Con la trasformazione digitale in corso e il rapido aumento dell’interconnessione, anche i porti sono sempre più connessi, diventando quindi un potenziale obiettivo per i criminali informatici.
Negli ultimi anni hanno avuto una crescente rilevanza i cosiddetti smart port, porti che utilizzano le nuove tecnologie nei processi logistici. Sistemi prima manuali come quelli per il controllo delle macchine portuali possono ora essere gestiti da remoto e i porti stanno investendo in tecnologie come l’Internet of Things (IoT), l’intelligenza artificiale e i gemelli digitali.
Queste tecnologie permettono di automatizzare e accelerare i processi logistici e, di conseguenza, mantenere la competitività.
Resilienza delle infrastrutture critiche: così l’Europa concilia sicurezza fisica e cyber
Indice degli argomenti
Le vulnerabilità informatiche nel settore portuale
Gli attacchi ai sistemi informatici portuali, quindi, non solo possono compromettere o sottrarre dei dati, ma ripercuotersi anche sulla supply chain, impedendo l’esercizio di alcune attività economiche e provocando perdite finanziarie.
Secondo quanto riportato dal monitoraggio svolto dal Maritime Computer Emergency Response Team (M-CERT), associazione francese senza scopo di lucro che si occupa della sicurezza informatica nel settore marittimo, negli ultimi anni il numero di attacchi informatici contro i porti risulta essere in crescita.
Mentre nel 2018, nei principali porti internazionali, sono stati registrati 9 incidenti (contro gli 11 del 2017 e i 10 del 2016), a partire dal 2020 la cifra è aumentata in modo progressivo, fino ad arrivare nel 2022 a 87 attacchi.
Uno dei casi più noti è stato quello dell’attacco che, nel 2017, attraverso il ransomware NotPetya, ha colpito l’azienda Maersk e la sua filiale portuale APM Terminals. L’attacco era stato progettato per diffondersi attraverso reti organizzative chiuse, sfruttando i privilegi di amministratore.
Questo incidente ha evidenziato non solo le vulnerabilità informatiche del settore, ma anche la sofisticatezza dei metodi utilizzati negli attacchi.
Aumentare la consapevolezza sul cyber risk
A livello internazionale, il settore ha dovuto riconoscere la necessità di aumentare la consapevolezza sul rischio informatico. Nello stesso anno, l’Organizzazione Marittima Internazionale ha adottato delle linee guida sulla gestione del rischio informatico, “Guidelines on Maritime Cyber Risk Management”, che includevano i porti e fornivano raccomandazioni volte a salvaguardare il trasporto marittimo.
Alla luce di questi avvenimenti, si è reso necessario aumentare la consapevolezza di tali rischi, e sono state organizzate le prime iniziative in questo senso. Nel 2022, a febbraio, Assarmatori e Fise Uniport hanno organizzato un webinar dal titolo “Cybersecurity nell’ambito marittimo-portuale”, mentre a giungo, Port Technology International, rivista di riferimento per autorità portuali e operatori di terminal, ha avviato un convegno sulla gestione della cybersicurezza nei porti.
Dal canto loro, le strutture portuali si stanno anch’esse muovendo per aumentare la propria sicurezza informatica. Negli Stati Uniti, il porto di Los Angeles starebbe realizzando il progetto di un “Cyber Resilience Center”, una struttura che fungerà da hub centrale, in modo da poter condividere informazioni sulle minacce informatiche tra il settore pubblico e quello privato, come compagnie di navigazione e fornitori, tra cui gli operatori ferroviari e le società di telecomunicazioni.
Iniziative simili stanno prendendo avvio anche in Europa. Secondo quanto dichiarato a The Wall Street Journal da Marijn van Schoote, responsabile della sicurezza informatica nel porto di Rotterdam, anche questa infrastruttura starebbe valutando la possibilità di istituire un centro operativo di sicurezza dello stesso genere.
Per quanto riguarda l’Italia, invece, a gennaio l’Autorità di Sistema Portuale di Genova e Savona ha stipulato una polizza assicurativa per proteggersi contro i rischi legati alla cyber security.
Le disposizioni ENISA per la gestione del rischio cyber
Il primo studio dell’UE in materia di cyber security nel settore marittimo, Analysis of cyber security aspects in the maritime sector, è stato pubblicato da ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, nel 2011.
Nel 2019, invece, l’Agenzia ha rilasciato delle linee guida specifiche per le entità coinvolte nell’ecosistema portuale, in modo che possano costruire una propria strategia di sicurezza informatica.
Lo studio, intitolato Port Cyber Security – Good practices for cybersecurity in the maritime sector, è stato sviluppato in collaborazione con diversi porti dell’UE. Nel documento vengono definiti i principali asset che possono essere messi a rischio, identificate le possibili minacce informatiche e suggerite le strategie da mettere in atto.
L’Agenzia dispone anche, sul proprio sito web, di una sezione dedicata al Cyber Risk management per i porti, uno strumento che intende fare da guida agli operatori portuali nel condurre la gestione del rischio informatico, con un approccio in quattro fasi: identificazione degli asset, identificazione e valutazione dei rischi informatici, identificazione delle misure di sicurezza e valutazione dell’efficacia di tali misure.
L’evoluzione normativa: la Direttiva NIS 2
L’aspetto normativo sull’argomento, invece, è ancora in evoluzione. Sul versante delle disposizioni, nel 2014 è stata emanata la European Union Maritime Security Strategy, in seguito aggiornata nel 2018. Il piano, che ha l’obiettivo di proteggere gli interessi dell’UE in mare, fa riferimento alle infrastrutture critiche marittime, tra le quali annovera le aree specifiche dei porti e delle strutture portuali, insieme agli impianti off-shore, l’approvvigionamento energetico via mare e le condutture sottomarine. Tra le minacce alla sicurezza di queste strutture vengono compresi anche i cyber attacchi.
Il 10 marzo, la Commissione Europea ha comunicato l’adozione di una comunicazione congiunta per un nuovo aggiornamento nel 2023, e di un piano d’azione aggiornato attraverso il quale verrà attuata. Riguardo l’ambito informatico, la nuova strategia prevede il potenziamento delle competenze in cybersicurezza, in particolare sul versante civile, e l’avvio di programmi di formazione aperti anche a partner non UE.
La Direttiva (UE) 2022/2555, anche nota come NIS 2, promulgata a dicembre 2022, ribadisce che la preparazione e l’efficacia della cybersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato e che “la cybersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione”.
Nella direttiva viene incluso tra i settori ad alta criticità quello dei trasporti, in cui rientra il trasporto marittimo, esteso anche agli organi di gestione dei porti, i relativi impianti portuali e i soggetti che gestiscono opere e attrezzature all’interno degli stessi.
La direttiva stabilisce che queste società eseguano delle valutazioni del rischio informatico e mettano in atto misure di prevenzione, come la crittografia, contro gli attacchi informatici.
Centinaia di aziende che operano fuori dai grandi porti europei dovranno quindi implementare misure di sicurezza di base e segnalare gli attacchi alle autorità competenti.
Queste norme introducono per la prima volta tali requisiti di sicurezza informatica per molte aziende che forniscono servizi a settori critici.
