Il comparto marittimo sta investendo in misura insufficiente nella sicurezza informatica. A dirlo sono gli stessi operatori del settore, come riferito alla norvegese DNV in occasione di un'indagine che la società norvegese di classificazione e certificazione ha condotto intervistando 801 di questi professionisti di 72 nazioni. Solo il 40% degli interpellati ritiene che la propria organizzazione stia investendo abbastanza nella cybersecurity e sia ben preparata per prevenire attacchi diretti ai propri sistemi IT. Inoltre è solamente del 32% la percentuale degli intervistati che ritiene che la propria organizzazione sia ben attrezzata per prevenire attacchi diretti ai propri sistemi di tecnologia operativa, quella che gestisce, monitora, controlla e automatizza risorse fisiche come sensori, interruttori, sistemi di sicurezza e di navigazione e navi. Inoltre risulta pari al 19% la percentuale di coloro che ritengono che la loro organizzazione sia pronta a rispondere e a riprendersi da un attacco cibernetico alle proprie navi mentre sono in navigazione ed è del 19% la percentuale di quelli che giudicano la propria organizzazioni in grado di rispondere e riprendersi bene da un attacco informatico alle proprie strutture a terra.

Particolarmente attenzione è dedicata dall'indagine, oltre che alla sicurezza dei sistemi IT, alla sicurezza della tecnologia operativa, in considerazione dei rischi e delle conseguenze di un attacco ai sistemi OT. «Con sistemi navali che sono sempre più interconnessi con il mondo esterno - ha rilevato Svante Einarsson, responsabile Maritime Cyber Security Advisory di DNV - è probabile che in futuro gli attacchi informatici agli OT abbiano un impatto maggiore. Il rapporto di DNV osserva che se da diversi decenni le compagnie marittime proteggono i propri dati e i loro sistemi IT in cui tali dati vengono archiviati e trasferiti, sinora la sicurezza informatica della loro tecnologia operativa è stata ritenuta una priorità minore. Uno dei motivi - spiega il documento - è che, fino a tempi relativamente recenti, i sistemi operativi, in particolare a bordo delle navi, non erano collegati ad ambienti IT più ampi, il che significa che il sistema OT era protetto da un'interfaccia che lo isolava dalle reti connesse, interfaccia che si sta ora man mano riducendo dato che le risorse e le infrastrutture del settore diventano sempre più interconnesse e connesse. Inoltre, la possibilità di attacco si sta ampliando man mano che entrano in funzione protocolli, interfacce e canali di comunicazione potenzialmente vulnerabili.

A tal proposito, il rapporto ricorda che lo scorso aprile un attacco informatico ai sistemi di controllo industriale della Fincantieri Marine Group, la filiale americana del gruppo navalmeccanico italiano Fincantieri che ha legami con il governo degli Stati Uniti, ha reso inutilizzabili apparecchiature di produzione critiche e che lo scorso anno il porto di Anversa ha subito attacchi ai suoi terminal petroliferi che hanno avuto un impatto sullo scarico delle chiatte al culmine della crisi energetica in atto in Europa.

Il documento evidenzia che, sebbene gli attacchi agli ambienti IT possano interrompere e di fatto interrompano le normali operazioni di trasporto marittimo, come è avvenuto nel 2017 con il malware NotPetya che ha colpito i sistemi informatici del gruppo armatoriale danese Maersk, è attraverso gli attacchi diretti agli OT che si verifica la più grave minaccia alla sicurezza fisica e all'infrastruttura. Oltre a consentire agli attori delle minacce di richiedere riscatti, rubare informazioni e causare interruzioni delle operazioni, crimini che gli hacker possono attuare anche violando le reti IT, gli attacchi ai sistemi OT possono disabilitare le risorse o i controlli di sicurezza. Un rischio grave e crescente di cui sono consapevoli gli operatori marittimi, con il 56% degli intervistati che ritiene che nei prossimi anni gli attacchi informatici saranno causa di lesioni fisiche o di decessi nel settore.

Parlando di questo pericolo, Paul Meyer, direttore informatico della società navalmeccanica tedesca Meyer Werft, ha confermato che le compagnie di navigazione sono sempre più coscienti dei rischi informatici connessi ai sistemi OT: «la priorità - ha chiarito - è sempre quella di assicurarsi che la nave navighi in sicurezza, ma - ha specificato Meyer - potrebbe anche non risultare manovrabile se entrambi i sistemi IT e OT fossero compromessi».

Quanto agli effetti che gli attacchi informatici potrebbero causare per le attività marittime, il rapporto informa che tre quarti dei professionisti del settore marittimo intervistati ritengono che un incidente informatico possa determinare la chiusura di una via d'acqua strategica (76%); più della metà si aspetta che gli attacchi informatici causino collisioni tra navi (60%), incagli (68%) e provochino persino lesioni fisiche o morte (56%) dato che la stragrande maggioranza (79%) degli intervistati afferma che il settore considera i rischi per la sicurezza informatica tanto importanti quanto quelli per la salute e la sicurezza più generale.

Ricordando che le organizzazioni marittime devono prepararsi a conformarsi alle nuove regole in materia di sicurezza, tra cui i nuovi requisiti sul controllo e l'ispezione della IACS, l'associazione internazionale delle società di classifica, e la direttiva europea NIS2 sulla cybersecurity, l'indagine di DNV spiega che la maggior parte degli operatori marittimi reputa che la regolamentazione fornisca la motivazione più potente in grado di sbloccare fondi per la sicurezza informatica che sono assolutamente necessari per affrontare i rischi. In particolare, l'84% degli intervistati ritiene che ciò costituirà un traino per gli investimenti nella sicurezza informatica, ma solo poco più della metà è fiduciosa dell'efficacia delle norme sulla sicurezza informatica (56%) e della propria capacità di soddisfare i requisiti. Solo il 36% dei professionisti marittimi concorda sul fatto che il rispetto delle normative sulla sicurezza informatica sia semplice e quasi la metà (44%) afferma che la conformità alle normative richiede conoscenze tecniche che l'organizzazione di cui fanno non possiede internamente.