Da una ricerca Kaspersky emerge che la vera sfida della OT security non è il budget, ma la capacità di valutare il rischio e colmare il gap di competenze tecniche nelle aziende italiane.
Autore: Redazione SecurityOpenLab
“Le difficoltà nella quantificazione del rischio e la carenza di competenze tecniche rallentano gli investimenti in sicurezza OT più delle limitazioni di budget”. Con questa frase Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky, inquadra la situazione italiana nell’ambito della sicurezza OT, che dal 2023 in avanti sta vivendo un momento positivo, con presa di consapevolezza e investimenti, spinti sia dalla pressione normativa che dalla crescita esponenziale delle minacce informatiche.
Nell’evento stampa che ha aperto il mese di luglio Kaspersky si è concentrata sulla sicurezza industriale. Il tema si sviluppa a partire da una ricerca presentata dalla stessa Kaspersky, condotta ad aprile 2025 su un campione di cento aziende italiane con oltre mille dipendenti, che fotografa un settore in una fase di profonda trasformazione, ma anche di grande vulnerabilità. “Il settore manufatturiero – ha ricordato D’Angelo – è uno di quelli più esposti all’attività dei cyber criminali. Nel 2024, il 28% degli attacchi cyber a livello mondiale sul settore OT ha colpito l’Italia”. Il dato, già di per sé impressionante, non è isolato: il 90% delle aziende intervistate ha dichiarato di aver subìto almeno un attacco informatico nell’arco del 2024, e più della metà ha dovuto affrontare due o tre interruzioni operative nell’ultimo anno, con danni materiali spesso difficili da quantificare.
Non si tratta solo di una questione di quantità, ma di qualità e gravità degli incidenti. Come ricorda D’Angelo, un terzo degli intervistati ha definito gli attacchi subìti come di elevata gravità, con ripercussioni che vanno ben oltre il semplice blocco della produzione. “Quando si parla di produzione si parla spesso di brevetti, di segreti industriali. L’attacco cyber spesso può avere come obiettivo proprio quello di carpire il brevetto e questo è fra le conseguenze più temnute dal 62% degli intervistati” ha spiegato D’Angelo, aggiungendo che la compromissione della qualità è un rischio ancora più subdolo: “se un attacco blocca la produzione bene o male ci si accorge. Pensiamo invece se la produzione non viene bloccata, ma viene cambiato qualche parametro all’interno del funzionamento delle macchine. Magari il cliente se ne accorge molto dopo, quando la produzione è completata, e i costi di quel lotto di produzione che è da buttare via - o peggio ancora i costi in termini di reputazione – è decisamente maggiore di quelli che potrebbero essere i costi di un fermo produttivo che magari viene risolto nell’arco di poche ore”.
La mappa delle minacce delineata dalla ricerca è chiara: le manomissioni volontarie o accidentali alle apparecchiature rappresentano il 21% delle minacce percepite, seguite da malware e botnet (20%), attacchi DDoS (19%) e minacce interne (18%). Il ransomware, pur rappresentando “solo” il 17% delle minacce principali, resta uno degli aspetti più critici, come ha sottolineato Fabio Sammartino, Head of Pre-Sales di Kaspersky: “il ransomware continua a essere un aspetto critico, con i cybercriminali che colpiscono sempre più spesso le aziende industriali per ottenere un profitto economico. Allo stesso tempo, è in aumento anche l’hacktivismo, in cui gli attaccanti spinti da motivazioni politiche utilizzano le tattiche del ransomware per interrompere le attività industriali e causare danni significativi”.
Un altro elemento di forte preoccupazione è la vulnerabilità della supply chain: l’86% degli intervistati ritiene che la propria catena di approvvigionamento sia vulnerabile ai cyberattacchi, e il 43% la considera addirittura molto vulnerabile. “in Italia è presente un tessuto di aziende medio-piccole che per cultura, per budget, sono molto più esposte ai pericoli relativi alla sicurezza informatica. La metà di quelli che ha risposto in questa maniera considera la supply chain addirittura molto vulnerabile e il 41% indica i sistemi legacy come fattore critico perché di fatto sono stati pensati per fare determinate operazioni senza che fosse previsto un tema di security” ha spiegato D’Angelo, rimarcando come la digitalizzazione forzata degli ultimi anni abbia ampliato la superficie d’attacco senza un corrispondente investimento in protezioni adeguate.
La complessità dei sistemi di controllo industriale e la carenza di competenze tecniche rappresentano barriere ancora più difficili da superare rispetto ai limiti di budget, che sono stati indicati come ostacolo solo dal 4% degli intervistati. “Sulla quantificazione del rischio, ora le normative impongono che le aziende facciano un risk assessment prima di adempiere alle formalità. Tuttavia, internamente spesso mancano le competenze o le risorse in grado di quantificare esattamente il rischio perché di fatto non si conosce a fondo la materia. Per questo la carenza di competenze tecniche è indicata da un terzo degli intervistati come uno degli elementi più critici” ha sottolineato D’Angelo.
La tensione tra compliance e operatività è un altro tema caldo: si parla di “conflitti all’interno delle aziende tra chi deve adempiere alle normative e il direttore della produzione, che non ci pensa nemmeno a fermare per un secondo la produzione per far sì che l’azienda si si allinei alle richieste normative. Queste tensioni rallentano gli investimenti”.
Fabio Sammartino ha ricostruito la cronistoria degli ultimi cinque anni, evidenziando come l’Industria 4.0 abbia spinto verso una connessione sempre più spinta di fabbriche e impianti OT, senza però aggiornare il substrato tecnologico. “La vera novità è che nel 2025 si iniziano a trovare i budget. Per il resto, è tutto più o meno lo stesso: il contesto con macchine legacy, gli investimenti in innovazione per la connessione al cloud ma non per rinnovare i sistemi o gli apparati di rete, che invece sono fondamentali” riflette Sammartino, sottolineando come la maturità del mercato sia ancora molto bassa, soprattutto tra le piccole e medie imprese.
Un altro aspetto fondamentale emerso dalla ricerca riguarda la gestione delle reti industriali: “il problema principale che noi incontriamo soprattutto sul livello più basso di maturità dei nostri clienti è che le reti non sono segmentate: c’è una connessione piatta fra IT e OT che è un incubo per chi deve amministrare, quindi la prima richiesta che riceviamo è di segmentare la rete. Il problema è che non si sa quali apparati ci sono, perché le fabbriche e il loro impianti si sono evoluti in 30 anni e magari il responsabile OT è arrivato da pochi anni e non ha la visibilità” ha spiegato Sammartino. Il manager sottolinea che la piattaforma Kaspersky Industrial CyberSecurity (KICS) è stata progettata proprio per rispondere a queste esigenze specifiche del mondo industriale e, fra le altre cose, “supporta da Windows XP SP2 in avanti, quindi possiamo lavorare anche su sistemi legacy che sono ancora largamente diffusi negli ambienti industriali”.
KICS si compone di due elementi principali, KICS for Nodes e KICS for Network, che permettono di coprire sia la parte endpoint che la parte di rete, con funzionalità avanzate come l’analisi dei protocolli SCADA per individuare modifiche sospette nei parametri dei PLC. “Siamo in grado di analizzare i comandi che vengono mandati dai server SCADA con i relativi parametri […] analizziamo il processo produttivo nel più alto dettaglio possibile” ha spiegato Sammartino, incluso il monitoraggio della configurazione dei PLC e il confronto con i parametri caricati dal sistema, in modo da prevenire eventuali manomissioni o malfunzionamenti che potrebbero compromettere la qualità del prodotto finale.
Non mancano esempi concreti di criticità emerse durante le attività di consulenza: un cliente in via di acquisizione che aveva ancora una connessione VPN aperta per la manutenzione di un apparato con un vecchio fornitore ormai abbandonato; clienti con miner di criptovalute sulle macchine di produzione o server utilizzati di notte per attività illecite di mining.
Anche per evitare problemi di questo tipo Kaspersky ha messo a punto un’offerta di formazione e awareness specifica per il personale OT e per i team IT chiamati a gestire la parte OT pur non avendone le competenze adeguate: “la nostra ricerca rileva che esiste un’evidente area grigia in cui la sicurezza viene delegata all’IT, ma quest’ultima non sa come proteggere efficacemente un ambiente OT. C’è una mancanza di formazione, in particolare per quanto riguarda la cybersecurity in ambito OT e la comprensione dei rischi informatici che ne derivano” ha sottolineato D’Angelo.
Come si accennava all’inizio, a bilanciare la situazione ora c’è il quadro normativo, in particolare con l’entrata in vigore della NIS2, sta accelerando la maturità del mercato, ma la tensione tra compliance e operatività resta alta: “il ciclo di vita di una macchina industriale non è sicuramente quello di un sistema informatico, pertanto a volte è difficile per le aziende capire se un attacco è partito dall’IT o dall’OT. Dall’altra parte però è aumentata la consapevolezza e almeno qualche azienda sta cominciando a ragionare partendo dall’ambiente di produzione e dagli investimenti che sono stati fatti nell’ambiente produttivo” ha spiegato D’Angelo, rimarcando come la transizione verso una sicurezza integrata sia ancora in corso, ma con segnali incoraggianti soprattutto tra le aziende di dimensioni medie e piccole.
Il passaggio è importante perché per il futuro si prefigura una crescente integrazione tra OT e IT, con l’adozione di nuove tecnologie come l’intelligenza artificiale – vista sia come opportunità che come rischio. A tale proposito – sottolinea Sammartino - la piattaforma KICS viene presentata come a giù pronta grazie alla capacità di integrare funzioni di XDR, gestione centralizzata degli asset e dei rischi, audit di sicurezza e conformità, oltre a una scalabilità pensata per le esigenze delle aziende industriali.