Secondo il rapporto Kaspersky ICS CERT 2025, il 31,4% dei computer industriali a livello globale ha subito almeno un tentativo di attacco informatico nei primi sei mesi dell'anno. In Italia, dove il manifatturiero rappresenta il 16,5% del PIL (dati Istat 2025), proteggere gli impianti non e piu un optional. Kaspersky Industrial CyberSecurity (KICS) e la piattaforma XDR nativa per ambienti OT che sta cambiando il modo in cui le aziende industriali affrontano la sicurezza. In questa guida ti spieghiamo come funziona, cosa la distingue da un antivirus tradizionale e come BullTech la implementa senza fermare la produzione.
Cos'e Kaspersky Industrial CyberSecurity (KICS)
KICS e una piattaforma di sicurezza progettata specificamente per gli ambienti industriali: fabbriche, impianti di produzione, centrali energetiche, reti idriche, infrastrutture di trasporto. Non e un antivirus riadattato, non e un firewall con una label diversa. E una soluzione XDR (Extended Detection and Response) che parla nativamente i protocolli delle macchine industriali.
Il punto chiave e questo: un antivirus tradizionale non capisce nulla di un pacchetto Modbus TCP. Un firewall generico non sa che un comando S7 sta cambiando il setpoint di una valvola. KICS si, perche e stato costruito da zero per il mondo OT. Il team Kaspersky ICS CERT, attivo dal 2016, ha analizzato oltre 900 vulnerabilita nei sistemi di controllo industriale e questa esperienza e tutta dentro la piattaforma.
I Tre Pilastri di KICS
La piattaforma si regge su tre pilastri fondamentali. Ognuno copre un'area specifica della sicurezza OT/IoT e insieme formano un sistema completo di protezione industriale.
1. Gestione Avanzata delle Risorse (Asset Management)
Non puoi proteggere quello che non conosci. KICS parte dalla mappatura completa di tutti i dispositivi presenti sulla rete industriale: PLC, HMI, SCADA, RTU, switch industriali, sensori, attuatori. Riconosce automaticamente oltre 200 tipi di dispositivi e ne cataloga firmware, versione, configurazione e stato di salute.
Questa mappatura avviene in modalita passiva: KICS ascolta il traffico di rete senza inviare un singolo pacchetto. Niente interrogazioni attive che potrebbero disturbare un PLC vecchio di 15 anni o mandare in tilt un sensore critico.
2. Extended Detection and Response (XDR)
Una volta che KICS sa cosa c'e sulla rete, inizia a monitorare tutto il traffico. Non si limita a guardare le intestazioni dei pacchetti: fa deep packet inspection sui protocolli industriali. Questo significa che legge i comandi Modbus, decodifica le comunicazioni OPC UA, interpreta i pacchetti S7 di Siemens, analizza i messaggi DNP3.
Quando qualcosa non torna — un comando mai visto prima, un valore fuori range, una comunicazione verso un indirizzo sconosciuto — KICS genera un allarme con contesto completo: cosa e successo, su quale dispositivo, quale protocollo, e una valutazione di gravita. Il tutto integrato con il servizio SOC/MDR che gestisce la risposta.
3. Audit di Sicurezza e Compliance
KICS mantiene un inventario aggiornato delle vulnerabilita note su ogni dispositivo della rete. Quando Kaspersky ICS CERT pubblica un nuovo advisory, la piattaforma incrocia automaticamente i dati con i dispositivi presenti nel tuo impianto e ti dice: “Hai 3 PLC Siemens S7-1200 con firmware 4.2 che sono vulnerabili a CVE-2025-XXXX”. Questo e fondamentale anche per la conformita IEC 62443 e per le aziende che devono rispondere ai requisiti NIS2.
Asset Discovery: Come KICS Mappa la Rete Industriale
La fase di discovery e il punto di partenza di ogni implementazione. Ecco come funziona nella pratica:
Collegamento passivo tramite SPAN port o TAP di rete — zero traffico aggiuntivo sulla rete OT
Analisi automatica dei protocolli per identificare marca, modello e firmware di ogni dispositivo
Creazione della mappa topologica della rete con relazioni e flussi di comunicazione
Identificazione di dispositivi non autorizzati o sconosciuti (shadow OT)
Catalogazione delle vulnerabilita note per ogni asset individuato
Report completo in 3-5 giorni con inventario, topologia e criticita
Un dato che sorprende sempre i clienti: nella maggior parte degli assessment BullTech, troviamo tra il 15% e il 30% di dispositivi in piu rispetto a quelli censiti dall'ufficio tecnico. Vecchi HMI dimenticati, switch non documentati, convertitori seriale-ethernet aggiunti anni fa. Tutti potenziali punti di ingresso per un attaccante.
Anomaly Detection sui Protocolli Industriali
Qui sta la differenza vera tra KICS e qualsiasi soluzione IT riadattata. La piattaforma non si limita a vedere “traffico sulla porta 502”. Decodifica il contenuto e capisce che quel pacchetto Modbus sta scrivendo il valore 9999 sul registro 40001 di un PLC che normalmente riceve valori tra 0 e 100.
Esempio reale di rilevamento
In un impianto manifatturiero seguito da BullTech, KICS ha rilevato un tentativo di modifica della velocita di un motore tramite un comando Modbus proveniente da un PC della rete uffici. Un antivirus non avrebbe visto nulla di anomalo: era un pacchetto TCP regolare. KICS ha identificato l'anomalia perche quel PC non aveva mai comunicato con quel PLC e il comando richiedeva un valore fuori dal range operativo.
I protocolli supportati sono tantissimi. Ecco i principali:
| Protocollo | Vendor / Standard | Cosa monitora KICS |
|---|---|---|
| Modbus TCP/RTU | Standard aperto | Lettura/scrittura registri, function code anomali |
| OPC UA / OPC DA | OPC Foundation | Accessi non autorizzati, modifiche configurazione |
| S7 / Profinet | Siemens | Download/upload programmi, cambi firmware, comandi stop/start |
| EtherNet/IP | Rockwell / Allen-Bradley | Comandi CIP, accessi a tag, configurazioni |
| DNP3 | Utility / Energia | Comandi remoti, telemetria, configurazioni RTU |
| IEC 60870-5-104 | Utility / Energia | Comandi di controllo, telecontrollo, valori analogici |
Certificazioni e Riconoscimenti
Parlare di sicurezza industriale senza certificazioni e come vendere un estintore senza omologazione. KICS ha numeri che parlano da soli:
- IEC 62443-4-1: lo standard internazionale per lo sviluppo sicuro di prodotti per automazione industriale
- ISO 27001: certificazione del sistema di gestione della sicurezza delle informazioni
- SOC2 Tipo II: audit indipendente sui controlli di sicurezza, disponibilita e riservatezza
- 771 primi posti in test indipendenti condotti da laboratori come AV-TEST, SE Labs, ICSA Labs e altri
- Riconoscimento come Leader nel quadrante Frost & Sullivan per la sicurezza degli endpoint industriali
KICS vs Antivirus/Firewall Tradizionale
Mettiamola giu semplice. Immagina di avere una guardia all'ingresso della fabbrica che controlla i badge (il firewall) e un sistema di telecamere nei corridoi (l'antivirus). Funzionano, ma non capiscono cosa succede dentro i reparti produttivi. KICS e come avere un tecnico esperto in ogni reparto che capisce le macchine, riconosce un rumore anomalo e sa quando qualcosa non va.
| Caratteristica | Antivirus/Firewall IT | Kaspersky KICS |
|---|---|---|
| Protocolli OT | Non li conosce | 200+ protocolli decodificati nativamente |
| Asset discovery | Solo dispositivi IT (PC, server) | PLC, HMI, SCADA, RTU, sensori, attuatori |
| Impatto sulla produzione | Scansioni attive, possibili interferenze | 100% passivo, zero impatto |
| Anomaly detection | Basato su firme malware | Behavioral + protocollo + machine learning |
| Integrazione SIEM/SOC | Allarmi generici | Contesto OT completo, MITRE ATT&CK for ICS |
Come BullTech Implementa KICS
Noi di BullTech non vendiamo scatole e via. L'implementazione di KICS segue un percorso collaudato in tre fasi, pensato per non disturbare la produzione neanche per un minuto.
Fase 1: Assessment OT (3-5 giorni)
Mappiamo la rete industriale, identifichiamo tutti i dispositivi, documentiamo i flussi di comunicazione e le criticita. Questo report vale gia da solo come base per la compliance IEC 62443.
Fase 2: Deployment Passivo (1 settimana)
Installiamo i sensori KICS collegandoli agli SPAN port degli switch industriali. Nessun cavo scollegato, nessun PLC fermato, nessun rischio per la produzione.
Fase 3: Tuning e Baseline (1-2 settimane)
KICS impara il comportamento normale della rete: quali dispositivi parlano tra loro, con quali protocolli, a quali orari. Dopo il tuning, ogni anomalia rispetto alla baseline genera un allarme calibrato.
Fase 4: Monitoraggio Gestito (continuo)
Il nostro SOC monitora gli allarmi KICS 24/7, correla gli eventi con la threat intelligence e interviene in caso di incidente. Tu ti occupi della produzione, noi della sicurezza.
L'intero processo, dall'assessment al monitoraggio attivo, richiede tra le 2 e le 4 settimane. E il risultato e una visibilita completa su cosa succede nella tua rete OT, con un team di esperti che sorveglia tutto. Se vuoi approfondire come funziona il nostro servizio di monitoraggio, leggi la guida al SOC e MDR gestito.
Quando Serve KICS (e Quando No)
Siamo onesti: KICS non e per tutti. Se la tua azienda ha 5 PC e una stampante, non ti serve. Ecco una tabella pratica:
| Scenario | Ti serve KICS? |
|---|---|
| Impianto manifatturiero con PLC e SCADA | Si, assolutamente |
| Azienda energia/utility con RTU e telecontrollo | Si, e probabilmente obbligatorio (NIS2) |
| Logistica con IoT e sensori connessi | Si, serve monitoraggio dispositivi IoT |
| Ufficio con 20 PC e un server | No, ti serve un buon EDR e un firewall |
| Azienda IT/software senza impianti | No, guarda piuttosto un NDR tradizionale |
Se non sei sicuro di cosa ti serva, parti da un vulnerability assessment: in pochi giorni ti diamo una fotografia chiara della tua situazione e ti consigliamo la soluzione giusta.
Domande Frequenti su Kaspersky KICS
Quanto costa KICS per un impianto industriale?
Per un impianto con 50-200 dispositivi OT, il costo si aggira tra 500 e 2.000 euro al mese, licenza e monitoraggio gestito inclusi. Il prezzo dipende dal numero di nodi, dalla complessita della rete e dal livello di servizio scelto. BullTech propone formule a canone mensile senza investimento iniziale pesante.
Quanto tempo serve per installare KICS?
L'installazione tipica richiede da 2 a 4 settimane: assessment della rete OT (3-5 giorni), deployment dei sensori in modalita passiva (1 settimana) e tuning delle regole (1-2 settimane). Il bello e che KICS lavora in modalita passiva tramite SPAN port, senza toccare PLC o dispositivi di produzione. Zero fermo macchina.
KICS e compatibile con i nostri PLC Siemens e Schneider?
Si, KICS supporta oltre 200 tipi di dispositivi industriali e parla nativamente i protocolli Modbus TCP/RTU, OPC UA, Siemens S7, Profinet, EtherNet/IP, DNP3, IEC 60870-5-104 e molti altri. PLC Siemens (S7-300, S7-1200, S7-1500), Schneider (Modicon, Unity), Allen-Bradley e ABB sono tutti riconosciuti e monitorati automaticamente.
Che differenza c'e tra KICS e un firewall industriale?
Un firewall industriale filtra il traffico tra zone di rete (IT/OT) ma non capisce cosa succede dentro i protocolli OT. KICS analizza il contenuto dei pacchetti industriali: legge i comandi Modbus, ispeziona i valori S7, monitora i cambi di configurazione dei PLC. Un firewall ti dice “qualcuno ha mandato un pacchetto alla porta 502”. KICS ti dice “qualcuno ha cambiato il setpoint della pompa da 50 a 200 bar”.
Serve fermare la produzione per installare KICS?
No, e questo e il punto forte. KICS si installa in modalita completamente passiva: si collega a uno SPAN port dello switch industriale e analizza una copia del traffico. Non invia pacchetti sulla rete OT, non modifica configurazioni, non interagisce con i PLC. Il 100% delle installazioni BullTech avviene senza fermo produzione.