Nel 2024, il 90% delle aziende industriali italiane ha subito almeno un tentativo di attacco ai propri sistemi operativi, secondo il report Kaspersky ICS CERT. Il costo medio di un fermo produzione causato da un incidente cyber? 250.000 euro al giorno, stima Ponemon Institute. Se la tua azienda ha un impianto produttivo con PLC, SCADA o qualsiasi macchinario connesso alla rete, questo articolo ti spiega perché la OT security non è più un optional ma una necessità concreta.
Cos'è la OT Security (e Perché Non è la Stessa Cosa della IT Security)
Partiamo dalle basi. OT sta per Operational Technology: è tutto quello che fa funzionare fisicamente la tua fabbrica. I PLC che controllano le presse, gli SCADA che monitorano le linee di produzione, gli HMI (i pannelli touch che gli operatori usano ogni giorno), i sensori di temperatura, pressione, vibrazione. Insomma, la tecnologia che muove le cose nel mondo reale.
La IT security, quella che probabilmente conosci già, protegge i dati: email, file, database, applicazioni gestionali. La OT security protegge i processi fisici. Sembra una differenza sottile, ma cambia tutto.
In IT, se un server va giù per 2 ore, è un problema ma si sopravvive. In OT, se un PLC che controlla un forno industriale smette di funzionare, puoi avere danni fisici, materiale da buttare, rischi per i lavoratori. Le priorità sono invertite: in IT conta prima la riservatezza dei dati (Confidentiality-Integrity-Availability), in OT conta prima la disponibilità dei sistemi (Availability-Integrity-Confidentiality).
Perché i Sistemi Industriali Sono Così Vulnerabili
Il problema di fondo è semplice: la maggior parte dei sistemi OT nelle fabbriche italiane è stata progettata 10, 15, a volte 20 anni fa. All'epoca, questi sistemi erano isolati dalla rete aziendale. Un PLC Siemens degli anni 2000 non aveva bisogno di protezioni cyber perché non parlava con nessuno al di fuori della rete di campo.
Poi è arrivata l'Industria 4.0 e tutto è cambiato. Per raccogliere dati, ottimizzare la produzione e fare manutenzione predittiva, quei sistemi sono stati collegati alla rete IT aziendale e, spesso, a internet. Ma nessuno ha aggiunto le protezioni adeguate. Il risultato è che oggi hai macchinari da milioni di euro controllati da software che non riceve aggiornamenti di sicurezza da anni, connessi a una rete che un attaccante può raggiungere dall'esterno.
I numeri del rischio OT in Italia
Secondo il Kaspersky ICS CERT, nel 2024 il 39,6% dei computer industriali in Italia ha subito tentativi di infezione da malware. Nel settore manifatturiero, il 23% degli incidenti ha causato fermi produzione superiori a 4 ore. Il danno medio per un attacco riuscito su sistemi OT nel manifatturiero supera i 2 milioni di euro considerando fermo macchina, ripristino e mancata produzione.
I Protocolli Industriali e i Loro Limiti di Sicurezza
Per capire perché proteggere una rete OT è diverso da proteggere una rete IT, bisogna guardare i protocolli che usano i macchinari industriali. Sono protocolli progettati per affidabilità e velocità, non per la sicurezza.
Modbus (1979)
Il nonno dei protocolli industriali. Ancora usatissimo, soprattutto nella versione Modbus TCP. Il problema? Nessuna autenticazione, nessuna cifratura. Chiunque abbia accesso alla rete può leggere e scrivere registri sui PLC. Se un attaccante riesce a mandare un comando Modbus, il PLC lo esegue senza fare domande.
OPC UA
La versione moderna di OPC, con supporto nativo per cifratura e autenticazione. Il protocollo in sé è più sicuro, ma nella pratica molte installazioni usano ancora configurazioni senza cifratura per questioni di compatibilità con dispositivi vecchi. È come avere una porta blindata e lasciarla aperta.
S7 (Siemens)
Il protocollo proprietario dei PLC Siemens S7-300 e S7-400, tra i più diffusi nelle fabbriche italiane. Le versioni più vecchie non hanno praticamente nessuna protezione. I PLC S7-1200 e S7-1500 più recenti hanno migliorato la situazione, ma la base installata di modelli vecchi è ancora enorme.
DNP3
Usato soprattutto nelle utility (energia, acqua). Ha un'estensione di sicurezza (Secure Authentication), ma l'adozione è ancora limitata. Molti impianti usano DNP3 senza alcuna protezione aggiuntiva.
Convergenza IT/OT: Quando i Due Mondi Si Incontrano (Male)
La convergenza IT/OT è il punto dove le cose si fanno davvero pericolose. Collegare la rete di produzione alla rete aziendale porta enormi vantaggi (dati in tempo reale, manutenzione predittiva, ottimizzazione), ma se non gestisci bene la transizione, apri un corridoio diretto tra internet e i tuoi macchinari.
Non parliamo di teorie. Ecco cosa è successo nella realtà:
Colonial Pipeline (2021)
Un ransomware sulla rete IT ha costretto a spegnere il più grande oleodotto degli Stati Uniti per 6 giorni. Non è stato attaccato direttamente l'OT, ma il panico causato dalla compromissione IT ha portato al fermo preventivo. Risultato: carenza di carburante in tutta la costa est americana e 4,4 milioni di dollari di riscatto pagati.
Stuxnet (2010)
Il malware più sofisticato mai creato contro sistemi OT. Ha distrutto fisicamente le centrifughe per l'arricchimento dell'uranio in Iran, manipolando i PLC Siemens S7-315 che le controllavano. Ha dimostrato che un attacco cyber può causare danni fisici reali a impianti industriali.
Triton/TRISIS (2017)
Malware progettato per disabilitare i sistemi di sicurezza (SIS) di un impianto petrolchimico in Arabia Saudita. L'obiettivo era causare un incidente fisico potenzialmente letale. Scoperto per caso grazie a un bug nel codice dell'attaccante.
Non servono attacchi così sofisticati per fare danni. Nella nostra esperienza con aziende manifatturiere in Lombardia, il rischio più comune è molto più banale: un ransomware che entra dalla rete IT (magari tramite una mail di phishing) e si propaga fino ai sistemi OT perché non c'è una separazione adeguata tra le due reti. Il risultato è lo stesso: produzione ferma e fatturato che evapora.
NIS2 e Obblighi per il Manifatturiero Italiano
Se tutto questo non bastasse a convincerti, ci pensa la legge. Il D.Lgs. 138/2024 (recepimento italiano della Direttiva NIS2) include esplicitamente il settore manifatturiero tra i soggetti importanti. Questo significa che le aziende manifatturiere con più di 50 dipendenti o più di 10 milioni di euro di fatturato devono adeguarsi entro ottobre 2026.
E la NIS2 non parla solo di IT. L'articolo 21 richiede esplicitamente la sicurezza delle reti e dei sistemi informativi, che include i sistemi OT. Se la tua azienda ha PLC connessi alla rete aziendale (e ormai quasi tutte ce li hanno), devi proteggerli. Non è un consiglio, è un obbligo di legge con sanzioni fino a 7 milioni di euro.
Per l'adeguamento completo alla NIS2, inclusi gli aspetti non legati all'OT, abbiamo una guida dedicata al servizio di adeguamento NIS2 che copre tutto il percorso dalla registrazione ACN fino alla conformità piena.
IT Security vs OT Security: Le Differenze Chiave
| Aspetto | IT Security | OT Security |
|---|---|---|
| Priorità | Riservatezza (CIA) | Disponibilità (AIC) |
| Ciclo di vita | 3-5 anni | 15-25 anni |
| Patching | Mensile/settimanale | Annuale o durante fermi pianificati |
| Downtime accettabile | Minuti/ore | Zero (produzione h24) |
| Protocolli | TCP/IP, HTTP, DNS | Modbus, OPC UA, S7, DNP3 |
| Impatto di un attacco | Furto dati, fermo servizi | Danni fisici, fermo produzione, rischio persone |
| Standard di riferimento | ISO 27001 | IEC 62443 |
Come BullTech Protegge le Reti OT con Kaspersky KICS
Proteggere una rete OT richiede strumenti pensati apposta per il mondo industriale. Non puoi installare un antivirus tradizionale su un PLC, e non puoi fare scansioni aggressive che rischiano di mandare in tilt un processo produttivo.
Per questo lavoriamo con Kaspersky Industrial CyberSecurity (KICS), una piattaforma XDR nativa per ambienti OT certificata IEC 62443. Ecco come funziona nel concreto.
Inventario Automatico degli Asset OT
KICS mappa automaticamente tutti i dispositivi sulla rete industriale: PLC, SCADA, HMI, switch industriali, sensori. Sai esattamente cosa hai e cosa comunica con cosa. Molti clienti scoprono dispositivi che non sapevano nemmeno di avere.
Monitoraggio Passivo del Traffico
Analizza il traffico di rete senza interferire con i processi produttivi. Rileva anomalie nei protocolli industriali (Modbus, OPC UA, S7) e segnala comandi sospetti in tempo reale. Zero impatto sulla produzione.
Segmentazione e Microsegmentazione
Creiamo zone di sicurezza secondo il modello Purdue/ISA-95, con firewall industriali che separano la rete IT dalla rete OT e le diverse celle produttive tra loro. Se un attacco compromette una zona, non si propaga alle altre.
Incident Response OT-Specific
In caso di incidente, il nostro team sa come intervenire senza causare ulteriori danni alla produzione. La risposta è coordinata con il reparto produzione per minimizzare l'impatto sul business.
La nostra competenza in sicurezza IoT e OT si integra con i servizi di sicurezza informatica tradizionale e configurazione firewall per offrirti una protezione completa su tutti i livelli della rete, dal perimetro esterno fino ai singoli PLC sulla linea di produzione.
I 5 Passi per Mettere in Sicurezza la Rete OT della Tua Azienda
Assessment completo: mappare TUTTI i dispositivi OT, le connessioni e i flussi di traffico industriale
Segmentazione: separare fisicamente e logicamente la rete IT dalla rete OT con firewall industriali e DMZ
Monitoraggio continuo: installare sensori KICS per il rilevamento anomalie 24/7 sui protocolli industriali
Gestione accessi: autenticazione forte per chi accede ai sistemi OT, eliminare credenziali di default
Piano di risposta: definire procedure specifiche per incidenti OT, diverse da quelle IT, con priorità produzione
Domande Frequenti sulla OT Security
Quanto costa un sistema di OT security per una PMI manifatturiera?
Per una PMI con 1-3 linee produttive, un progetto di OT security parte da 8.000-15.000 euro per assessment iniziale e segmentazione, più 3.000-6.000 euro/anno per il monitoraggio con Kaspersky KICS. Il costo dipende dal numero di PLC/SCADA da proteggere. Considera che un fermo produzione costa in media 250.000 euro al giorno (Ponemon Institute), quindi il ROI è praticamente immediato.
Qual è la differenza tra IT security e OT security?
In IT la priorità è la riservatezza dei dati (CIA), in OT è la disponibilità dei sistemi (AIC). Un server email fermo 2 ore è un problema gestibile. Un PLC che controlla una pressa che va offline può causare danni fisici, fermi produttivi da 250.000 euro/giorno e rischi per la sicurezza dei lavoratori. Anche gli strumenti sono diversi: in OT servono soluzioni passive che non interferiscano con la produzione.
La mia azienda manifatturiera è obbligata dalla NIS2 a proteggere i sistemi OT?
Se rientri nei settori manifatturieri critici (D.Lgs. 138/2024) e superi 50 dipendenti o 10 milioni di fatturato, sì: la NIS2 ti obbliga a proteggere anche i sistemi OT entro ottobre 2026. Le sanzioni arrivano fino a 7 milioni di euro. Per capire se rientri nel perimetro, consulta la nostra guida NIS2.
Posso proteggere la rete OT senza fermare la produzione?
Sì. Le soluzioni come Kaspersky KICS lavorano in modalità passiva: monitorano il traffico tramite port mirroring senza interferire con i protocolli industriali. L'installazione avviene in parallelo alla produzione, con zero downtime. La segmentazione di rete si implementa gradualmente durante le finestre di manutenzione pianificate.
Ogni quanto va aggiornata la sicurezza dei sistemi OT?
Il monitoraggio deve essere continuo, 24/7. Le policy e le regole di segmentazione vanno riviste ogni 6 mesi o dopo ogni modifica alla rete industriale. Il patching dei sistemi OT va pianificato durante i fermi programmati perché molti PLC non supportano aggiornamenti a caldo. BullTech gestisce tutto con un piano di manutenzione dedicato incluso nel contratto di sicurezza IoT/OT.