, finanziari o comunque sensibili). La Società, nel rapporto del 15, ha dichiarato comunque di non essere a conoscenza dei dati compromessi o addirittura persi e non ha fornito alcuna indicazione circa una valutazione dell’impatto economico.
D - Come ulteriore conseguenza dell’attacco non sembra escludersi, almeno a livello collaterale, quello connesso ad un effetto di “danno reputazionale”. Come accennato all’inizio, tra le tre grandi Compagnie di trasporto marittimo di container dopo la danese Mærsk e la cinese COSCO, mancava all’appello proprio la MSC. Inoltre, il 6 aprile, quindi solo alcuni giorni prima dell’incidente, l’amministratore delegato e presidente di MSC, con una lettera postata sul sito della società aveva preannunciato che una delle contromisure che la Compagnia intendeva sfruttare per fronteggiare l’emergenza e l’impatto del Coronavirus era proprio una estesa digitalizzazione dei propri servizi; ad esempio, il sistema di booking dei container tramite il proprio portale web. Il dubbio rimane che proprio queste dichiarazioni abbiano in qualche modo attirato l’attenzione di competitori o semplicemente hacker ma comunque con appropriate competenze tecniche (vds. Riquadro a lato) per provocare un attacco che, come sopra rilevato, è risultato in ogni caso mirato.
E - Infine, dagli elementi raccolti è evidente che la società ha comunque messo in atto protocolli di sicurezza certamente pre-pianificati, attivando sistemi di comunicazione alternativi che gli hanno quindi consentito, anche durante il periodo di blocco del proprio sito istituzionale, l’operatività dei movimenti e prenotazioni dei trasporti. Efficace è apparsa la comunicazione istituzionale seguita dalla Società fin dall’inizio dell’inconveniente.
Conclusioni
Sebbene nello scorso anno e nei primi tre mesi del 2020 non erano stati registrati attacchi informatici di particolare rilievo subiti dallo shipping, l’evento del 9 aprile ripropone in maniera evidente quanto il tema della Cyber Security debba rimanere al centro dell’attenzione dell’industria marittima.
Una minaccia che conferma la sua efficacia anche per grandi Società armatoriali, come quelle sopra indicate, le quali certamente possono disporre di rilevanti risorse da poter dedicare sia in termini di sistemi di protezione che, soprattutto, nella formazione del proprio personale.Quest’ultimo aspetto rappresenta, certamente, il fattore strategico su cui puntare in quanto, alla fine, dietro ogni schermo/telefono è sempre l’operatore umano l’ultima soglia di attenzione da superare.
In ultimo, come già sottolineato, è alquanto evidente che l’attacco attacco subito dalla MSC è sopraggiunto anche in un momento in cui la pandemia COVID-19 sta già mettendo a dura prova le catene di approvvigionamento globali che, come più volte ripetuto, si svolgono per oltre l’80% via mare. Ciò nonostante la risposta da parte dell’industria marittima, soprattutto a livello internazionale, appare alquanto compatta e coesa a sostenere la sfida di questi mesi e in grado di assicurare una piena continuità dei trasporti marittimi.
Contrammiraglio (aus.)
Francesco Chiappetta
Presidente Osservatorio
Sicurezza Marittima
Università degli Studi della Calabria