Maritime cyber risk:linee guida di IMO e BIMCO contro il rischio di attacchi informatici
01/12/2017
Rubrica a cura dello Studio Legale Siccardi Bregante & C. - www.siccardibregante.it - studio@siccardibregante.it
Nel corso
degli anni l’incremento dell’uso della tecnologia ha certamente determinato significativi
vantaggi in termini di efficienza in tutti i settori, ivi incluso quello
marittimo, presentando al contempo notevoli rischi legati alla potenziale
vulnerabilità dei processi informatici dedicati al funzionamento dei vari sistemi.
Nel giugno 2017 l’impatto di tali rischi è stato avvertito a seguito dell’attacco
informatico perpetrato a livello internazionale da parte di hacker mediante l’utilizzo di un ransomware - noto come Petya o NotPetya – ovvero un virus che ha reso inaccessibili i sistemi
informatici tenendoli in “ostaggio” al fine di estorcere denaro alle vittime
per lo sblocco degli stessi. L’attacco,
che ha colpito inizialmente banche e società ucraine, ha coinvolto imprese di
tutto il mondo, tra cui la centrale nucleare di Chernobyl, l’agenzia
pubblicitaria britannica Wpp, il colosso dei trasporti marittimi Moller-Maersk,
l’impresa di materiali edili francesi Saint Gobain e la società farmaceutica americana
Merck Sharp & Dome.
Sebbene
l’opportunità di un’idonea protezione contro le minacce informatiche nel
comparto dello shipping fosse già
stata avvertita in passato, a seguito di tale ultimo evento le imprese operanti
in detto settore hanno concretamente percepito, da un lato, l’esigenza di
procedere ad una corretta gestione del rischio informatico, per escludere o
arginare errori operativi e di sicurezza causati dal danneggiamento o dalla
perdita di informazioni o sistemi e, dall’altro, i potenziali pericoli degli
attacchi cyber per l’attività svolta.
I danni discendenti dall’assenza di adeguate protezioni informatiche possono,
in via esemplificativa, concretizzarsi nella perdita di dati sensibili e della
proprietà intellettuale propria e di terzi, la perdita economica derivante dalla
possibile deviazione di pagamenti attraverso infiltrazioni esterne nei sistemi
informatici, l’interruzione dell’attività, il danno alla reputazione e i costi per
la gestione e la riparazione dei danni subiti.
Per
rispondere a tali esigenze, il 16 giugno 2017 sono state adottate da parte
dell’International Maritime Organization (IMO) le raccomandazioni contenute
nella Risoluzione MSC.428(98), Maritime
Cyber Risk Management in Safety Management Systems, nelle quali si evidenzia
che il sistema di gestione della sicurezza (SMS) dovrebbe tener conto della
gestione del rischio informatico in conformità agli obiettivi e ai requisiti
funzionali del Codice ISM (art. 1). Secondo l’IMO è quindi necessario garantire
che i rischi informatici siano adeguatamente affrontati nell’ambito del SMS
entro la prima verifica annuale del documento di conformità della società seguente
al 1 gennaio 2021 (art. 2).
Il 5 luglio successivo,
l’IMO ha elaborato un secondo documento, il MSC-FAL.1/Circ.3, Guidelines on maritime cyber risk management,
recante una serie di raccomandazioni rivolte a tutte le organizzazioni del
settore marittimo per incoraggiare pratiche di gestione della sicurezza nel cyber spazio per salvaguardare le
spedizioni dalle minacce e dalle vulnerabilità informatiche (art. 2.2.1).
In tali
linee guida l’IMO identifica alcuni dei sistemi più vulnerabili alle
aggressioni cyber, tra i quali, per
esempio, i sistemi informatici mediante i quali sono gestiti i carichi
trasportati, i dispositivi elettronici per la navigazione e per la
comunicazione, nonché i sistemi informatici correlati ai servizi forniti ai
passeggeri (art. 2.1.1). Individuati i sistemi più vulnerabili, nella gestione
del rischio informatico, ogni società dovrebbe considerare la distinzione esistente
tra i sistemi della information
technology (nei quali i dati sono usati come informazioni) e quelli della operational technology (in cui i dati
sono usati per scopi diversi, ovvero per controllare o monitorare processi
fisici). La cyber-security dovrebbe
essere implementata in entrambi i sistemi oltre che nello scambio di dati tra
gli stessi (art. 2.1.2) al fine di limitare i rischi derivanti da vari fattori,
quali, ad esempio, operazioni inadeguate, protezioni vetuste e minacce
informatiche intenzionali (come hacking o introduzione di malware) e non intenzionali
(come manutenzione del software)
(artt. 2.1.3-4). Alla valutazione di tali cyberrisk è necessario aggiungere la
previsione di una rapida evoluzione delle tecnologie e delle minacce, che rende
difficile impedire le intrusioni dal cyberspazio solo attraverso la valutazione di standard tecnici. Di conseguenza, l’IMO suggerisce
di affrontare la questione dei cyber risk nel contesto più generale del sistema di gestione della sicurezza aziendale
(SMS), adottando un approccio che sia in grado di resistere ai pericoli
informatici noti e che sia, al contempo, in grado di progredire tenuto conto
dell’evoluzione delle minacce informatiche. Tutto ciò, mediante l’istituzione
di diversi meccanismi di controllo dei rischi informatici da un punto di vista
operativo, procedurale e tecnico (art. 3).
Accanto alle
sopraccitate iniziative dell’IMO anche il Baltic and International Maritime
Council (BIMCO), nel luglio di quest’anno, ha offerto il suo contributo al
riguardo. Con la partecipazione di altre organizzazioni (CLIA, ICS, INTERCARGO,
INTERTANKO, IUMI e OCIMF), BIMCO ha pubblicato la seconda edizione del
documento denominato The Guidelines on
Cyber Security Onboard Ships (sostitutivo del precedente del gennaio 2016), recante linee guida dirette a fornire
assistenza agli armatori e agli operatori a bordo delle navi. Tale documento si
focalizza sui sei aspetti considerati critici nella gestione della cyber-security, ossia (i)
l’identificazione delle minacce, (ii) l’individuazione delle vulnerabilità nel
sistema di sicurezza informatica della nave, (iii) la valutazione della
probabilità di essere esposti a minacce esterne, (iv) lo sviluppo di misure di
protezione e di rilevamento per ridurre al massimo l’impatto, (v) l’istituzione
di piani di emergenza per ridurre l’incidenza di minacce e (vi) l’individuazione
della risposta agli incidenti relativi alla cyber-security,
con la previsione di una copertura assicurativa ad hoc quale parte integrante della strategia di gestione dei
rischi informatici.
Gli
interventi sopra riferiti denotano un’accresciuta sensibilità degli operatori
del settore in tema di cyber risks, che
non può essere considerata sorprendente considerate le numerose conseguenze legali
ed economiche ipotizzabili in conseguenza di un attacco informatico nei confronti di un’impresa marittima.
In questa sede, esemplificativamente, rileviamo che qualora un sistema
informatico venga violato su una nave e l’armatore non sia in grado di provare
di aver agito con la dovuta diligenza nel gestire i rischi informatici, non si
può escludere che tale nave sia considerata “innavigabile” in violazione del contratto di trasporto. Invero non riuscire a
proteggere una nave da attacchi informatici, la quale non potrebbe operare
senza idonei dispositivi elettronici per la navigazione e la comunicazione, potrebbe
condurre ad un reclamo in base alla polizza di carico o al contratto di
noleggio, atteso che tale mancanza potrebbe essere considerata come un
inadempimento del dovere di diligenza nel rendere la nave idonea alla
navigazione e/o come una violazione dell’art. 3, par. 1, lett. a) delle Regole
dell’Aja-Visby, per il quale “the carrier
shall be bound before and at the beginning of the voyage to exercise due
diligence to: (a) make the ship seaworthy”.