Il panorama della cybersecurity industriale sta attraversando una fase di profonda trasformazione, segnata da una discrepanza sempre più evidente tra la velocità delle minacce digitali e i cicli di vita delle infrastrutture fisiche. Durante il recente convegno dal titolo «Cybersecurity: immaginare l’imprevedibile», organizzato dall’Osservatorio Cybersecurity & Data Protection presso gli Osservatori Digital Innovation del Politecnico di Milano, è emerso con chiarezza come la realtà operativa stia superando le proiezioni statistiche più caute.
I moderatori dell’evento hanno evidenziato che i numeri finali del Rapporto Clusit confermano uno scenario preoccupante, dove la gestione dei rischi dei fornitori in ambito industriale e OT (Operational Technology) rappresenta una sfida complessa a causa di logiche di interconnessione radicalmente diverse da quelle dell’informatica tradizionale. In questa cornice, Maura Frusone, head of B2B Sales di Kaspersky, ha offerto una prospettiva pragmatica su come le organizzazioni debbano oggi approcciarsi alla difesa dei propri asset produttivi.
Il punto di partenza per comprendere l’entità della minaccia è l’estrema capillarità del rischio: come ricordato durante il dibattito, ogni dispositivo dotato di alimentazione elettrica rappresenta un potenziale punto di ingresso per un attacco informatico. Questa riflessione nasce da una provocazione condivisa dagli esperti del settore: «ti devi preoccupare di cybersecurity se ha una presa di corrente; se si attacca alla corrente vuol dire che c’è un tema di cybersecurity da identificare».
Sebbene possa apparire come un’iperbole, il tema sottolinea la difficoltà di mantenere in linea sistemi eterogenei dove le soluzioni standard spesso non funzionano o non sono applicabili.
Indice degli argomenti
La sfida della continuità operativa di fronte alla staticità tecnologica
Uno dei pilastri critici della cybersecurity industriale identificati da Frusone è la cosiddetta «staticità tecnologica». Mentre il mondo dell’Information Technology (IT) è abituato a cicli di aggiornamento rapidi, gli ambienti produttivi operano con una scala temporale completamente differente. Negli impianti industriali si ha spesso a che fare con macchinari e sistemi che rimangono in esercizio per dieci, venti o trenta anni, e in alcuni casi anche di più. Questa longevità strutturale crea un impatto negativo sull’evoluzione tecnologica necessaria per garantire la sicurezza informatica, poiché aggiornare i sistemi significa intervenire costantemente sulle vulnerabilità dei software e sulle scelte architravate.
Esiste un conflitto intrinseco tra la sicurezza e le necessità del business. Secondo Maura Frusone, «il responsabile dell’impianto OT sicuramente ha come primo obiettivo la continuità operativa del business e della produzione, e chiaramente vede alcune pratiche di sicurezza informatica tradizionale con un impatto negativo e come un ostacolo proprio alla continuità del business». Questa percezione deriva dal fatto che molte procedure di sicurezza standard sono ritenute invasive o rischiose per il mantenimento dei ritmi produttivi.
Gli ostacoli pratici alla protezione degli impianti
Le frizioni tra le esigenze di sicurezza e la produzione si manifestano in diverse aree critiche della gestione operativa. Molti responsabili OT guardano con diffidenza ad alcuni interventi che, seppur fondamentali per la cybersecurity industriale, potrebbero causare fermi macchina o inefficienze:
- La segregazione degli ambienti di rete per isolare i diversi segmenti della produzione.
- L’adozione di protocolli rigorosi per la protezione delle password.
- La gestione strutturata e il controllo degli account amministrativi.
L’emergenza ransomware: i dati del comparto manifatturiero
Il livello di vulnerabilità delle infrastrutture industriali è reso evidente dai dati sugli attacchi registrati negli ultimi anni. Le analisi condotte da Kaspersky confermano che le aziende manifatturiere figurano tra le realtà più colpite dai ransomware. La criticità della situazione è supportata da statistiche dirette raccolte sul campo tra le organizzazioni del settore:
- Circa il 90% delle aziende intervistate ha dichiarato di aver subito almeno un incidente informatico nel periodo compreso tra il 2024 e il 2025.
- Questi attacchi hanno compromesso la continuità operativa delle aziende colpite mediamente due o tre volte.
Questa esposizione solleva interrogativi urgenti sulla capacità di difesa di chi gestisce impianti caratterizzati da una cronica mancanza di visibilità e dall’assenza di processi strutturati di patch management. La combinazione di impianti obsoleti e minacce in costante aumento rende la protezione dell’ambiente produttivo un compito arduo, ma non impossibile.
Una strategia di difesa basata su visibilità e framework internazionali
Per affrontare le sfide della cybersecurity industriale, Kaspersky propone un percorso metodologico che parta dall’analisi dei rischi piuttosto che dalla sola implementazione tecnologica. Il primo passo deve essere necessariamente un assessment approfondito volto a individuare i processi produttivi più critici per l’organizzazione. Solo dopo aver effettuato una valutazione del rischio è possibile stabilire delle priorità d’intervento che tengano conto dei vincoli di budget aziendali, seguendo framework di riferimento riconosciuti a livello internazionale come il NIST.
Gli elementi cardine di una strategia di sicurezza efficace per gli ambienti industriali includono l’analisi e la visibilità della rete, la gestione rigorosa delle patch e, soprattutto, la formazione specifica per il personale. Frusone ha rimarcato come la formazione in ambito industriale abbia un rilievo superiore rispetto ad altri settori, poiché in questi contesti il rischio informatico è direttamente correlato alla sicurezza fisica dei lavoratori e degli impianti stessi.
L’approccio tecnologico XDR per i sistemi legacy
Dal punto di vista delle soluzioni tecniche, la protezione degli ambienti OT richiede strumenti progettati nativamente per questo scopo, capaci di operare senza interferire con la produzione. Kaspersky ha sviluppato una piattaforma XDR estesa dedicata specificamente all’industria, che si basa su due componenti fondamentali:
- KICS for Nodes: un sistema per la protezione dei nodi basato su tecnologia EDR (Endpoint Detection and Response), progettato per essere installato anche su sistemi legacy ormai obsoleti ma ancora vitali per la produzione.
- KICS for Networks: una soluzione dedicata alla rete che permette di ottenere una visibilità completa degli asset e delle loro vulnerabilità senza impattare negativamente sui processi produttivi.
Oltre a questi strumenti proattivi, l’organizzazione deve essere pronta a gestire l’eventualità di una violazione. Come sottolineato da Frusone, anche con le migliori difese, rimane fondamentale che l’azienda disponga di un processo interno strutturato per la gestione degli incidenti informatici, garantendo così una capacità di reazione rapida ed efficace.
Sebbene la protezione di impianti con cicli di vita così lunghi rimanga un’attività complessa, l’adozione di un percorso evolutivo e di tecnologie non invasive permette di raggiungere un livello di sicurezza adeguato alle minacce contemporanee.
