Nel 2025, secondo il rapporto Dragos "Year in Review", gli attacchi ransomware contro infrastrutture industriali sono aumentati del 87% rispetto al 2023, con un costo medio per incidente di 1,2 milioni di dollari e un tempo medio di fermo produttivo di 12 giorni. In Italia, il CSIRT nazionale ha registrato 147 incidenti OT significativi nel solo 2025. La cybersecurity industriale non è più un tema da convegno: è una necessità operativa per chiunque abbia un macchinario connesso alla rete.
Cos'È la Cybersecurity Industriale (e Perché È Diversa dall'IT Security)
Partiamo da una distinzione fondamentale. La cybersecurity industriale — chiamata anche sicurezza OT (Operational Technology) — protegge i sistemi che controllano processi fisici: linee di produzione, impianti, macchinari, infrastrutture critiche. Non è la stessa cosa della sicurezza IT, e trattarla come tale è il primo errore che fanno molte aziende.
Nell'IT, la priorità è la riservatezza dei dati (Confidentiality-Integrity-Availability). Nell'OT la priorità si ribalta: prima viene la disponibilità (il processo non deve fermarsi), poi l'integrità (i comandi devono essere corretti), infine la riservatezza. Questa differenza cambia tutto: non puoi applicare un aggiornamento di sicurezza a un PLC in produzione come faresti con un server Windows. Se il PLC si riavvia nel momento sbagliato, fermi la linea. O peggio.
I Componenti di una Rete Industriale
Prima di parlare di protezione, chiariamo cosa c'è dentro una rete industriale tipica. Se gestisci un impianto manifatturiero, probabilmente hai alcuni o tutti questi componenti:
| Componente | Cosa fa | Rischio se compromesso |
|---|---|---|
| PLC (Programmable Logic Controller) | Controlla i processi fisici: motori, valvole, attuatori | Fermo produttivo, danni fisici ai macchinari |
| SCADA (Supervisory Control and Data Acquisition) | Supervisiona e controlla l'intero impianto da remoto | Perdita totale del controllo dell'impianto |
| HMI (Human Machine Interface) | Pannello operatore per interagire con i macchinari | Manipolazione dei parametri di produzione |
| DCS (Distributed Control System) | Sistema di controllo distribuito per processi continui | Instabilità dei processi, rischi per la sicurezza fisica |
| RTU (Remote Terminal Unit) | Acquisizione dati e controllo in siti remoti | Perdita dati da sensori, comandi non autorizzati |
| Sensori e attuatori | Misurano e agiscono sui processi fisici | Dati falsificati, azioni fisiche non autorizzate |
Il problema? Molti di questi dispositivi sono stati progettati 10, 15, anche 20 anni fa, quando la cybersecurity industriale non era neanche un concetto. Non hanno autenticazione, non supportano crittografia, usano protocolli industriali che trasmettono tutto in chiaro (Modbus, ad esempio, non ha alcun meccanismo di sicurezza nativo). E oggi sono connessi alla rete aziendale, a volte addirittura raggiungibili da Internet.
Le Minacce Reali: Non È Fantascienza
Gli attacchi ai sistemi industriali non sono teorie. Sono successi, con danni concreti e misurabili. Ecco i casi più significativi:
Colonial Pipeline (2021) — 4,4 Milioni di Dollari di Riscatto
Un attacco ransomware al più grande oleodotto degli Stati Uniti ha bloccato la distribuzione di carburante lungo la costa orientale per 6 giorni. L'azienda ha pagato 4,4 milioni di dollari in Bitcoin al gruppo DarkSide. L'attacco è partito da una singola password compromessa di un account VPN senza autenticazione multi-fattore. Non serviva un attacco sofisticato: bastava una credenziale rubata e l'assenza di segmentazione tra IT e OT.
Impianto Idrico di Oldsmar, Florida (2021)
Un attaccante ha ottenuto accesso remoto al sistema di trattamento dell'acqua potabile e ha aumentato il livello di idrossido di sodio (liscivia) di 100 volte, da 100 parti per milione a 11.100 ppm. Un operatore ha notato la modifica in tempo reale sullo schermo HMI e ha corretto immediatamente i valori. Se non fosse stato presente, l'acqua potabile di 15.000 persone sarebbe stata contaminata.
Stuxnet (2010) — Il Primo Attacco Cyber-Fisico della Storia
Il malware Stuxnet ha preso di mira le centrifughe di arricchimento dell'uranio iraniane, riprogrammando i PLC Siemens S7-300 per farle girare a velocità anomale mentre mostrava parametri normali sugli HMI. Ha distrutto fisicamente circa 1.000 centrifughe. La lezione? Un attacco informatico ai sistemi OT può causare danni fisici reali.
E in Italia?
Nel 2025, il CSIRT nazionale ha gestito 147 incidenti significativi che hanno coinvolto sistemi OT in Italia. Il settore manifatturiero è stato il più colpito (34%), seguito da energia (22%) e trasporti (15%). Il ransomware è il vettore d'attacco numero uno, responsabile del 61% degli incidenti OT. Il tempo medio di rilevamento? 18 giorni. Quasi tre settimane in cui l'attaccante ha accesso alla tua rete industriale.
Lo Standard IEC 62443: Il Riferimento per la Sicurezza Industriale
Se esiste un "manuale d'istruzioni" per la cybersecurity industriale, è lo standard IEC 62443. Sviluppato dall'International Electrotechnical Commission, è il framework più completo e riconosciuto a livello internazionale per la sicurezza dei sistemi di automazione e controllo industriale (IACS).
Lo IEC 62443 definisce 4 livelli di sicurezza (Security Level, SL):
- SL 1: protezione contro violazioni accidentali o casuali
- SL 2: protezione contro attacchi intenzionali con risorse limitate (il minimo ragionevole per un'azienda manifatturiera)
- SL 3: protezione contro attacchi sofisticati con risorse significative
- SL 4: protezione contro attacchi state-sponsored (tipicamente per infrastrutture critiche nazionali)
Per la maggior parte delle aziende manifatturiere italiane, il livello SL 2 è l'obiettivo realistico. Questo significa: segmentazione di rete, autenticazione per l'accesso ai sistemi OT, monitoraggio del traffico industriale, gestione delle vulnerabilità, incident response. Guarda caso, è anche quello che chiede la NIS2.
Kaspersky KICS: Come Funziona Concretamente
Tra le soluzioni disponibili per il monitoraggio della sicurezza OT, Kaspersky Industrial CyberSecurity (KICS) è quella che usiamo più spesso nelle installazioni BullTech, per un motivo pratico: funziona senza toccare i dispositivi OT. Vediamo come.
Asset Discovery Passivo
KICS si collega a una porta mirror (SPAN) dello switch industriale e analizza tutto il traffico di rete in modalità passiva. Non invia pacchetti, non fa scanning attivo, non rischia di far crashare un PLC degli anni '90. In poche ore, mappa tutti i dispositivi sulla rete OT: marca, modello, firmware, indirizzi IP, protocolli usati, connessioni attive.
Anomaly Detection sui Protocolli Industriali
KICS conosce più di 100 protocolli industriali (Modbus, OPC-UA, Profinet, EtherNet/IP, S7comm, BACnet, DNP3, e molti altri). Costruisce un baseline del traffico "normale" della tua rete OT e genera alert quando rileva: comandi anomali verso i PLC, nuovi dispositivi non autorizzati sulla rete, modifiche alle configurazioni dei dispositivi, tentativi di connessione verso segmenti di rete non previsti.
Risposta Automatica
Quando rileva una minaccia confermata, KICS può inviare comandi ai firewall industriali per isolare il segmento compromesso, generare alert verso il nostro SOC/MDR, creare un ticket con tutte le informazioni per l'incident response. Il tutto senza fermare la produzione sulle linee non coinvolte.
La Segmentazione IT/OT: Come Implementarla
La segmentazione è la misura più importante che puoi adottare per proteggere i sistemi industriali. L'idea è semplice: separare fisicamente e logicamente la rete IT (uffici, email, gestionale) dalla rete OT (PLC, SCADA, macchinari). In questo modo, anche se un ransomware entra dalla rete IT, non può raggiungere i sistemi di produzione.
L'Architettura a 3 Zone
Lo standard IEC 62443 raccomanda un'architettura a 3 zone con una DMZ (zona demilitarizzata) nel mezzo:
Zona IT (Livello 4-5)
Rete aziendale: server, workstation, email, ERP, Internet. Protetta da firewall perimetrale, EDR, antivirus.
DMZ Industriale (Livello 3.5)
Zona cuscinetto: server historian, jump host per manutenzione remota, server di patch management OT. Firewall industriale su entrambi i lati.
Zona OT (Livello 0-3)
Rete industriale: PLC, SCADA, HMI, sensori, attuatori. Nessuna connessione diretta verso Internet o verso la rete IT. Tutto il traffico passa dalla DMZ.
Gli Strumenti per la Segmentazione
In pratica, implementare la segmentazione IT/OT richiede:
- Firewall industriali: dispositivi progettati per ambienti industriali (temperatura, vibrazioni, protocolli OT). Non un firewall da ufficio messo in fabbrica
- Switch managed industriali: per creare VLAN dedicate sulla rete OT e controllare il traffico tra i segmenti
- Jump host nella DMZ: per la manutenzione remota dei fornitori di macchinari, con accesso controllato, monitorato e a tempo
- Unidirezional gateway (data diode): per i casi più critici, dove i dati devono uscire dalla rete OT (verso l'historian) ma nessun traffico deve poter entrare
Se hai bisogno di progettare la segmentazione per il tuo impianto, il nostro team di specialisti firewall lavora con soluzioni dedicate alla sicurezza IoT/OT e può progettare l'architettura su misura per le tue esigenze.
Un Approccio Pratico in 5 Fasi
Come si passa dalla teoria alla pratica? Ecco le 5 fasi che seguiamo in BullTech per ogni progetto di cybersecurity industriale:
Asset inventory OT: mappatura completa di tutti i dispositivi sulla rete industriale (marca, modello, firmware, connessioni, protocolli)
Risk assessment: per ogni asset, valutazione dell'impatto di una compromissione e della probabilità di attacco. Focus su PLC e SCADA critici
Segmentazione IT/OT: progettazione e implementazione dell'architettura a 3 zone con DMZ industriale, firewall e VLAN dedicate
Monitoraggio e detection: installazione di Kaspersky KICS o equivalente per monitoraggio passivo, anomaly detection e alert in tempo reale
Incident response e documentazione: procedure di risposta specifiche per incidenti OT, formazione del personale, documentazione per compliance NIS2
Come BullTech Protegge i Tuoi Sistemi Industriali
In BullTech facciamo cybersecurity industriale da quando le fabbriche hanno iniziato a connettere i macchinari alla rete. Con sede a Vimercate, nel cuore del distretto manifatturiero della Brianza, lavoriamo ogni giorno con aziende che hanno PLC Siemens, Allen-Bradley, Schneider, ABB e devono proteggere le linee di produzione senza fermarle.
Assessment OT Non Invasivo
Mappiamo la tua rete industriale con monitoraggio passivo. Zero impatto sulla produzione, report completo in 5-10 giorni con mappa asset, vulnerabilità e priorità.
Segmentazione IT/OT
Progettiamo e implementiamo la separazione tra rete aziendale e rete industriale con firewall dedicati, VLAN e DMZ. Interventi solo durante le fermate programmate.
Monitoraggio OT 24/7
Kaspersky KICS per il monitoraggio continuo della rete industriale. Anomaly detection su 100+ protocolli OT. Alert in tempo reale al nostro SOC.
Vulnerability Assessment OT
Analisi delle vulnerabilità dei dispositivi industriali con approccio specifico per OT. Non scanning aggressivo, ma verifica firmware, configurazioni e patch disponibili.
Se vuoi capire anche il lato normativo, leggi il nostro articolo su vulnerability assessment e quello sugli obblighi NIS2 per la sicurezza OT nel manifatturiero.
Domande Frequenti sulla Cybersecurity Industriale
Quanto costa implementare la cybersecurity industriale?
Un assessment iniziale della rete OT costa tra 2.000 e 5.000 euro. L'implementazione completa della segmentazione IT/OT con firewall industriali richiede un investimento tra 8.000 e 20.000 euro, a seconda del numero di linee produttive. Il monitoraggio continuo con Kaspersky KICS ha un costo annuo tra 3.000 e 8.000 euro. Per dare un'idea: un giorno di fermo produttivo costa mediamente 10 volte l'intero investimento in sicurezza OT.
Cos'è lo standard IEC 62443 e serve alla mia azienda?
Lo IEC 62443 è lo standard internazionale per la sicurezza dei sistemi di automazione industriale. Definisce 4 livelli di sicurezza (SL 1-4). Per la maggior parte delle PMI manifatturiere, il livello SL 2 è l'obiettivo realistico e sufficiente per la conformità NIS2. Molti clienti enterprise lo richiedono già come requisito contrattuale ai propri fornitori.
Kaspersky KICS funziona con i nostri protocolli industriali?
Con altissima probabilità sì. KICS supporta oltre 100 protocolli industriali: Modbus TCP/RTU, OPC-UA, Profinet, EtherNet/IP, BACnet, DNP3, S7comm (Siemens), CIP (Allen-Bradley) e molti altri. Il monitoraggio è completamente passivo: si collega a una porta mirror dello switch e non interferisce con il traffico di produzione.
La segmentazione IT/OT ferma la produzione?
No, se pianificata correttamente. L'installazione dei firewall industriali e la creazione delle VLAN vengono fatte durante le finestre di manutenzione programmata, tipicamente interventi di 2-4 ore. L'intero processo richiede 2-4 settimane, ma ogni singolo intervento è breve e pianificato in accordo con la produzione. Zero sorprese.
I nostri PLC sono vecchi: si possono proteggere?
Il 40% degli impianti industriali italiani usa PLC con più di 10 anni di età, quindi è la normalità. I PLC legacy si proteggono con un approccio "defense in depth": segmentazione di rete per isolarli, monitoraggio passivo del traffico verso/dal PLC, firewall industriali con regole specifiche per i protocolli usati. Non serve aggiornare il firmware del PLC (spesso impossibile) per proteggerlo efficacemente.