Le infrastrutture critiche fanno sempre più impiego di tecnologia IoT (internet of Things). Inoltre, la crescente convergenza di sistemi IT ed OT richiede sempre più una cybersecurity strutturata per garantire la resilienza degli ecosistemi su cui si fonda la nostra società.

L’OT (Operation Technology) alimenta i moderni sistemi industriali e le infrastrutture critiche, con un impatto significativo su molti aspetti della nostra società., considerando che, quando i sistemi OT vengono interrotti, si verificano interruzioni, carenze, rischi per la sicurezza, blocchi della produzione e perdite finanziarie sino a compromettere la salvaguardia dei vari ecosistemi e anche sicurezza a livello Paese. Ma vediamo di che si tratta.

Digitalizzazione delle infrastrutture critiche: convergenza IT vs. OT e come garantire la cybersecurity

I sistemi OT sono sempre più connessi a fronte dei processi accelerati di digitalizzazione, e, spesso, utilizzano tecnologie vulnerabili che non sono state progettate tenendo conto della sicurezza informatica. Inoltre, è quanto mai fondamentale prendere coscienza della differenza della sicurezza dei sistemi IT rispetto a quelli OT. E, precisamente:

• Sicurezza IT – Essa mira a proteggere le informazioni e a prevenire accessi non autorizzati. L’IT si concentra sulla gestione e l’elaborazione dei dati per garantirne la disponibilità, la riservatezza e l’integrità. Inoltre, i dispositivi IT hanno una durata di vita più breve e sono più facili da sostituire e manutenere.

• Sicurezza OT – Essa protegge i sistemi che garantiscono il funzionamento sicuro ed efficiente degli ambienti industriali. L’OT monitora e controlla i processi e le apparecchiature fisiche, interagendo con macchinari e infrastrutture fisiche. Inoltre, i dispositivi utilizzati in ambito OT sono spesso progettati appositamente, hanno una lunga durata e richiedono una manutenzione specializzata. Ancora, le priorità di sicurezza per l’OT hanno tradizionalmente posto l’accento su sicurezza, affidabilità e prestazioni in tempo reale, concentrandosi sulla protezione dei processi fisici e delle apparecchiature.

Senza dimenticare che le reti OT sono estremamente complesse da gestire in termini di sicurezza, dato che esse comprendono un’ampia gamma di dispositivi, tra cui controllori logici programmabili (PLC – Programmable Logic Controls), sistemi SCADA (Supervisory Control and Data Acquisition) e interfacce uomo-macchina (HMI – Human-Man Interfaces). Inoltre, le reti OT sono costituite da sistemi legacy, dispositivi IoT e sistemi di controllo proprietari, ciascuno con esigenze di sicurezza diverse e molti di essi non sono stati progettati tenendo conto della sicurezza informatica, rendendo la visibilità e la protezione una sfida. La diversità di protocolli – hardware e software – nelle reti industriali richiede soluzioni di sicurezza che tengano conto della complessità operativa, garantendo al contempo l’operatività del sistema.

Inoltre, a differenza degli strumenti di sicurezza IT, gli ambienti OT richiedono un monitoraggio non intrusivo per evitare interruzioni operative. Pertanto, le soluzioni di sicurezza informatica native OT devono fornire visibilità in tempo reale senza interferire con i processi critici. Ne consegue che per la cybersecurity dei sistemi OT delle infrastrutture critiche è quanto mai fondamentale garantire:

• Monitoraggio passivo della rete – Esso, a differenza dei tradizionali strumenti IT è in grado di rilevare l’attività di rete in tempo reale senza influire sulle operazioni, ovvero: ispezione approfondita dei pacchetti per i protocolli OT con un rilevamento accurato delle minacce; rilevamento delle risorse in tempo reale e visibilità della rete senza interferenze; nessuna interruzione dei processi industriali critici.
• Monitoraggio attivo per colmare le lacune – Sebbene il monitoraggio passivo sia il metodo predefinito e preferito, vi sono situazioni in cui sono necessarie tecniche di query attive per: estendere la visibilità delle risorse; convalidare le configurazioni; raccogliere dettagli aggiuntivi che i metodi passivi non sono in grado di rilevare.

Inoltre, è necessario:

• Eseguire un inventario completo delle risorse per rafforzare la sicurezza e le operazioni – Un’altra caratteristica essenziale delle soluzioni native OT è la capacità di creare e gestire un inventario completo delle risorse. Negli ambienti OT, è quanto mai fondamentale per garantire una sicurezza efficace, sapere quali dispositivi sono connessi alla rete. Di fatto, a differenza degli ambienti IT – dove i dispositivi in rete possono essere più standardizzati – le reti OT sono costituite da un’ampia varietà di risorse, dai sistemi legacy ai moderni dispositivi IoT. Pertanto, disporre di un inventario completo delle risorse è fondamentale per implementare una gestione delle vulnerabilità basata sul rischio. La chiara comprensione delle risorse esistenti consente ai team di sicurezza di assegnare priorità alle vulnerabilità, in base al loro impatto operativo e alla criticità dei sistemi che supportano.
• La gestione delle vulnerabilità OT – Le pratiche tradizionali di sicurezza IT spesso si basano sull’applicazione di patch alle vulnerabilità non appena vengono scoperte. Tuttavia, negli ambienti OT, l’applicazione di patch può essere dirompente e rischiosa. Di fatto, molti sistemi industriali devono funzionare ininterrottamente e le finestre di manutenzione per gli aggiornamenti possono essere programmate con mesi di anticipo. Ne consegue che arrestare questi sistemi per l’applicazione di patch può interrompere la produzione e i servizi, oltre a comportare significative perdite finanziarie. Di conseguenza, gli ambienti OT richiedono un approccio maggiormente pratico e basato sul rischio per la gestione delle vulnerabilità. Ovvero, invece di affidarsi esclusivamente alle patch, le organizzazioni possono sfruttare strategie di mitigazione alternative come la segmentazione della rete, l’autenticazione a più fattori e il monitoraggio avanzato, consentendo ai team di sicurezza OT di affrontare le vulnerabilità più critiche, senza compromettere il regolare svolgimento delle operazioni, oltre ad assicurare sia la sicurezza sia i tempi di attività.
• Il rilevamento delle minacce specifiche dell’OT – Gli ambienti OT si trovano ad affrontare una varietà di minacce informatiche sofisticate, tra cui malware, ransomware. Pertanto, le organizzazioni devono investire in sistemi di rilevamento delle minacce su misura per l’OT, dato che molte soluzioni di sicurezza incentrate sull’IT generano un numero enorme di avvisi, rendendo difficile per i team di sicurezza identificare le minacce reali. Al contrario, le soluzioni di sicurezza native OT si concentrano sul rilevamento delle minacce comportamentali, identificando gli attacchi basati su tattiche, tecniche e procedure (TTP – Tactics, Techniques and Procedures), riducendo i falsi avvisi e migliorando l’accuratezza della risposta.
• L’integrazione della sicurezza OT nei framework IT – È doveroso evidenziare che, sebbene gli ambienti OT abbiano esigenze di sicurezza specifiche, è essenziale che le organizzazioni integrino la sicurezza OT con le operazioni di sicurezza IT esistenti. Ciò garantisce che gli ambienti OT non siano isolati da iniziative di sicurezza più ampie e che sia i sistemi OT sia quelli IT traggano vantaggio da una difesa unificata e coordinata.

È sempre una questione di resilienza

La resilienza delle infrastrutture critiche è fondamentale e si tratta di percorso continuo che richiede la capacità di “anticipare l’inaspettato” attraverso un processo di conoscenza costante, volto ad acquisire consapevolezza del proprio stato dell’arte per stabilire gli obiettivi di resilienza tramite:

• Analisi dei rischi.
• Implementazione di una governance della sicurezza.
• Progettazione della resilienza operativa.
• Definizione di un’architettura di sicurezza operativa.
• Garanzia della sicurezza dei software di base.
• Controllo adeguato dell’accesso ai sistemi.
• Misurazione continua della sicurezza.
• Garanzia di una formazione adeguata.
• Programmazione periodica di esercitazioni.

Di fatto, l’UE, in un’ottica di resilienza delle infrastrutture critiche a livello europeo, ha emanato una serie di direttive e regolamenti, richiedendo a ogni Paese membro di essere in grado di riconoscere qualsiasi minaccia, gestirla e implementare strategie adeguate a:

• Salvaguardare gli aspetti di sicurezza e privacy delle informazioni, dei dati, oltre a garantire le pratiche di sicurezza informatica all’interno delle infrastrutture critiche.
• Prevedere investimenti e aggiornamenti degliasset obsoleti, secondo un approccio di “sicurezza e privacy-by-design“.
• Attuare misure di cybersicurezza nei loro piani nazionali di valutazione del rischio.
• Sensibilizzare e promuovere ampie discussioni nei settori critici, considerando che la cooperazione e la fiducia tra le parti interessate (pubbliche-private) e gli Stati membri sono fondamentali per la sicurezza informatica e per fronteggiare potenziali effetti a cascata e transfrontalieri.
• Scambiare le migliori pratiche tra gli Stati membri in materia di identificazione, mitigazione e gestione dei rischi informatici ai sensi delle normative vigenti (i.e. NIS2, DORA e CER).

Conclusione

Non esiste una soluzione miracolosa per proteggere completamente le infrastrutture critiche dagli attacchi informatici. Tuttavia, l’adozione di buone pratiche di gestione del rischio e di continuità operativa, insieme a una visione globale della cybersecurity che consideri le specificità dei sistemi IT e OT, può contribuire a garantire la resilienza informatica delle infrastrutture critiche.

Inoltre, è sempre più necessario promuovere partnership pubblico-private e sviluppare una stretta collaborazione tra i vari Paesi europei, condividendo informazioni e attività di intelligence. La UE sta già operando in questa direzione con normative come NIS2, DORA e CER, che sottolineano l’importanza di un approccio più olistico, dato che la necessità di rafforzare i sistemi di difesa delle infrastrutture critiche è ormai un’urgenza imprescindibile.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.