L’interconnessione crescente tra Information Technology (IT) e Operational Technology (OT) all’interno del paradigma Industria 4.0 introduce significative vulnerabilità a livello di sicurezza informatica. L’integrazione di sistemi di controllo industriale (ICS), SCADA e reti industriali con infrastrutture IT tradizionali, spesso prive di un’architettura “security by design”, amplifica la superficie d’attacco, esponendo i dispositivi OT a minacce informatiche.
L’adozione pervasiva di Internet of Things (IoT), cloud computing e reti 5G, pur abilitando nuove funzionalità ed efficienze, contribuisce all’espansione del perimetro di sicurezza, rendendo più complesso il controllo e la protezione degli asset critici. La concomitante proliferazione di strumenti di attacco sofisticati e facilmente reperibili, a disposizione di attori malevoli, aggrava ulteriormente il rischio di compromissione.
Sistemi hardware e software dedicati al controllo e alla gestione dei processi industriali, divenuti target privilegiati per attacchi informatici mirati, rappresentano un punto di vulnerabilità critico. La compromissione di tali sistemi può comportare interruzioni della produzione, danni economici ingenti e, in scenari critici, la disabilitazione di servizi essenziali.
In tale contesto, la Direttiva NIS2 impone alle organizzazioni operanti in settori strategici l’implementazione di misure di sicurezza informatica robuste e granulari a protezione delle infrastrutture OT, al fine di garantire la continuità operativa e la resilienza a fronte di minacce informatiche.
Le minacce ai sistemi OT: in pericolo fabbriche e infrastrutture critiche
L’escalation degli attacchi informatici rappresenta una minaccia significativa per il tessuto industriale, in particolare per l’Italia, caratterizzata da una forte presenza manifatturiera. L’obiettivo degli attori malevoli si è evoluto, passando dal furto di dati alla compromissione diretta dei sistemi OT, con potenziali conseguenze devastanti per la continuità operativa.
Casi concreti nel contesto italiano dimostrano la gravità di tali attacchi. Ad esempio, la compromissione dei sistemi informatici di un importante ospedale ha portato all’annullamento di numerose visite mediche, con gravi ripercussioni per i pazienti. Analogamente, l’attacco ransomware a un’azienda che gestisce infrastrutture di trasporto ha causato l’interruzione del servizio ferroviario, con conseguente disagio per migliaia di pendolari e danni economici significativi.
Anche problematiche legate a conflitti software, come nel caso dell’aggiornamento di uno strumento di sicurezza Microsoft che ha inavvertitamente causato malfunzionamenti in alcuni sistemi industriali, evidenziano la fragilità delle infrastrutture critiche e l’importanza di una gestione dedicata degli aggiornamenti software.
Attacchi ransomware mirati ai sistemi di controllo industriale (ICS), responsabili della gestione di robot, macchine utensili e linee di produzione, possono paralizzare interi impianti, causando ingenti perdite economiche e mettendo a repentaglio la sicurezza degli operatori.
La crittografia dei sistemi operativi e il conseguente blocco delle attività produttive costringono le organizzazioni a pagare riscatti elevati per il ripristino delle funzionalità, generando impatti finanziari significativi.
Un ulteriore scenario critico riguarda le infrastrutture critiche, come le centrali elettriche. La compromissione dei sistemi OT in tali contesti può provocare l’interruzione dell’erogazione di energia su vasta scala, con ripercussioni catastrofiche per l’economia, la sicurezza nazionale e la vita quotidiana dei cittadini. L’interruzione di servizi essenziali, come trasporti, comunicazioni e infrastrutture sanitarie, può generare danni irreparabili e mettere a repentaglio la stabilità sociale.
Cresce la vulnerabilità agli attacchi cyber delle realtà manifatturiere
Il Rapporto Clusit 2024 evidenzia un’allarmante crescita degli attacchi informatici a livello globale e nazionale. Nei primi sei mesi del 2024 si registra un aumento del 23% degli attacchi gravi rispetto al semestre precedente, con una media mensile di 273 incidenti, significativamente superiore ai 230 del 2023 e ai 139 del 2019.
Con il 7,6% degli attacchi globali, l’Italia si conferma un obiettivo privilegiato per il cybercrime. Il settore industriale risulta particolarmente colpito, con un incremento degli incidenti dal 13% del 2023 al 19% del 2024. Dati significativi mostrano che il 28% degli attacchi globali al settore manifatturiero è rivolto a realtà italiane, riflettendo la struttura industriale del paese.
Non solo le grandi imprese, ma anche le piccole e medie imprese (PMI), spesso carenti di adeguate misure di sicurezza informatica, risultano vulnerabili. Casi concreti, come il recente attacco ransomware a un’azienda automobilistica del Nord Italia, con conseguente blocco della produzione per una settimana, dimostrano l’impatto tangibile di tali eventi. Le conseguenze si estendono oltre il danno economico diretto, compromettendo le catene di approvvigionamento globali e causando ritardi e disagi a livello di filiera.
Intelligenza artificiale e Zero Trust alla base di un nuovo approccio alla sicurezza OT
“La comprensione approfondita del panorama delle minacce è fondamentale per una strategia di sicurezza OT efficace” afferma Cesare Di Lucchio, Cyber Operation Manager di Axitea. “Non è più sufficiente limitarsi all’inventario degli asset OT. È necessario implementare strumenti avanzati, basati su algoritmi di intelligenza artificiale, per l’analisi del traffico di rete. Questi strumenti, grazie alla capacità di apprendere i pattern usuali della rete, consentono di identificare anomalie e comportamenti sospetti, come l’utilizzo di credenziali compromesse o l’accesso da parte di dispositivi non autorizzati, in fase precoce, prima che possano evolvere in attacchi.”
Il mercato offre diverse soluzioni per la sicurezza OT, sviluppate da vendor globali. Questo ecosistema tecnologico, pur presentando molteplici opzioni, richiede un approccio strategico personalizzato. Un assessment preliminare approfondito è essenziale per individuare le vulnerabilità specifiche dell’organizzazione e definire l’architettura di sicurezza più idonea, integrando le tecnologie più performanti.
Soluzioni come Darktrace Cyber AI Analyst, con capacità di riduzione dei tempi di triage fino al 92% grazie all’analisi autonoma delle attività sospette, la generazione di report granulari e la prioritizzazione degli incidenti, consentono una risposta rapida ed efficace da parte dei team di sicurezza.
Anche BlackBerry, con la soluzione BlackBerry Cylance e CylancePROTECT, sfrutta l’intelligenza artificiale per la protezione degli endpoint nei sistemi di controllo industriale, identificando e neutralizzando minacce, incluse quelle zero-day, senza la necessità di continui aggiornamenti delle signature. Palo Alto Networks offre una soluzione Zero Trust per la sicurezza OT, basata su segmentazione di rete tramite Next-Generation Firewall (NGFW), controllo granulare degli accessi mediante User-ID, Device-ID e App-ID, e protezione degli accessi remoti attraverso Prisma Access SASE.
L’efficacia di tali soluzioni è massimizzata dall’integrazione in una strategia di sicurezza olistica e personalizzata, definita in base alle esigenze specifiche dell’azienda. Monitoraggio continuo, aggiornamenti costanti e competenze multidisciplinari, che combinano expertise tecnologica e conoscenza del dominio applicativo, sono i pilastri di una protezione robusta e resiliente. Prosegue Di Lucchio: “Sebbene l’approccio Zero Trust sia rilevante per la sicurezza IT in generale, la sua applicazione diretta in ambito OT presenta delle sfide specifiche. L’autenticazione multifattoriale (MFA), ad esempio, pur essendo una buona pratica di sicurezza, non è sempre applicabile o efficace per proteggere i dispositivi OT. Per una postura di sicurezza robusta in ambito OT, è fondamentale concentrarsi su altri aspetti, come la segmentazione della rete, il monitoraggio continuo del traffico, l’analisi delle vulnerabilità specifiche dei dispositivi industriali e l’implementazione di sistemi di Intrusion Detection and Prevention (IDPS) dedicati”.
Protezione multilivello con firewall, EDR e disaster recovery
A livello strategico, Di Lucchio sottolinea l’importanza di una “strategia di difesa multilivello, che combini tecnologie e misure di sicurezza per garantire un ambiente protetto e resiliente”.
I Next-Generation Firewall (NGFW) costituiscono il primo livello di difesa perimetrale, proteggendo le reti da accessi non autorizzati e controllando il traffico in ingresso e in uscita. Grazie a funzionalità avanzate di ispezione, i NGFW identificano e bloccano tempestivamente i tentativi di attacco ai sistemi OT.
Dato che i sistemi EDR tradizionali non sono generalmente adatti per l’installazione diretta su dispositivi OT, per il monitoraggio e la protezione di questi sistemi è necessario adottare approcci alternativi. Soluzioni specifiche per la sicurezza OT, come i sistemi di Network Intrusion Detection and Prevention (NIDPS) e i Network Traffic Analysis (NTA), consentono di monitorare il traffico di rete alla ricerca di anomalie e comportamenti sospetti.
Questi sistemi, analizzando i protocolli di comunicazione industriali e il comportamento dei dispositivi OT, possono identificare attività malevole e generare alert in tempo reale, permettendo di mitigare tempestivamente le minacce e contenere potenziali incidenti. Inoltre, l’implementazione di honeypot e decoy specifici per ambienti OT può contribuire a individuare e analizzare le tattiche degli attaccanti.
Piani di Disaster Recovery (DR) ben definiti sono fondamentali per garantire la business continuity in caso di attacco. Backup regolari dei dati e procedure di ripristino assicurano la ripresa delle attività operative in tempi brevi, minimizzando i tempi di inattività e le perdite economiche.
Formazione, collaborazione e ricorso al SOC: le armi a difesa della sicurezza OT
La componente umana rappresenta un elemento cruciale nel contesto della sicurezza informatica, spesso considerata l’anello debole della catena. La mancanza di consapevolezza dei rischi e una formazione inadeguata possono esporre le organizzazioni a gravi violazioni. “Investimenti in esercizi tabletop e formazione per il personale sono essenziali per una strategia di sicurezza OT efficace” ribadisce Di Lucchio. “Promuovere esercizi di gestione del rischio con le risorse permette maggiore coinvolgimento, proattività e sensibilizzazione per considerare scenari reali di attacchi e azioni da eseguire per garantire la sicurezza dei lavoratori.”
La collaborazione e la condivisione di informazioni su minacce e incidenti tra aziende, istituzioni e autorità competenti sono altrettanto cruciali per lo sviluppo di standard di sicurezza più elevati e strategie di risposta più coordinate ed efficaci.
Il monitoraggio continuo 24/7 degli impianti, garantito da un Security Operation Center (SOC) dedicato, rappresenta un ulteriore livello di protezione. L’analisi in tempo reale dei dati di sicurezza consente di identificare anomalie e intervenire prontamente per mitigare gli attacchi sul nascere. “L’integrazione di soluzioni specializzate, come quelle offerte da Darktrace e Palo Alto Networks, con i servizi SOC di Axitea, fornisce un approccio completo a identificare, contenere ed eradicare minacce in ambienti industriali” conclude Di Lucchio. “Questa sinergia offre funzionalità avanzate di monitoraggio delle connettività e comportamenti, con capacità di analisi della gran parte dei protocolli OT, fornendo al SOC la visibilità necessaria per comprendere a fondo le attività all’interno della rete. Questa consapevolezza è fondamentale per scatenare processi di Incident Response ed agire a quattro mani nell’eventuale situazione di crisi”.
Conclusioni
La sicurezza OT si configura come una priorità strategica per le organizzazioni che operano in ambienti industriali connessi. L’interconnessione tra IT e OT, l’adozione di tecnologie come IoT, cloud e 5G, e la crescente sofisticazione degli attacchi informatici richiedono un approccio olistico e multilivello alla sicurezza. La protezione degli asset critici, la garanzia della continuità operativa e la mitigazione dei rischi finanziari e reputazionali dipendono dall’implementazione di soluzioni avanzate e dall’adozione di best practice.
L’implementazione di una strategia di sicurezza Zero Trust, basata su una rigorosa verifica dell’identità e dell’autorizzazione di accesso a ogni dispositivo e applicazione, è fondamentale per ridurre la superficie d’attacco e prevenire la propagazione delle minacce.
L’integrazione di tecnologie come Next-Generation Firewall (NGFW), soluzioni di analisi comportamentale basate su intelligenza artificiale e servizi SOC specializzati fornisce una protezione completa contro le minacce più sofisticate.
La formazione continua del personale, la collaborazione tra le diverse realtà aziendali e la condivisione di informazioni sulle minacce emergenti sono elementi chiave per rafforzare la postura di sicurezza e promuovere una cultura della sicurezza diffusa.
Investire in sicurezza OT non rappresenta un costo, ma un investimento strategico per la resilienza e la crescita sostenibile delle organizzazioni nell’era dell’Industria 4.0. Un approccio proattivo e consapevole alla sicurezza OT è la chiave per affrontare le sfide del panorama delle minacce in continua evoluzione e garantire la protezione delle infrastrutture critiche per il futuro.
