Le infrastrutture industriali invecchiano e gli attacchi informatici si fanno sempre più sofisticati. Considerare la sicurezza OT come estensione della sicurezza IT rappresenta un errore strategico che equivale a compromettere l’intera catena produttiva

Come nascono gli attacchi cyber e come proteggere gli impianti produttivi? La risposta risiede in un aspetto spesso trascurato: definire una strategia per abilitare la sicurezza OT. Per decenni, gli ambienti IT e OT hanno coabitato all’interno delle organizzazioni industriali come domini distinti, affiancati, ma raramente integrati. L’IT orientato alla gestione delle informazioni è stato storicamente governato dai principi della triade CIA (Confidentiality, Integrity, Availability).

Mentre l’OT – composto da PLC, SCADA, DCS, sensori e attuatori – è stato progettato con l’obiettivo primario di garantire l’integrità e la disponibilità, oltre che la continuità operativa dei processi e la sicurezza fisica di persone e di impianti (safety). Tale separazione, sia fisica che logica, ha a lungo rappresentato una forma di protezione involontaria: i sistemi OT, confinati in reti chiuse o air‑gapped, risultavano, di fatto, irraggiungibili da attaccanti remoti, dando origine a un modello industriale “binario” tra rete di fabbrica e rete aziendale. L’evoluzione tecnologica e la digitalizzazione dei processi industriali hanno progressivamente eroso tale separazione, rendendola non solo inefficace dal punto di vista della sicurezza, ma anche incompatibile con le esigenze operative e di business delle organizzazioni moderne.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

VISIONE RISK-DRIVEN

L’avvento dell’Industria 4.0 ha definitivamente superato il tradizionale modello “binario” che separava il mondo IT e OT, dando origine a una convergenza ormai irreversibile. I moderni dispositivi OT/IIoT, progettati per operare con prodotti industriali, quasi sempre incapsulati su reti Ethernet e protocolli TCP/IP, risultano sempre più integrati con le infrastrutture IT e con piattaforme cloud, abilitando funzionalità avanzate di analytics, monitoraggio remoto, ottimizzazione dei processi e manutenzione predittiva.

La conseguenza più rilevante di tale trasformazione è la progressiva scomparsa dell’air-gap, che in passato proteggeva gli ambienti OT. Oggi, al suo posto, si sono affermate connessioni permanenti, accessi remoti, connessioni VPN personalizzate dai fornitori, gateway IoT e forme di shadow IT industriale che sfuggono alla piena visibilità dei team di cybersecurity e, quindi, alle relative policy cyber OT. Di fatto, il perimetro industriale non è più definito da confini statici, ma da una rete di interdipendenze digitali che amplifica il valore operativo, aumentando al contempo l’esposizione al rischio cyber.

Le vulnerabilità che prima minacciavano solo server e database aziendali diventano ora potenziali vettori di attacco verso sistemi di controllo industriale. Di fatto – come sottolinea Gaetano Sanacore, direttore scientifico dell’Osservatorio per la Cyber-Resilienza e l’AI delle Infrastrutture Energetiche – START4.0, il rischio di una convergenza di comodo o non molto accorta espone l’azienda e l’industria al rischio di “ITizzazione” dell’OT. «Questo effetto introduce nuove vulnerabilità nei sistemi industriali, spesso originate da “servizi IT” che entrano nei processi produttivi. Pertanto, per evitare tutto questo si richiede la gestione di un delicato equilibrio tra sicurezza, continuità operativa e aggiornamento tecnologico».

E aggiunge: «Per esempio, un ransomware che penetra nella rete IT di uno stabilimento produttivo sfruttando vulnerabilità o exploit zero-day può propagarsi verticalmente verso gli ICS/PLC di linea, causando il blocco della produzione. Mentre un attacco verso un sistema SCADA di distribuzione idrica può compromettere la qualità dell’acqua distribuita a milioni di persone. Inoltre, un attacco verso la rete di produzione e/o distribuzione elettrica può causare blackout su scala regionale o nazionale».

LA TRIADE DELLA SICUREZZA OT

Per comprendere perché gli ambienti OT siano intrinsecamente più complessi da proteggere, rispetto ai sistemi IT tradizionali, è necessario partire dalle loro priorità fondamentali.

La sicurezza OT si fonda sulla triade safety, reliability e availability, che riflette la natura fisica e operativa dei processi industriali. A differenza dell’IT – dove la riservatezza delle informazioni rappresenta la priorità principale – negli ambienti OT la continuità e l’affidabilità del processo sono condizioni essenziali per garantire la sicurezza di persone, impianti e ambiente.

In questo contesto, anche un’interruzione pianificata, come l’applicazione di una patch di sicurezza, può avere conseguenze rilevanti. L’arresto o il comportamento imprevedibile di un sistema OT può causare incidenti industriali, danni fisici che possono causare incidenti mortali, perdite economiche significative o l’interruzione di servizi essenziali. Per questo motivo, ogni intervento di sicurezza deve essere valutato, non solo in termini di protezione cyber, ma anche di impatto sulla stabilità e sull’affidabilità complessiva del processo. Ulteriori fattori di complessità sono riconducibili da un lato all’eterogeneità dei protocolli industriali –  spesso di natura proprietaria e storicamente non progettati secondo principi di security by design – e dall’altro alle peculiarità del ciclo di vita dei sistemi OT, significativamente diverso da quello dei sistemi IT.

Tali sistemi possono rimanere in esercizio per decenni senza beneficiare di aggiornamenti o patch di sicurezza. A tal proposito, Francesco Lucio Corrado, head of Cybersecurity Italy di Ferrero ribadisce che proteggere gli ambienti OT non è soltanto una questione tecnica, ma una sfida strutturale, resa più complessa da un’eredità industriale che oggi collide con le ambizioni della trasformazione digitale.

«Molti sistemi su cui poggiano gli impianti sono nati in un’epoca analogica, progettati per durare decenni e non per dialogare con piattaforme intelligenti, cloud o ecosistemi Industry 4.0. La loro longevità, un tempo punto di forza, oggi diventa un limite: aggiornare o sostituire queste tecnologie richiede investimenti impegnativi, fermi di produzione difficili da giustificare e, in alcuni settori, anche iter regolamentari lunghi e complessi. Ne consegue che l’obsolescenza tecnologica non è un incidente di percorso, ma un fattore di rischio strutturale destinato a persistere nel tempo. Inoltre, in un contesto in cui gli impianti diventano sempre più digitali e interconnessi, si è necessariamente chiamati a fare scelte strategiche: investire nella modernizzazione graduale degli asset, definire una governance chiara e unitaria, e soprattutto, promuovere una cultura che riconosca la sicurezza OT come un elemento chiave della continuità produttiva e della competitività futura».

Leggi anche:  Cybersecurity sotto controllo

NUOVE SUPERFICI DI ATTACCO

Nel contesto della convergenza IT/OT, le HMI (Human Machine Interface) rappresentano uno dei punti di contatto più critici tra il mondo industriale e quello informatico. Basate tipicamente su sistemi Windows e dotate di connettività di rete, esse risultano spesso collegate sia alla rete OT sia alla rete IT aziendale, configurandosi come un ponte naturale tra i due domini e come un vettore privilegiato per il lateral movement di un attaccante. A questa superficie di attacco si aggiungono i sistemi SCADA, che raccolgono dati da sensori distribuiti geograficamente e li rendono disponibili tramite server centrali, interfacce web e applicazioni mobili. Ogni nodo di questo ecosistema distribuito costituisce, di conseguenza, un potenziale punto di ingresso o di propagazione di una compromissione.

La sfida più sottovalutata nella gestione della cybersecurity in ambienti IT/OT convergenti non è tecnologica, bensì culturale e organizzativa. Ma vediamo di che si tratta. I team IT e i team OT hanno background, formazione e priorità profondamente diverse. Per esempio, un CISO, tipicamente, ha un background IT e fatica a comprendere le logiche operative di un impianto industriale. Dall’altra parte, gli ingegneri di processo e i responsabili di automazione guardano con diffidenza alle politiche di sicurezza IT, che potrebbero interferire con la continuità operativa.

Inoltre, tale diversità si manifesta concretamente nelle strutture organizzative: i team IT e OT rispondono spesso a linee gerarchiche separate (CIO vs. COO o direttore di produzione), hanno budget distinti, usano strumenti diversi e adottano metodologie di gestione del rischio non allineate. Il risultato è una zona grigia di responsabilità – il perimetro tra IT e OT – che nessuno presidia in modo coerente e professionale. Come sottolinea Gaetano Sanacore, manca ancora una reale sensibilità verso l’introduzione di un CISO OT accanto al CISO IT. «Una scelta organizzativa già diffusa in molte aziende europee e internazionali».

VISIBILITÀ DEGLI ASSET

La gestione degli asset OT risulta spesso disomogenea e priva di un inventario centralizzato e aggiornato. Gli impianti industriali, a differenza degli ambienti IT, non tollerano tecniche di active discovery, rendendo necessario l’utilizzo esclusivo di approcci passivi per il rilevamento degli asset e il monitoraggio del traffico di rete. Inoltre, l’analisi non intrusiva dei flussi di comunicazione industriale consente di preservare la stabilità operativa, ma rende i processi di asset inventory e asset visibility intrinsecamente più complessi e soggetti a lacune informative. L’assenza di un inventario OT completo e accurato limita la capacità di gestire le vulnerabilità, ostacola una valutazione del rischio affidabile e aumenta significativamente la complessità delle attività di incident response. Le organizzazioni colpite da attacchi in ambito OT evidenziano, infatti, come la scarsa visibilità sugli asset e sulle interconnessioni abbia amplificato tempi di risposta e impatti operativi.

«Senza un inventario accurato, ottenibile unicamente con tecniche passive – spiega Francesco Lucio Corrado di Ferrero – ogni decisione di sicurezza diventa un esercizio di approssimazione. Non sapere dove sono gli asset, come comunicano e da chi dipendono, significa accettare un rischio operativo che nessuna organizzazione moderna dovrebbe considerare tollerabile».

DIFFERENZE STRUTTURALI

La gestione delle vulnerabilità in ambienti OT presenta differenze strutturali rispetto all’IT e non consente tempi di mitigazione rapidi. A tal proposito, Francesco Lucio Corrado evidenzia che la gestione delle vulnerabilità in ambienti OT non può contare sulla velocità, ma richiede compatibilità, test, finestre di fermo e approcci graduali. «Ciò rende inevitabile un’esposizione prolungata che solo una visione risk-driven può mitigare, combinando segmentazione, controllo degli accessi e monitoraggio continuo. Di fatto, in ambienti OT non vince chi esegue il patching prima, ma chi conosce davvero il proprio perimetro e sa dove intervenire senza compromettere la produzione».

L’applicazione di una patch richiede il rilascio di aggiornamenti esplicitamente compatibili da parte del fornitore, la validazione in ambienti di test e l’implementazione all’interno di finestre di manutenzione pianificate, spesso coincidenti con i fermi produttivi. Ne consegue che le vulnerabilità possono rimanere esposte per periodi prolungati. Inoltre, la gestione delle vulnerabilità OT deve tenere conto dei vincoli operativi e di processo, integrando la valutazione della severità con considerazioni su impatto, tempistiche e fattibilità degli interventi, al fine di ridurre il rischio senza compromettere la continuità operativa.

Pertanto, le organizzazioni, alla luce di tali vincoli operativi, devono adottare un approccio risk-based alla gestione delle vulnerabilità OT, fondato sulla prioritizzazione in base all’effettiva esposizione, all’impatto potenziale sul processo industriale e sulla disponibilità di misure compensative, quali: segmentazione di rete, controllo degli accessi e monitoraggio passivo del traffico.

La complessità della supply chain industriale amplifica ulteriormente il rischio sistemico. I sistemi OT dipendono da fornitori specializzati, come integratori di automazione, produttori di PLC, fornitori di software SCADA, che hanno accesso remoto agli impianti per attività di manutenzione, aggiornamento e supporto. Tale accesso, se non adeguatamente controllato, rappresenta un vettore di attacco privilegiato: un attaccante che compromette un fornitore ottiene, potenzialmente, accesso privilegiato a decine o centinaia di impianti dei clienti che può tradursi nella manipolazione diretta di processi fisici.

IMPATTO CYBER-FISICO

La caratteristica più distintiva del rischio cyber in ambienti OT è la possibilità che un attacco informatico si traduca in un incidente fisico con conseguenze per la sicurezza delle persone e dell’ambiente. Purtroppo, i Safety Instrumented Systems (SIS) – sistemi di emergenza progettati per mantenere la sicurezza dell’impianto in caso di anomalia – sono diventati bersaglio di attacchi mirati.

Leggi anche:  Infinidat potenzia la cyber resilience

Inoltre, la convergenza tra cybersecurity e safety ridefinisce il quadro del rischio: la protezione dei sistemi di controllo industriale diventa una responsabilità di sicurezza pubblica. Tale consapevolezza ha indotto i legislatori europei a introdurre normative vincolanti per le infrastrutture critiche ed essenziali come NIS2 e CER (Critical Entities Resilience). Mentre la NIS2 si concentra sui rischi cyber, la CER adotta una prospettiva che include minacce fisiche (atti terroristici, disastri naturali, incidenti industriali) e richiede alle organizzazioni di garantire la resilienza complessiva dei loro servizi essenziali.

In questo quadro si inserisce anche lo standard IEC 62443, che fornisce un framework ben strutturato di politiche, processi e requisiti tecnici per la cybersecurity dei sistemi di controllo e automazione industriale.

LA CHECKLIST PER IL CISO

La gestione del rischio cyber negli ambienti IT/OT richiede una governance integrata, visibilità completa degli asset e una segmentazione efficace delle reti. Fondamentali anche il controllo degli accessi privilegiati, un vulnerability management basato sul rischio, il monitoraggio continuo delle minacce, piani di incident response specifici per l’OT e una gestione strutturata della sicurezza della supply chain. Il tutto supportato da KPI in grado di misurare nel tempo l’efficacia delle strategie di sicurezza.

Partiamo dalla governance che deve essere chiara e integrata, capace di superare i tradizionali silos organizzativi e presidiare esplicitamente l’interfaccia tra i due domini. Inoltre, un modello maturo prevede un CISO (IT), affiancato da un OT security manager (o CISO OT) con background industriale, in grado di fungere da elemento di raccordo tra esigenze operative e requisiti di sicurezza.

Il coinvolgimento diretto del board e del top management è essenziale non solo come risposta a un obbligo normativo introdotto dalla NIS2, ma come condizione necessaria per governare decisioni di investimento che comportano delicati trade‑off tra sicurezza e continuità operativa. In questo contesto, la definizione esplicita della matrice RACI (Responsible, Accountable, Consulted, Informed) per la sicurezza OT è fondamentale per eliminare le zone grigie di responsabilità che rappresentano uno dei principali fattori abilitanti degli incidenti.

Passiamo all’asset inventory e alla network visibility. Un inventario completo e aggiornato degli asset OT è alla base di qualsiasi programma di sicurezza efficace e richiede l’adozione di strumenti di asset discovery passivi specificamente progettati per ambienti OT e capaci di comprendere i protocolli industriali e di mappare la rete senza inviare traffico che potrebbe destabilizzare i sistemi di controllo.

Inoltre, l’inventario deve includere, non solo l’elenco dei dispositivi, ma le loro caratteristiche rilevanti per la sicurezza: versione del firmware, sistema operativo, vulnerabilità note (Common Vulnerabilities and Exposures – CVE), relazioni di comunicazione con altri asset, valore per il processo produttivo, responsabile tecnico. Ancora, tale inventario deve essere mantenuto aggiornato e integrato con i processi di change management OT, in modo che ogni modifica all’impianto si rifletta tempestivamente nel database degli asset.

L’altro passaggio importante riguarda la segmentazione e la micro-segmentazione. Un’architettura di rete allineata al Purdue Model, basata su una chiara separazione delle zone funzionali e su una Industrial DMZ (DMZ-OT) ben progettata, è tra le misure più efficaci per contenere il rischio cyber negli ambienti OT. La segmentazione di rete limita, infatti, il lateral movement degli attaccanti, circoscrivendo l’impatto di una compromissione, oltre a ridurre significativamente la capacità di propagazione verso altri sistemi di controllo. Nei contesti in cui la micro‑segmentazione tradizionale risulta difficilmente applicabile per vincoli tecnici, legacy oppure operativi – l’impiego di data diode o gateway unidirezionali costituisce una soluzione particolarmente robusta per la protezione dei flussi informativi critici, garantendo l’isolamento logico delle reti OT, oltre a prevenire le minacce provenienti dai domini IT o da reti esterne.

La gestione degli accessi privilegiati (Privileged access management – PAM) in ambienti OT (o anche Industrial Secure Remote Access – ISRA) rappresenta una priorità critica. Gli account con privilegi elevati sui sistemi OT – quali PLC, SCADA e HMI – devono essere governati secondo le stesse discipline applicate in ambito IT, in pratica: credenziali uniche e robuste, rotazione periodica, autenticazione multi‑fattore ove supportata e tracciamento completo delle sessioni privilegiate.

Inoltre, per gli accessi remoti di fornitori e di manutentori è essenziale adottare soluzioni di Secure remote access (SRA), specificamente progettate per contesti industriali e basate su MFA, canali cifrati, registrazione delle sessioni, accessi just‑in‑time e controlli granulari che limitino l’operatività del fornitore al solo sottosistema di competenza.

Nei contesti OT, i processi di patch management e vulnerability management non possono seguire le stesse tempistiche e modalità tipiche dell’IT, ma richiedono un approccio basato sul rischio. La prioritizzazione delle vulnerabilità non deve basarsi esclusivamente sulla severità tecnica (per esempio, CVSS – Common Vulnerability Scoring System), bensì considerare anche l’effettiva esposizione del sistema, la disponibilità e validazione delle patch da parte del fornitore e la presenza di misure compensative già in atto. Inoltre, le vulnerabilità non risolvibili nel breve periodo tramite patch devono essere mitigate mediante controlli compensativi, opportunamente documentati, implementati e verificati nel tempo.

In parallelo, è fondamentale strutturare un processo di comunicazione continuo con i fornitori dei sistemi OT, monitorando i security advisory dei produttori, oltre a partecipare a iniziative di information sharing come ICS‑CERT e gli ISAC di settore, che forniscono intelligence tempestiva e contestualizzata su vulnerabilità e minacce specifiche per i sistemi di controllo industriale.

Leggi anche:  Il "big bang digitale" del settore energetico: il 75% si digitalizzerà in due anni, ma a quale costo?

Il monitoraggio continuo del traffico di rete OT rappresenta una delle best practice più efficaci per la rilevazione tempestiva di minacce e anomalie. Di fatto, le piattaforme di OT Security Monitoring, basate su analisi passive, consentono di costruire una baseline del comportamento normale della rete e di individuare deviazioni indicative di intrusioni o malfunzionamenti. Affinché tale monitoraggio sia efficace, il Security Operations Center (SOC) deve essere esteso o affiancato da un team con competenze OT (SOC-OT) specifiche. Gli alert generati in ambito industriale richiedono, infatti, analisti in grado di comprendere protocolli e processi produttivi, per distinguere correttamente eventi reali da falsi positivi ed evitare impatti operativi indesiderati. In questo contesto, un modello ibrido – per esempio un SOC IT e un SOC OT convergenti nel livello 1 del servizio con un team OT dedicato o il supporto di MSSP specializzati in sicurezza OT – rappresenta spesso la soluzione più sostenibile per organizzazioni di grandi o anche medie dimensioni. Il piano di risposta agli incidenti (Incident Response Plan – IRP) deve essere specificamente adattato agli ambienti OT, che presentano dinamiche profondamente diverse rispetto all’IT.

In ambito industriale, azioni standard come l’isolamento immediato di un sistema compromesso possono non essere praticabili o risultare più pericolose dell’incidente stesso, poiché l’interruzione di un PLC o di un sistema di controllo critico può generare impatti fisici sull’impianto e sul processo.

Pertanto, l’IRP OT deve definire chiaramente procedure di escalation, criteri decisionali, ruoli e responsabilità, includendo il personale di processo, nonché strategie di recovery coerenti con le specificità dei sistemi di controllo. Inoltre, l’esecuzione periodica di esercitazioni table-top basate su scenari OT realistici è fondamentale per validare l’efficacia del piano e la maturità dell’organizzazione prima di un incidente reale.

E siamo arrivati alla supply chain security. La sicurezza della catena di fornitura OT deve essere affrontata con un approccio strutturato che copra l’intero ciclo di vita del prodotto e del servizio. Inoltre, i fornitori di sistemi di controllo e di servizi di manutenzione devono essere valutati, non solo per le capacità tecniche, ma anche per il livello di maturità in ambito cybersecurity (includendo la conformità a normative come NIS2 e CRA), l’adozione di certificazioni (IEC 62443, ISO 27001), processi di secure development lifecycle, policy di patch management e supporto alla sicurezza dei prodotti OT.

In parallelo, i contratti devono includere clausole di sicurezza specifiche, come i requisiti per gli accessi remoti, gli obblighi di notifica degli incidenti, gli impegni di supporto durante il ciclo di vita e diritti di audit. Mentre l’adozione di un framework di Software Bill of Materials (SBOM) consente di identificare tempestivamente i sistemi esposti in caso di vulnerabilità in componenti software comuni.

La definizione e l’adozione di KPI specifici per la cybersecurity OT sono essenziali per misurare in modo oggettivo il livello di maturità del programma di sicurezza, monitorarne l’evoluzione nel tempo e rendere tangibile al management il ritorno degli investimenti effettuati.

In un contesto normativo, come quello introdotto dalla NIS2, che attribuisce responsabilità dirette al top management nella gestione del rischio cyber, i KPI rappresentano il principale punto di raccordo tra controllo operativo, governance e accountability decisionale. Tra gli indicatori più rilevanti rientrano: la copertura dell’inventario degli asset OT; lo stato di gestione delle vulnerabilità critiche; il MTTR degli incidenti OT; il numero di tentativi di accesso remoto non autorizzato; il livello di copertura del monitoraggio; lo stato di conformità a normative e standard applicabili, quali NIS2, CER e IEC 62443.

Inoltre, tali KPI devono essere oggetto di reporting periodico verso il board e il top management, integrati nel framework di enterprise risk management e utilizzati come strumento di supporto alla pianificazione strategica e alla prioritizzazione degli investimenti in sicurezza OT.

SICUREZZA INTEGRATA

La convergenza IT/OT rappresenta un processo strutturale e irreversibile che ridefinisce il perimetro della cybersecurity industriale. I sistemi di controllo che governano infrastrutture essenziali e servizi critici non possono più essere considerati domini isolati, ma componenti integrate di ecosistemi digitali interconnessi, esposti a minacce cyber con potenziali impatti fisici su persone, ambiente e continuità operativa.

Tale evoluzione è stata formalmente riconosciuta dal legislatore europeo attraverso il quadro normativo introdotto da NIS2 e da CER, che ha trasformato la cybersecurity delle infrastrutture critiche da iniziativa volontaria a obbligo regolamentare, attribuendo responsabilità dirette al management. Ne consegue che la sicurezza OT non deve essere interpretata come un mero adempimento, ma come un’opportunità strategica per rafforzare la resilienza complessiva delle organizzazioni.

Inoltre, i framework di riferimento come lo standard IEC 62443 e il Purdue Model forniscono un linguaggio comune e un approccio metodologico solido per progettare architetture OT sicure, riducendo l’ambiguità decisionale e allineando le diverse funzioni coinvolte.

Ancora, le best practice illustrate non costituiscono un insieme prescrittivo, ma principi adattabili al contesto operativo, al livello di maturità e al profilo di rischio specifico di ciascuna organizzazione. La sicurezza OT non è quindi un obiettivo statico, bensì un percorso evolutivo: dalla consapevolezza del rischio alla maturità dei processi e delle competenze, fino alla resilienza operativa.

IT e OT non sono più due mondi separati, ma convergono in un unico ecosistema digitale, esposto a un unico rischio sistemico, la cui gestione consapevole e strutturata rappresenta una responsabilità imprescindibile per il presente e il futuro dei sistemi industriali.