Cyber security nelle attività ispettive delle Capitanerie di Porto: regole di sicurezza portuale e marittima

Nel corso del 2019 il Comando Generale del Corpo delle Capitanerie di Porto, nell’ambito delle attività di competenza del 6° Reparto – Sicurezza della Navigazione, ed in particolare del 3° Ufficio, dedicato alla Maritime Security, ha posto in essere una rilevante attività interpretativa concernente l’emanazione di circolari interne in materia di security portuale e marittima.

In particolare, per quanto di interesse, assume rilievo la Circolare non di serie n. 24/2019 del 10/10/2019, relativa al Distance Learning Programme (di seguito, DLP), a favore del personale interno all’Amministrazione, in materia di “Awareness in Maritime Cybersecurity” e “Maritime security”.

Oggetto della circolare è dunque l’aggiornamento del modulo formativo in materia di Maritime Security, mediante l’integrazione dei temi relativi alla parte portuale e l’introduzione del nuovo corso di awareness (o consapevolezza) sui temi della cyber security marittima.

Questo secondo modulo rappresenta l’aspetto di reale novità, poiché “fornisce… le necessarie informazioni per avvicinarsi al mondo della cyber security da parte di non esperti o non addetti ai lavori. Di contro, fornisce agli esperti della materia il necessario contesto normativo e regolamentare in cui svolgere la propria azione di esperto cyber a supporto… delle realtà portuali^[1]…”.

Queste iniziative costituiscono parte integrante del percorso di aggiornamento e formazione professionale del personale interno all’Amministrazione di riferimento, i cui uffici sono individuati secondo un criterio di competenza, nelle Direzioni Marittime presenti sul territorio nazionale, negli Uffici Circondariali Marittimi, nelle Capitanerie di Porto, nonché nel Servizio di Coordinamento FSC/PSC.

In particolare, le figure professionali interessate sono riconducibili in via principale al personale in servizio di Port State Control (o PSC), Duly Authorized Officer (o DAO), Maritime Security Inspector^[2] (compreso per tutti il personale in addestramento), nonché al restante personale eventualmente coinvolto, ivi inclusi a titolo esemplificativo, gli operatori del NOIP^[3] e il personale di Sala Operativa della Capitaneria di Porto. Per quanto concerne i primi profili professionali, la Circolare richiede che al termine del corso in DLP, il personale consegua la relativa attestazione di fine corso.

La Circolare 24 non di serie si rivolge altresì, seppure a titolo di informativa, a tutte le entità pubbliche e private operanti a vario titolo nei porti. In questo senso, si fa riferimento al personale dell’ufficio del PFSO^[4] presente negli impianti portuali ISPS, al personale dell’ufficio del PSO^[5] presente nelle Autorità di Sistema Portuale, nonché ad ogni altro soggetto interessato ed operante nell’ambito dei servizi tecnico-nautici e delle società esercenti i servizi portuali di interesse generale.

Nel caso di accesso da parte delle persone sopra indicate al corso di Awareness in Maritime Cybersecurity, la frequenza, è precisato, “non costituisce titolo alcuno né sostituisce ogni altra formazione ritenuta opportuna o discendente da norme di legge”^[6]. L’accesso è pertanto libero per i terzi, ma allo stato non sarebbe consentita l’esecuzione di test di verifica finali, con relativa attestazione di fine corso^[7].

Il corso di Awareness in Maritime Cybersecurity

Il modulo in oggetto è reso disponibile via DLP sul sito web dell’Agenzia Europea per la Sicurezza Marittima (European Maritime Safety Agency o EMSA)^[8] in lingua inglese e si compone di numero 5 moduli formativi^[9]:

Modulo 1. Welcome and Introduction;

Modulo 2. Basic concepts in maritime cybersecurity;

Modulo 3. International legal framework applicable to the maritime domain;

Modulo 4. European legal framework applicable to the maritime domain;

Modulo 5. Challenges.

Al fine di agevolare la comprensione tecnica dei contenuti del corso, ogni videolezione è supportata da un Glossario^[10] inerente alla terminologia di base, unitamente a tre documenti di supporto ed approfondimento (indicizzati alla voce Allegati^[11]), successivamente integrati da ulteriori testi.

Questo modulo dunque si colloca nelle attività di formazione ed aggiornamento erogate dall’Agenzia Europea per la Sicurezza Marittima, e relative in via principale al personale in servizio di Port State Control (o PSC) e Duly Authorized Officer (o DAO) (compreso per tutti il personale in addestramento).

In breve, è opportuno puntualizzare gli elementi costitutivi che caratterizzano le funzioni sopra indicate, al fine di comprendere meglio le possibili evoluzioni dei ruoli ispettivi indicati, rispetto ai temi della cyber security.

Il rapporto tra Port State Control e Duly Authorized Officer

Il “Controllo dello Stato di Approdo” o Port State Control, indica un’attività ispettiva di navi straniere, compiuta in porti nazionali da parte di personale in funzione ispettiva del Corpo delle Capitanerie di Porto, al fine di verificare se le condizioni della nave, delle sue attrezzature ed equipaggiamento, siano conformi con le norme internazionali poste a tutela della sicurezza della navigazione (qui intesa come safety), dell’ambiente marino e delle condizioni di vita a bordo.

L’obiettivo perseguito è dunque, “… garantire la sicurezza della navigazione, da intendersi non solo nella sua tradizionale accezione di safety ma anche (sebbene in misura estremamente ridotta) in quella più recente di security”^[12]. Il PSC assume dunque rilievo laddove gli armatori, le società di classificazione, i comandanti e le autorità amministrative dello Stato di bandiera^[13], abbiano omesso di conformarsi, tra gli altri, ai requisiti richiesti dalle pertinenti convenzioni elaborate in seno all’IMO e all’ILO^[14].

La prevalente natura di safety delle attività ispettive di PSC coinvolge correttamente le norme della Convenzione SOLAS (Safety Of Life at Sea) del 1974^[15], in particolare le disposizioni del nuovo Capitolo XI – 2, che introduce invece misure speciali per migliorare la security marittima^[16], così come introdotte dalla Conferenza diplomatica dell’IMO del 12 dicembre 2002.

In questo senso, la Regola 9, parr. 1 e 2 del Capitolo XI – 2 SOLAS, prevede che i controlli eseguiti da parte dei funzionari autorizzati a bordo delle navi abbia ad oggetto anche la verifica relativa al possesso di “… un Certificato internazionale di sicurezza della nave ISSC o un Certificato provvisorio internazionale di sicurezza delle navi IISSC in corso di validità rilasciato a norma delle disposizioni della parte A del Codice ISPS…”.

La Regola 9 del Capitolo XI – 2 SOLAS e la richiamata Sezione A/19 del Codice ISPS, realizzano anche un coordinamento (e quindi un punto di contatto) tra controlli di safety tipici delle attività di PSC e controlli di security, eseguiti questi ultimi da parte della medesima Autorità marittima incaricata per il PSC.

Questa seconda tipologia di competenze è esercitata dai funzionari dell’Autorità Designata (Direzione Marittima) espressamente autorizzati dal Comando Generale del Corpo delle Capitanerie di porto, che prendono il nome di Duly Authorized Officer (DAO).

L’ispezione eseguita dai DAOs è dunque finalizzata alla verifica che a bordo della nave interessata dall’Interfaccia nave/porto, sia presente il Certificato ISSC o IISSC in corso di validità, rilasciato ai sensi della Sezione A/19 e ss. del Codice ISPS.

In assenza di un certificato in corso di validità, o qualora i funzionari DAO abbiano fondati motivi per ritenere la non conformità della nave ai requisiti previsti nella Parte A del Codice ISPS, questi potranno imporre una o più misure di controllo, quali l’ispezione della nave, il ritardo o detenzione, la restrizione di operazioni, fino alla sua espulsione dal porto.

Il certificato ISSC e la cyber security portuale

Il Certificato Internazionale di Sicurezza della Nave (ISSC) oggetto dei controlli di tipo DAO, è un documento rilasciato a seguito di una verifica completa della nave, dalla quale risulti tra gli altri, che il sistema di security e le associate attrezzature di security della nave, siano conformi al Capitolo XI – 2 SOLAS e della Parte A del Codice ISPS e che la nave, sia dotata di un Piano di Security (SSP) approvato^[17].

In questo senso quindi, il controllo in sede di DAO mira ad accertare che a richiesta dei funzionari, sia presentato il detto certificato in corso di validità o in sua assenza, un certificato provvisorio. Vale la pena sottolineare, come la mera esibizione del Certificato, non escluda in ogni caso ulteriori accertamenti, qualora il team ispettivo rilevi dei fondati motivi in ordine alla non conformità della nave alle norme del Codice ISPS.

Vero è che il Codice ISPS non tratta espressamente il tema della sicurezza informatica di dati ed informazioni, ma l’infrastruttura di rete di una nave (complessa o rudimentale che sia), può incorporare asset rilevanti^[18] comuni dal punto di vista della loro presenza a bordo, nonché della loro capacità di collegarsi a reti pubbliche di dati.

Gli asset indicati sono inoltre inclusi in linea generale, nel piano di sicurezza della nave (o Ship Security Plan) quali zone ad accesso ristretto sottoposte a specifiche misure di security; questo aspetto, trova inoltre un ulteriore elemento di evoluzione nella Direttiva (UE) 2016/1148, la quale introduce uno standard minimo per la sicurezza delle reti e per la tutela dei sistemi informativi nei paesi dell’Unione, anche rispetto alla futura attività di normazione relativa al settore del trasporto per vie d’acqua^[19].

Poste tale premesse, l’evidente vetustà dei sistemi ICT dell’unità navale oggetto di ispezione o la mancata conoscenza ed implementazione da parte del comando nave o dell’equipaggio, di ogni e qualsivoglia misura proattiva (preventiva) di cybersecurity, potrebbe utilmente rappresentare un elemento rilevante ai fini della sicurezza e non solo della navigazione^[20], ma anche dell’impianto portuale (e quindi del porto) con il quale la nave si trovi ad interfacciarsi^[21].

Il rischio di infezione proveniente da parte di un sistema IT navigante non adeguatamente protetto risulterebbe inoltre particolarmente insidioso per quei porti ed impianti portuali individuati quali operatori di servizi essenziali ed inclusi, nel perimetro di sicurezza nazionale cibernetica, di cui al recente Decreto Legge 21 settembre 2019, n. 105.

In questo quadro quindi, in una prospettiva futura si potrebbe riconoscere in capo ai funzionari DAO, la possibilità di applicare misure di controllo o in alternativa, misure amministrative o correttive di minore impatto al naviglio oggetto di ispezione, per motivazioni connesse all’assenza totale o parziale di procedure per reagire a minacce o violazioni della sicurezza informatica^[22].

In questo quadro quindi, la necessità di conseguire l’attestazione di fine corso da parte del personale designato del Corpo delle Capitanerie di Porto – Guardia Costiera, nell’ambito del modulo di Awareness in Maritime Cybersecurity di cui alla Circolare non di serie 24, potrebbe rappresentare il primo passo verso un’ulteriore specializzazione del team ispettivo designato, sul piano della cyber security in ambito marittimo e portuale.

NOTE

1. Vedi, Comando Generale del Corpo delle Capitanerie di Porto, Circolare Non di Serie n. 24/2019 del 10/10/2019. Nello stesso senso, segnala la circolare, si colloca l’iniziativa di alcune Autorità di Sistema Portuale,” che hanno inviato il proprio personale IT e ICT a corsi di formazione sul Codice ISPS per fornire la dovuta cognizione del contesto lavorativo e favorire la comunicazione tra i soggetti coinvolti nella materia”; ↑
2. Il Maritime Security Inspector è una figura formata all’interno del Corpo delle Capitanerie di porto – Guardia Costiera e rappresenta un percorso specialistico destinato agli Ufficiali e Sottufficiali del Corpo. Questa figura è orientata alla gestione della port security, mediante l’esecuzione di attività ispettive presso i porti e gli impianti portuali, ed in particolare analizza e sottopone all’approvazione del Capo di Compartimento marittimo, le valutazioni e piani di sicurezza dei porti. Promuove inoltre una cultura locale di Maritime Security ed affronta le tematiche connesse alla port security in generale; ↑
3. Nucleo Operativo di Intervento Portuale costituito presso il Corpo delle Capitanerie di porto – Guardia Costiera; ↑
4. Port Facility Security Officer. Figura introdotta dalla Sezione A del Codice ISPS, come recepita nell’Allegato II al Regolamento (CE) n. 725/2004; ↑
5. Il Port Security Officer è una figura introdotta nell’art. 9 della Direttiva 2005/65/CE, poi recepita nell’art. 11 del D.Lgs. n. 203/2007. Il PSO a livello nazionale è una figura inserita nell’ambito delle ADSP ed opera quale punto di contatto per le questioni attinenti alla sicurezza (security) portuale; ↑
6. In questo senso quindi, la formazione specifica in capo a PSO, PFSO, Company Security Officer (CSO) e Ship Security Officer (SSO), prevista dalla Scheda 6 del PNSM, risulterebbe allo stato invariata in termini di contenuti oggetto di formazione certificata. L’attività volontaria di formazione da parte delle figure indicate, potrebbe quindi inquadrarsi in una possibile Familiarizzazione alla specifica materia, seppure non attestabile sul piano formale. In questo senso, potrebbe essere utile recepire i contenuti del corso all’interno di un allegato ai Piani di Sicurezza (PFSP o SSP) di successiva approvazione o aggiornamento, al fine di documentare (seppure in via indiretta) un’attività di formazione specifica interna. Questo aspetto potrebbe essere rilevante anche in sede di ispezione documentale ex Circolare 24, var. 2; ↑
7. “This is the syllabus of the course on Awareness in Maritime Cybersecurity produced by EMSA last August 2018. Tracking and testing (test module) capabilities have been removed in order to make the content public on this webpage”; ↑
8. L’Agenzia Europea per la Sicurezza Marittima (EMSA) è un’entità istituita per fornire consulenza tecnica ed assistenza operativa, la fine di migliorare la protezione dei mari, la preparazione e l’intervento in caso di inquinamento e la sicurezza marittima. Ulteriori dettagli a questo indirizzo; ↑
9. Il sesto modulo è dedicato al test finale, opzione esclusa per i soggetti privati, fatti salvo i test di fine modulo già ricompresi nelle singole lezioni; ↑
10. Il Glossario comprende le seguenti voci: Computer Networks, Cyberattack, Cybersecurity, EMSA, ENISA, ICT, IMO, Internet, Maritime Administration, Maritime Knowledge Centre (MaKCs), United Nations; ↑
11. I documenti allegati sono: Il documento di analisi prodotto da ENISA ed intitolato, Analysis of Cyber Security Aspects in the Maritime Sector del Novembre 2011; La Risoluzione adottata dall’Assemblea Generale delle Nazioni Unite in data 4 gennaio 1999 e relativa ai progressi registrati nella scienza delle informazioni e delle telecomunicazioni, nel contesto della sicurezza (security) internazionale; La Risoluzione adottata dall’Assemblea Generale delle Nazioni Unite in data 21 dicembre 2009 e relativa alla creazione di una cultura globale della cybersecurity, unitamente ad una valutazione degli sforzi finora fatti dai governi nazionali, al fine di proteggere le infrastrutture che gestiscono informazioni critiche; ↑
12. Vedi, P. Simone, Contenuti e natura giuridica del memorandum of Understanding sul Port State Control in, Sicurezza, Navigazione e Trasporto, a cura di R.T. Leali ed E.G. Rosafio, Giuffrè 2008; ↑
13. Questo è il caso delle navi c.d. sub – standard battenti bandiere di comodo o bandiere ombra. In questo senso, si fa riferimento a quegli Stati di bandiera che dietro il pagamento di esigue tasse di immatricolazione, concedono la propria bandiera a tutte le navi che ne facciano richiesta; ↑
14. Oltre alle Convenzioni internazionali elaborate in sede IMO ed ILO, per quanto concerne la regione geografica di interesse per l’Italia, sono oggetto di verifica di conformità anche il testo, le istruzioni e la circolare del c.d. Paris Memorandum of Understanding, importante accordo regionale finalizzato a garantire politiche comuni relative alle ispezioni per l’Europa e l’Atlantico del Nord, firmato a Parigi il 26 gennaio 1982 e che riunisce 27 Autorità Marittime europee e non e di cui l’Italia fa parte fin dalla sua costituzione. Vedi, P. Simone, sopra citato; ↑
15. Vedi in particolare la Regola 6.2 del Capitolo IX e la Regola 4 del Capitolo XI della Convenzione SOLAS, relativi rispettivamente al controllo del Certificato di sicurezza dello Ship Management System nonché alla verifica di conoscenza delle procedure per il controllo delle operazioni di bordo da parte del comando nave e dell’equipaggio; ↑
16. Il contenuto del Capitolo XI -2 SOLAS è reso disponibile nel Regolamento (CE) n. 725/2004, quale Allegato I; ↑
17. Di regola, tale documento non è oggetto di ispezione da parte dei Funzionari governativi, fatto salvo il caso di cui alla Sezione A/9.8.1. Codice ISPS; ↑
18. Vedi Slide 6, Modulo Awareness in Maritime Cyber Security. Fra le strumentazioni tecnologiche rilevanti quali asset di valore:1. Sistemi di Comunicazione: Si intende il complesso delle tecnologie impiegate per le comunicazioni con da e verso la nave (es. VHF, HF e Satellite, in particolare per i collegamenti Internet);

    2. Sistemi del Ponte. Complessivamente si fa riferimento a quei sistemi di supporto alla navigazione, come ricevitori Global Positioning System, Automatic Identification System, Electronic Chart Display and Information System, mantenitori di rotta automatici, Radar, Girobussola, Dynamic Positioning system e Voyage Data Recorder,

    3. Sistemi relativi ad attività di welfare per i membri dell’equipaggio: Eventuali computer connessi ad internet, con uso condiviso tra tutto lo staff nave e crew;

    4. Reti pubbliche per passeggeri: Si fa riferimento all’esistenza di eventuali reti Wi-Fi per i passeggeri;

    5. Sistema di gestione della propulsione e macchine e sistema di controllo della potenza: Si fa riferimento complessivamente a tutti i sistemi necessari a muovere la nave, producendo energia per alimentare i sistemi di bordo. Sistemi di rilevazione di incendi a bordo e ricircolo dell’aria, possono essere inclusi in questo gruppo;

    6. Sistemi di controllo degli accessi. Lettori di badge o altri dispositivi idonei a leggere i privilegi di accesso in specifiche aree della nave, DIVAR per la videosorveglianza e dispositivi per registrare gli accessi e le uscite dalla nave;

    7. Gestione dei servizi a valore aggiunto per i passeggeri. Si fa riferimento ai sistemi che consentono la gestione dei dati dei passeggeri, quali pagamenti e acquisti;

    8. Movimentazione del carico e sistemi di gestione. In questo gruppo si trovano i sistemi di ausilio al carico e scarico della merce, in particolare per le fasi di stabilizzazione del carico e prevenzione dei rischi di ribaltamento; ↑

19. Vedi Considerando 9 e 10 della Direttiva (UE) 2016/1148. Direttiva recepita in Italia con il D.lgs. n. 65/2018; ↑
20. Seppure questo aspetto riguardi le attività ispettive di PSC, deve rilevarsi come la mancata implementazione di misure di protezione della nave da rischi di cyber security, non può non essere considerato come un mancato esercizio della diligenza dell’armatore, nel rendere la nave idonea e sicura per la navigazione; ↑
21. La definizione di Interfaccia Nave/Porto di cui alla Regola 1 del Capitolo XI – 2 SOLAS, bene si presta ad essere trasposta sul piano delle infrastrutture ICT, poiché quel sistema di interazioni che coinvolge la nave rispetto al movimento di persone, di merci o la fornitura di servizi portuali, inevitabilmente coinvolge anche lo scambio di dati tra sistemi ICT differenti (infrastruttura di rete portuale ed infrastruttura di rete della nave). Questo vale a prescindere dalla tecnologia di collegamento (via cavo, wireless o dispositivi USB), a seconda della differente evoluzione tecnologica fra i due sistemi che si interfacciano. Così come la security fisica ed organizzativa tra impianto portuale e navi, trova un necessario coordinamento preventivo, così sul piano ICT dovrà richiedersi evidenza delle misure di sicurezza organizzative e fisiche implementate (es. firewall o altri sistemi di protezione fisica della rete locale) a bordo e presso l’impianto portuale; ↑
22. Vedi Sezione A/9.4.4., laddove si parla genericamente di minacce alla sicurezza o violazione della sicurezza, ma la cui declinazione in ambito di cyber security, potrebbe essere in futuro utilmente considerata. ↑