Proteggere infrastrutture OT: 5 step di cybersecurity

Perché la sicurezza OT non è come la sicurezza IT

La Tecnologia Operativa (OT) governa i processi fisici e le infrastrutture critiche: reti idriche, centrali elettriche, impianti di trattamento, fabbriche. Non è Internet: è il controllore logico programmabile (PLC) di una pompa, il sistema SCADA che monitora una diga, il dispositivo che regola il dosaggio chimico di un impianto di depurazione.

In Italia, il numero di PLC esposti è in aumento: nel quarto trimestre 2025 ne sono stati rilevati 1.445, rispetto ai 1.144 del trimestre precedente. Una realtà che rispecchia la concentrazione nazionale di aziende nel settore idrico, energetico e manifatturiero.

Ma la minaccia non è astratta. Un avviso congiunto diffuso da FBI, CISA, NSA, EPA, DOE e Cyber National Mission Force descrive attacchi attivi almeno da marzo 2026, con impatti concreti su reti idriche, energetiche e servizi governativi locali. Gli attori iraniani stanno sfruttando soprattutto la esposizione diretta dei PLC sulla rete pubblica, senza ricorrere a vulnerabilità zero-day. I target principali sono i CompactLogix e Micro850, molto diffusi in ambienti industriali e utility.

La sicurezza OT non segue le regole dell'IT. Non puoi riavviare un PLC come faresti con un server. La latenza è critica. La disponibilità è assoluta. Una patch mal applicata rischia di fermare una linea di produzione o, peggio, di compromettere la continuità di un servizio idrico essenziale. Ecco perché occorre un approccio completamente diverso.

I numeri della vulnerabilità in Italia

Tra i paesi con il maggior numero di esposizioni di sistemi ICS figurano, oltre agli Stati Uniti, Turchia, Corea del Sud, Italia e Canada.

Il dato diventa ancora più critico nel settore manifatturiero e delle infrastrutture. Gli attacchi ransomware contro le organizzazioni industriali sono aumentati dell'87% nel 2025. Il 75% degli incidenti ha provocato interruzioni parziali delle operazioni, mentre il restante 25% ha comportato l'arresto totale della produzione.

Le PMI sono particolarmente esposte. Solo il 15% delle PMI italiane adotta un approccio strutturato alla cybersecurity, mentre il 56% mostra livelli di consapevolezza ancora bassi o molto limitati. E le PMI, spesso meno strutturate in termini di difese digitali, risultano particolarmente vulnerabili.

Come avviene un attacco OT: la catena classica

Gli attacchi non arrivano sempre dall'OT direttamente. La traiettoria più frequente è: comprometti l'IT, poi ruota verso l'OT. Ma la minaccia di marzo-aprile 2026 ha cambiato il paradigma.

Una volta stabilita la connessione accettata dal PLC, gli attaccanti interagiscono con i project file, manipolano parametri e possono alterare i dati visualizzati agli operatori sulle console industriali senza generare allarmi immediati.

La catena di attacco si articola in fasi riconoscibili:

• Scansione: Durante la fase di scansione, l'attore ha usato nodi Tor exit con rotazione frequente, inviando richieste con un user agent costruito per simulare Internet Explorer 10 su Windows 7
• Autenticazione: Una volta ottenute credenziali valide, gli attaccanti si autenticano tramite range IP VPN commerciali di Windscribe e NordVPN geolocalizzati in Israele, aggirando le restrizioni geografiche
• Persistenza: La mancata segmentazione di rete e la pubblicazione dei PLC su internet trasformano sistemi OT nati per ambienti chiusi in bersagli remoti immediatamente sfruttabili
• Esecuzione e impatto: In diversi casi gli incidenti hanno già provocato downtime operativi e perdite economiche, dimostrando come anche senza un wiper o un malware ICS dedicato sia possibile ottenere impatto reale

Il dato che deve fare riflettere: L'aspetto più critico della campagna riguarda la manipolazione dei dati di visualizzazione su HMI e SCADA, ovvero le interfacce attraverso cui gli operatori decidono come agire.

Step 1: Audit e segmentazione di rete totale tra OT e IT

Il primo passo non è installare un firewall costoso. È capire cosa hai.

Un audit OT corretto deve rispondere a:

• Quanti dispositivi OT hai? (Sì, molte aziende non lo sanno)
• Quali sono connessi a Internet direttamente o indirettamente?
• Quali sistemi legacy girano su OS non supportati?
• Quali accessi remoti esistono per manutentori e fornitori?
• C'è una separazione fisica o logica tra rete IT e rete OT?

La segmentazione è il principio più efficace. La segmentazione delle reti rappresenta uno dei controlli più efficaci per limitare la propagazione di un attacco all'interno di un ambiente industriale. Separare le reti OT da quelle IT e suddividere l'infrastruttura in zone di sicurezza consente di controllare i flussi di comunicazione e applicare politiche di sicurezza differenziate in base alla criticità dei sistemi.

Adottate il modello Purdue (o modello a zone). La vostra rete deve essere progettata come una fortezza a più livelli: Livelli 0–2 per dispositivi di campo (sensori, attuatori) e controllo (PLC), con accesso estremamente limitato; Livello 3 per supervisione (SCADA, HMI) con una DMZ tra OT e IT; Livelli 4–5 per sistemi aziendali (ERP, cloud). Ogni comunicazione deve transitare attraverso firewall industriali in grado di ispezionare i protocolli specifici.

Cosa NON fare: Non mettere tutti i tuoi dispositivi OT dietro un'unica DMZ. La micro-segmentazione interna è essenziale, poiché non tutti i sistemi hanno lo stesso livello di criticità.

Step 2: Autenticazione obbligatoria e disabilitazione accessi diretti

Questo è lo step operativo più temuto dalle PMI, perché significa cambiare la password di un PLC che magari nessuno ha mai modificato da dieci anni.

Le azioni concrete:

1. Cambia le credenziali di fabbrica. Non è raro trovare PLC ancora con username/password predefinite. Documentale in un vault crittografato (non in fogli Excel).
2. Abilita multi-fattore (MFA) su tutti gli accessi remoti. Se un manutentore deve collegarsi da remoto, lo farà tramite VPN + MFA, non via telnet o SSH esposto.
3. Disabilita servizi inutili. Un numero sempre crescente di dispositivi IoT permette l'esposizione delle proprie interfacce web di configurazione e controllo senza adeguate misure di sicurezza. L'utilizzo di HTTP non cifrato, credenziali di default o sistemi di autenticazione deboli, rende tali dispositivi un bersaglio estremamente semplice da compromettere, specialmente se accessibile da Internet. Telnet, FTP, HTTP non criptato: vanno rimossi.
4. Gestione centralizzata degli accessi. Implementa un sistema RBAC (Role-Based Access Control) che traccia chi accede, quando e a cosa.

Alternativa gestita per PMI: Se non hai competenze interne, coinvolgi un integratore sistemistico qualificato per l'OT. Non improvvisare: una configurazione errata può fermare la produzione.

Step 3: Monitoraggio real-time – Anomaly Detection, non solo IDS

Un Intrusion Detection System classico legge i log. Ma negli ambienti OT, gli attacchi non sempre lasciano tracce evidenti nei log tradizionali.

Una soluzione di anomaly detection OT deve monitorare:

• Traffico sui protocolli industriali: Modbus, Profibus, EtherCAT, OPC-UA. Che comandi vengono inviati ai PLC? Sono normali rispetto alla baseline?
• Sequenze operative inattese: Se una pompa riceve un comando di avvio a un'ora in cui non dovrebbe essere accesa, è un'anomalia.
• Accessi remoti non autorizzati: Chi si sta collegando? Da dove? Quando?
• Modifiche ai file di progetto: Se qualcuno modifica la logica di un PLC, deve esserci un allarme immediato.

Confronto con alternative: Gli IDS tradizionali cercano firme di malware noti. La anomaly detection OT cerca comportamenti anomali basati su modelli di normalità. Poiché molti protocolli OT non includono meccanismi di sicurezza nativi, è necessario utilizzare soluzioni di analisi specifiche in grado di individuare anomalie nel comportamento dei dispositivi. L'integrazione con servizi di threat intelligence specializzati per ambienti industriali consente di correlare indicatori di compromissione e individuare schemi di attacco prima che producano effetti operativi.

Step 4: Continuità operativa OT – Backup e Recovery specifici

Il backup di un file server e il backup di un PLC non sono la stessa cosa. Non basta un backup incrementale su cloud.

Un piano di continuità operativa OT deve includere:

1. Backup della logica del PLC e delle configurazioni. Non solo i dati, ma il progetto IEC 61131-3 del controllore, i parametri di processo, le mappature I/O.
2. Backup offline e immutable. Se tutto è in cloud, un ransomware che cripta i file infetta anche i backup incrementali. Mantieni copie offline in storage write-once.
3. Piano di failover con commutazione manuale. In caso di attacco, devi essere in grado di tornare a controlli manuali o a PLC secondari predisposti.
4. Testing regolare. Non scoprire che il backup non funziona il giorno di un incidente. Test almeno semestrali, con RTO (Recovery Time Objective) e RPO (Recovery Point Objective) documentati.

Caso limite: In una utility idrica, se il sistema SCADA viene compromesso, il piano B non può essere "spera che vada bene". Deve esserci una procedura di fallback documentata e testata che consenta ai gestori di mantenere la continuità del servizio manualmente, se necessario, per ore o giorni.

Step 5: Connettività ridondante e resiliente

Infine, non basta difendersi dagli attacchi. Devi costruire infrastrutture che continuano a funzionare anche sotto attacco.

Per PMI e utility:

• Ridondanza di rete: Più percorsi di comunicazione verso i PLC. Se uno è compromesso, il sistema continua.
• Connettività indipendente per controlli critici: Alcuni sistemi di sicurezza (SIL, emergency shutdown) devono avere canali di comunicazione separati, non condivisi con la rete generale.
• VPN dedicata per accessi remoti. Separata dalla rete aziendale generale, con logging e MFA obbligatori.
• Banda di comunicazione monitorata e prioritizzata. Un attacco DDoS su un PLC non deve congestionare il canale di backup.

La differenza tra protezione IT e protezione OT

Cosa cambia veramente tra proteggere un ufficio IT e proteggere una centrale idroelettrica?

• Disponibilità: Un server web down è un problema. Un PLC che gestisce una diga non può andare down. Mai. I sistemi OT hanno RTO misurati in minuti.
• Latenza: I sistemi IT tollerano millisecondi di latenza aggiuntiva da un firewall. I sistemi OT no. Uno switch di rete con latenza elevata può causare microinterruzioni nei comandi, con conseguenze fisiche.
• Cicli di patch: Aggiorni Windows ogni mese. Un PLC rimane in servizio per 20 anni. Non puoi patchare frequentemente senza impattare le operazioni.
• Conseguenze di un attacco: Una data breach IT espone informazioni. Un attacco OT causa danni fisici: un blackout, la contaminazione dell'acqua, l'interruzione della catena produttiva.
• Expertise: I team IT conoscono AD, Kubernetes, cloud. I team OT conoscono Profibus, IEC 61131-3, SCADA. Spesso non si parlano.

Per questo motivo, le strategie di protezione sono fondamentalmente diverse e richiedono competenze specializzate.

Autovalutazione: 10 domande per la tua azienda

Prima di investire in costose soluzioni, rispondi sinceramente a queste domande:

1. Conosci esattamente quanti dispositivi OT hai connessi alla rete?
2. Sono esposti direttamente su Internet? Sai se è così?
3. La rete OT è fisicamente/logicamente separata dalla rete IT?
4. Tutti i PLC hanno credenziali diverse dalle credenziali di fabbrica?
5. Monitora attivamente chi accede ai tuoi sistemi OT e da dove?
6. Hai un piano documentato di recovery in caso di attacco ai PLC?
7. Hai backup offline della logica e delle configurazioni dei tuoi controllori?
8. Il tuo team IT conosce le specificità della sicurezza OT, o ti affidi completamente a fornitori esterni?
9. Hai mai condotto un audit di sicurezza OT specifico (non generico)?
10. Sai come continuerebbe la tua operazione se il sistema SCADA fosse inaccessibile per 24 ore?

Se rispondi "no" a più di tre domande, il tuo rischio OT è significativo e richiede azione immediata.

Quando conviene investire – Quando no

Investire è essenziale se:

• Gestisci infrastrutture critiche (idrica, energetica, sanitaria, di trasporto).
• Hai PLC connessi a Internet, anche indirettamente tramite VPN o bridge IT/OT.
• Operi in settori regolati dalla NIS2 (Direttiva 2022/2555 UE, recepita in Italia dal D.lgs. 138/2024 con compliance entro gennaio-febbraio 2025).
• Hai più di 50 dipendenti e sistemi di controllo centralizzati.
• Raccolti dati di processo sensibili o controllate macchinari costosi.

Potrebbe rinviare se (ma con cautela):

• Sei una micro-azienda manifatturiera con impianti completamente isolati (air-gapped) senza connettività remota e nessuna intenzione di aggiungerla.
• I tuoi PLC non sono mai stati toccati da nessuno in remoto e non lo saranno mai.
• Non sei in un settore esposto a minacce geopolitiche.

Ma nel primo semestre del 2025 si è registrato un aumento degli attacchi ai siti e ai servizi pubblici, spesso con l'obiettivo di renderli temporaneamente inaccessibili. È il terreno dell'hacktivismo: azioni a sfondo politico o ideologico che utilizzano il cyberspazio come arena di confronto e pressione. L'Italia, per la sua esposizione internazionale e per il peso delle sue istituzioni, è diventata un bersaglio sensibile. Nessuno è immune.

Le alternative: cosa offre il mercato

Esistono tre approcci alla protezione OT:

1. Sicurezza perimetrale (firewall + segmentazione)

• Pro: Meno invasivo, non richiede modifica ai PLC, relativamente economico, controllato e prevedibile.
• Contro: Non rileva attacchi interni, non protegge da errori umani, difesa passiva, richiede manutenzione costante.
• Quando usarlo: Come base fondamentale, mai da solo.

2. Monitoraggio e anomaly detection OT

• Pro: Rileva comportamenti anomali, consente risposta rapida, fornisce visibilità sui protocolli industriali, riduce falsi positivi rispetto agli IDS classici.
• Contro: Non previene, richiede SOC specializzato, addestramento della baseline, falsi positivi ancora possibili.
• Quando usarlo: In combinazione con segmentazione, essenziale per ambienti complessi.

3. Approccio integrato (defense-in-depth)

• Pro: Protezione su più livelli, resilienza elevata, conformità normativa NIS2, detects e rallenta gli attacchi.
• Contro: Più costoso, richiede expertise, implementazione complessa e lunga, necessita orchestrazione.
• Quando usarlo: Standard consigliato per utility e infrastrutture critiche.

Per una PMI italiana, il compromesso migliore è: segmentazione rigorosa + anomaly detection + backup robusto, implementati progressivamente, senza aspettare la soluzione "perfetta".

Conclusione: il momento di agire è ora

Il 9,6% degli incidenti cyber registrati a livello globale nel 2025 ha avuto come bersaglio aziende e infrastrutture italiane. In termini assoluti, 507 attacchi gravi secondo il Rapporto Clusit 2026, contro i 357 dell'anno precedente.

La minaccia non è teorica. Alcune vittime hanno subito interruzioni operative e perdite finanziarie già tra marzo e aprile 2026.

Per una PMI o una utility italiana, il percorso non deve essere perfezionista. Inizia dai cinque step descritti:

1. Audit e segmentazione (foundation).
2. Autenticazione e disabilitazione accessi diretti (moving target).
3. Monitoraggio continuo (visibility).
4. Continuità operativa e backup (resilience).
5. Connettività ridondante (sustainability).

Non occorre installare tutto domani. Ma occorre iniziare subito. Ogni giorno che passa senza segmentazione OT/IT, ogni PLC esposto su internet non autenticato, ogni servizio legacy abilitato è una finestra aperta agli attori che stanno già scansionando le tue reti.

Il valore di una password di fabbrica non modificata è zero. Il costo di scoprire un attacco durante un servizio critico è incalcolabile.