Header Ads

GENNAIO 2022 PAG. 12 - Le Linee Guida IAPH - sicurezza informatica per i porti

 

 

Ad inizio dicembre l’IMO tra le linee guida e gli standard di riferimento sul tema del “Maritime cyber risk” ha inserito per la prima volta linee guida riguardanti la sicurezza informatica per porti e infrastrutture portuali.

Si tratta, in particolare, della prima versione delle «IAPH Cybersecurity Guidelines for Ports and port Facilities» esclusivamente rivolte ai sistemi portuali pubblicata il 2 luglio 2021 dalla International Association of Ports and Harbors (IAPH), associazione internazionale di categoria che rappresenta porti e autorità portuali di tutto il mondo; per l’Italia è membro il Porto di Genova.

Il documento, annunciato dalla stessa IAPH nel mese di settembre ultimo scorso, è stato sottoposto fin da subito all’attenzione della stessa IMO anche al fine di prendere in considerazione la richiesta di una loro inclusione nelle prossime risoluzioni/circolari IMO sulla gestione del rischio informatico marittimo. Ciò in quanto nei riferimenti normativi ad oggi emanati è stata posta l’attenzione sostanzialmente solo alle navi e conseguentemente alle Compagnie/Società di navigazione, concentrandosi nello specifico nel recepimento della “gestione del rischio informatico” nei documenti previsti del codice ISM (International Safety Management Code). In buona sostanza senza trattare il sistema portuale nel suo complesso. Del resto anche le varie linee guide e manuali prodotti ad oggi dalle principali Associazioni internazionali di shipping (in primo luogo ICS, BIMCO etc.) riguardano essenzialmente la gestione della cybersecurity a bordo delle navi.

Solo a livello istituzionale/governativo sono state prodotte pubblicazioni dedicate alla sicurezza informatica per porti e strutture portuali. Nel 2016 lo IET (Institution of Engineering and Technology - UK) aveva pubblicato il documento «Good practice guide: cyber security for ports and port systems» poi aggiornato a gennaio 2020. Nel 2019 e 2020 l’Agenzia dell'Unione europea per la cybersicurezza ENISA ha pubblicato due importanti documenti inerenti la sicurezza informatica dedicati alla cyber security portuale: il «Port Cyber Security – Good practices for cybersecurity in the maritime sector» del 26 novembre 2019, seguito dal «Cyber Risk Management for Ports – Guidelines for cybersecurity in the maritime sector» del 17 dicembre 2020.

Con le Linee Guida della IAPH l’IMO è stata invitata a raccogliere l’opportunità se non la necessità di adeguare, in particolare, il codice ISPS (International Ship and Port Facility Security Code) sollecitando anche prossimi approfondimenti al riguardo. Questo nella considerazione ed indipendentemente dal fatto che, pur considerando il “Sistema di gestione della sicurezza” (safety) ai sensi del codice ISM lo strumento migliore per mitigare i rischi e le minacce informatiche applicabile fondamentalmente alle navi, l’attuale framework normativo internazionale riconosciuto non rappresenta lo strumento più adeguato nel promuovere la sicurezza informatica per l’organizzazione, i sistemi e gli impianti portuali come è ben noto sempre più connessi alla rete. Ovvero realizzare un “sistema di gestione del rischio informatico” maggiormente attagliato alle specificità del Sistema portuale, per molti aspetti soggetto a differenti criteri gestionali rispetto a quelli adottati per le navi commerciali che peraltro sono stati già resi obbligatori dal 1° gennaio 2021 - come noto agli addetti ai lavori, ci si riferisce all’applicazione della IMO Resolution MSC.428 (98) «Maritime cyber risk management in safety management systems» adottata il 16 giugno 2017, nonché alla Circolare IMO MSC-FAL.1-Circ.3 «Guidelines on maritime cyber risk management» del 5 luglio 2017. La Risoluzione IMO è infatti relativa alla gestione del rischio informatico marittimo nel quadro del sistema di gestione della safety di bordo (Safety Management Systems - SMS) ai sensi del codice ISM; sulla base di tale Risoluzione, dal 1° gennaio 2021 i rischi cibernetici devono essere adeguatamente analizzati e mitigati nell’ambito del predetto SMS, con corrispondente emendamento del proprio sistema di gestione e verificati in occasione della prima verifica annuale del Document of Compliance (DOC), affermando tra l’altro il principio che le aziende/compagnie marittime sono esse stesse responsabili della gestione del rischio connesso agli incidenti informatici.

Le Linee Guida IAPH rappresentano pertanto il primo documento prodotto da una Associazione industriale a livello internazionale che, accanto alle altre pubblicazioni dell’industria marittima, tende a completare il quadro di riferimento prodotto dal cluster marittimo sulla gestione del rischio informatico.

Quindi, sebbene come sopra precisato, fossero stati già emanati documenti sulla sicurezza informatica per i porti e le strutture portuali, i leader dell'industria portuale membri della IAPH nel presentare questo documento, hanno inteso colmare il divario relativo ad una certa mancanza a livello internazionale di una pubblicazione specifica ed aggiornata sulla sicurezza informatica, proponendo «un unico completo insieme di linee guida personalizzate per i porti e le strutture portuali». Ciò al fine di emanare specifici standard di sicurezza informatica per tali sistemi nonché sottolineare la necessità, ed è questo un passaggio sicuramente fondamentale, di mirare ad una formazione diffusa del proprio personale a tutti i livelli, sia attraverso corsi di formazione individuali che di gruppo nonché la programmazione di esercitazioni sulla sicurezza informatica.

Nella stesura del documento risulta abbiano collaborato i maggiori esperti di diverse Autorità Portuali nonché specialisti di sicurezza informatica di Società associate oltre a collaboratori della Banca Mondiale, tutti pertanto determinati a trovare adeguate soluzioni a fronte sia dall’aumento degli attacchi informatici che hanno interessato anche importanti infrastrutture portuali, che a rispondere ai possibili rischi e minacce derivanti dalla spinta digitalizzazione degli stessi sistemi portuali.

Sebbene si tratta di una pubblicazione indirizzata sia ad un pubblico tecnico che non, risulta progettata soprattutto per sensibilizzare il livello dirigenziale delle Autorità Portuali associate sulla necessità di affrontare il problema della sicurezza informatica e offrire un approccio pragmatico e pratico per affrontare i rischi connessi. Infatti, lo scopo è di supportare i responsabili dei porti e delle strutture portuali nella possibilità di stabilire il vero impatto finanziario, commerciale ed operativo conseguente ad un evento informatico, nonché fornire strumenti per una valutazione il più possibile obiettiva circa la prontezza nel prevenire, arrestare e quindi potersi riprendere in caso di incidente o attacco. Questi aspetti, ovviamente, includono il coinvolgimento soprattutto della struttura organizzativa direzionale nella corretta valutazione del livello di rischio atteso, nelle capacità di rilevamento delle minacce e nella risposta agli incidenti anche individuando personale specialistico adeguato agli attuali e futuri scenari. Infine, gli operatori delle strutture vengono incoraggiati a condividere le informazioni informatiche e gli eventi informatici subiti con i regolatori governativi e i partner del settore, riconoscendo l'importanza circa lo scambio degli elementi di risposta e delle segnalazioni pianificate individuate a seguito di ogni incidente o effettivo attacco.

In conclusione, nel sottolineare quanto ormai sia evidente che i porti e le navi rappresentino le componenti essenziali di un sistema finalizzato, in estrema sintesi, al mantenimento della catena di approvvigionamento globale oltre che a costituire un complesso di infrastrutture critiche da proteggere, è necessario che anche per il Sistema portuale nel suo complesso vengano individuati standard il più possibile comuni e riconosciuti anche a livello internazionale nella gestione del rischio informatico. Del resto, i più recenti eventi hanno reso particolarmente visibile l’essenzialità del trasporto marittimo.

Una molteplice varietà di attori, industriali, economici nonché governativi interagiscono nelle comunità marittima e portuale al fine di garantire la continuità dei flussi multimodali. Tali interazioni oggigiorno, e lo sarà sempre di più nel futuro, si realizzano attraverso lo scambio di dati sulla Rete - tra mare e terra e viceversa - facilitando e velocizzando enormemente tutti i processi di lavoro. Tuttavia, le interazioni fisiche cui si aggiungono quelle legate alla digitalizzazione, fino e diventarne elemento predominate, devono avvenire in modo sicuro sia sotto il profilo della safety che della security, oltre che in maniera sempre più efficiente e complessivamente sostenibile. È quindi evidente che anche il Sistema portuale, in tema di sicurezza informatica, necessita di standard adeguati in grado di poter competere nella gestione della catena di approvvigionamento globale.

Francesco Chiappetta
CA (ris). M.M.

 


Immagini dei temi di Bim. Powered by Blogger.