Industrial Cyber Security: l’evoluzione attesa

• 
• Tweet
• Pin It
• Condividi per email

Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.

In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?

Andrea Ferrazzi, cybersecurity business unit director di Relatech:

“Gli attacchi diventeranno sempre più automatizzati, grazie all’utilizzo di AI; mirati ai processi, non solo ai dati; distribuiti lungo la filiera, sfruttando fornitori e terze parti; capaci di colpire le macchine, con impatti su produzione e sicurezza fisica degli operatori.

Parallelamente, anche la difesa dovrà evolvere e da un modello reattivo dovrà passare a un approccio predittivo e comportamentale, basato su monitoraggio continuo, AI e analisi delle anomalie. Il modello zero trust dovrà estendersi non solo a utenti e dispositivi, ma anche agli agenti AI che iniziano a operare nei sistemi industriali. Inoltre, la security dovrà essere integrata fin dalla progettazione, secondo il principio di security by design”.

Alberto Griffini, product manager modular PLC di Mitsubishi Electric:

“Negli ultimi anni il panorama delle minacce informatiche sta cambiando rapidamente, soprattutto a causa della crescente convergenza tra IT e OT e della diffusione di tecnologie digitali nelle fabbriche. Se in passato gli attacchi informatici colpivano prevalentemente le infrastrutture IT, come sistemi informativi aziendali o database, oggi sempre più spesso prendono di mira direttamente gli ambienti produttivi.

La digitalizzazione dei sistemi industriali, l’adozione dell’Industrial IoT e la maggiore interconnessione tra impianti e reti aziendali, infatti, comportano maggiori rischi di cyber-attacchi, che possono arrivare a interrompere o compromettere la produzione industriale, con impatti economici e operativi molto rilevanti. Questo scenario rende necessario un cambio di paradigma nelle strategie di difesa. Le aziende devono estendere le proprie politiche di sicurezza anche all’ambiente OT, adottando strumenti e competenze specifiche per la protezione degli impianti. A questo scopo Mitsubishi Electric ha creato un apposito centro a Yokohama, in Giappone: un vero e proprio laboratorio dedicato allo studio dei rischi e delle contromisure in ambito OT security.

Inoltre, in un contesto in cui diventa sempre più importante il monitoraggio continuo delle vulnerabilità dei prodotti industriali, i produttori di tecnologie di automazione, come Mitsubishi Electric, hanno introdotto processi strutturati di gestione della cybersecurity, sia tramite la collaborazione con agenzie esterne specializzate, sia attraverso la creazione di gruppi di lavoro dedicati alla sicurezza dei prodotti, che hanno il compito di identificare eventuali criticità e rilasciare periodicamente aggiornamenti firmware e altre contromisure.

Garantire una protezione efficace degli impianti produttivi significa occuparsi anche della sicurezza delle reti industriali. Da questo punto di vista il consorzio Clpa (CC-Link Partner Association), che annovera Mitsubishi Electric tra i membri del consiglio direttivo, ha integrato apposite funzioni di cybersicurezza nel protocollo CC-Link, per assicurare una maggiore protezione delle linee produttive anche a livello di rete industriale. Un ulteriore elemento chiave riguarda la collaborazione con partner tecnologici specializzati nella cybersecurity industriale, poiché la complessità delle minacce rende difficile per le aziende coprire tutte le competenze necessarie. A questo scopo, Mitsubishi Electric ha recentemente acquisito Nozomi Networks, attiva a livello mondiale nell’industria della cybersicurezza delle tecnologie operative, delle infrastrutture critiche e dei sistemi cyber-fisici”.

Antonio Burinato, general manager di Innovaway:

“Gli attacchi alle infrastrutture industriali si stanno evolvendo in direzioni sempre più sofisticate. I ransomware mirati agli ambienti OT, infatti, non si limitano più alla cifratura dei dati, ma puntano a interrompere fisicamente i processi produttivi, colpendo direttamente i sistemi di controllo. Inoltre, l’uso malevolo dell’AI conferma ormai in modo evidente che gli attaccanti sono in grado di lanciare campagne altamente personalizzate, e di sfruttare vulnerabilità zero-day con una velocità prima impensabile anche nel manufacturing. A queste minacce se ne aggiunge una in rapida crescita, quella di attacchi alla supply chain software, in cui il vettore di compromissione non è l’azienda target, ma un fornitore di aggiornamenti o componenti applicative. Diversi casi confermano che un singolo punto di ingresso nella catena di fornitura può propagarsi silenziosamente a centinaia di ambienti industriali prima che qualcuno se ne accorga, con conseguenze potenzialmente devastanti su impianti e infrastrutture.

In questo scenario, le difese devono evolvere su due fronti complementari. Il primo è il monitoraggio continuo, con un rilevamento delle anomalie specifico per i protocolli industriali: servono soluzioni capaci di rilevare comportamenti anomali sui protocolli industriali e di automazione, e analizzare il traffico OT senza interferire con i cicli produttivi. Un’attività insolita su un PLC, o una variazione nei tempi di risposta di un sensore possono essere i primi segnali di una compromissione in corso: intercettarli in tempo reale fa la differenza tra un incidente contenuto e un blocco prolungato della produzione.

Il secondo fronte è la resilienza by design: progettare o rivedere l’architettura OT affinché un attacco a un segmento non si propaghi all’intera linea, garantendo la continuità almeno dei processi critici. La risposta agli incidenti non può essere improvvisata: deve essere pianificata in anticipo, con procedure testate, ruoli definiti e tempi di ripristino misurati e verificati periodicamente. In un contesto industriale, lo sviluppo di questo approccio è centrale come in ambito IT, dal momento che ogni ora di fermo ha un costo: materie prime danneggiate, consegne mancate, perdita reputazionale e, nei casi più gravi, rischi per la sicurezza delle persone”.

Marco Fanuli, technical director TrendAI, business unit di Trend Micro:

“Gli attacchi faranno sempre più uso dell’AI e dell’automazione, con exploit su misura per gli ambienti OT, capaci di adattarsi alle specificità dell’ambiente attaccato; la supply chain diventerà ancora più bersaglio, con l’AI impiegata per individuare i fornitori più vulnerabili; la convergenza IT-OT espanderà sempre più la superficie di attacco, e il ransomware industriale evolverà per colpire al momento di massimo danno.

Dal lato della difesa, assisteremo a uno shift verso il threat hunting proattivo e la cyber resilience. Le aziende dovranno svolgere esercizi di red/purple teaming regolari in ambienti OT, per identificare i principali punti di debolezza. La pianificazione dello stato di resilienza diventa essenziale, così come l’implementazione di una protezione OT orientata allo zero trust. Le tecnologie difensive stanno già evolvendo verso analytics predittive in grado di prevedere gli attacchi e, grazie alle integrazioni con soluzioni come Agentic Soar, predispongono la risposta automatizzata ai probabili incidenti futuri”.

Manfredi Blasucci, security solutions architect di Qualys Italia:

“L’integrazione dell’AI nel ciclo offensivo è già in corso. Gli LLm-Large Language Model vengono usati per generare phishing altamente personalizzato in decine di lingue, per analizzare automaticamente codice sorgente in cerca di vulnerabilità, per automatizzare la ricognizione Osint; FraudGPT e WormGPT, tool offerti su forum underground, sono i primi esponenti di una generazione di AI offensive. Il passo successivo plausibile è quello degli agenti autonomi offensivi: sistemi capaci di condurre campagne di attacco end-to-end con supervisione umana minima, adattando le tattiche in tempo reale sulla base delle difese incontrate. Per un settore come quello OT, dove i tempi di risposta agli incidenti sono già lenti, questo comprime drammaticamente la finestra di reazione.

Gli attacchi che causano danni fisici non sono fantascienza. Stuxnet (2010) ha distrutto le centrifughe nucleari iraniane; Triton/Trisis (2017) ha attaccato i Safety Instrumented Systems di un impianto petrolchimico in Arabia Saudita (sistemi progettati per prevenire esplosioni e rilasci tossici): se Triton avesse avuto successo completamente, avrebbe potuto causare vittime fisiche. Con la proliferazione dei sistemi cyber-physical (smart grid, veicoli autonomi, infrastrutture idriche connesse) la superficie di attacco per causare danni nel mondo fisico si espande. Nel 2024, attacchi alle reti elettriche ucraine hanno combinato bombardamenti fisici e intrusioni cyber in modo coordinato: è il modello di guerra ibrida che diventerà lo standard.

La risposta, quindi, non può essere solo tecnologica, serve un cambio di paradigma: da perimeter security a Zero Trust Architecture, per esempio. Nel mondo OT questo significa micro-segmentazione delle reti industriali, autenticazione forte per ogni accesso ai sistemi Scada, monitoraggio continuo dei comportamenti anomali nei protocolli industriali. Poi serve una threat intelligence OT-specifica: le signature degli antivirus tradizionali non bastano. Serve intelligence su TTP (Tattiche, Tecniche e Procedure) specifiche degli attori che colpiscono settori industriali. Il framework Mitre ATT&CK for ICS è diventato il riferimento standard per mappare le capacità offensive e costruire contromisure coerenti. Infine, le organizzazioni devono assumere che la compromissione avverrà e prepararsi a contenere e ripristinare rapidamente, non solo a prevenire. Questo significa playbook specifici per scenari OT, backup verificati dei sistemi di controllo, procedure di operatività degradata manuale. E poi lo ‘human factor’ deve diventare la linea di difesa primaria. La maggior parte degli attacchi ha ancora un punto di ingresso umano. La formazione non può consistere in un corso annuale di compliance, ma deve essere continua, contestuale, simulata con esercitazioni realistiche su scenari di crisi industriale.

La gestione di un programma che miri a sanare tutte le possibili falle esposte dei sistemi in uso, poi, risulta molto utile al fine di limitare eventuali abusi legati a intrusioni di gruppi criminali e/o anche competitor.

In ultimo, il confine tra criminalità informatica e operazioni statali si è dissolto: gruppi come Sandworm (GRU russo), APT40 (MSS cinese), Lazarus Group (Corea del Nord) operano con obiettivi sia economici che strategici. La Corea del Nord, per esempio, finanzia il proprio programma nucleare attraverso furti crypto condotti da Lazarus, un esempio perfetto di come cyberwarfare e criminalità si intreccino. In questo contesto, le infrastrutture critiche europee e italiane non sono spettatori: sono obiettivi. Gli attacchi alle reti ferroviarie, ai sistemi sanitari e alle utility energetiche in Europa durante il conflitto russo-ucraino ne sono la dimostrazione”.

Matteo Uva, alliance&business development director di Fortinet:

“L’evoluzione delle minacce seguirà alcune direttrici ben definite, che richiedono un ripensamento delle modalità di difesa. La prima è l’automazione spinta e l’uso crescente dell’AI da parte degli attaccanti. L’AI rende phishing e social engineering più scalabili e credibili, abbassando le barriere d’ingresso e aumentando il volume degli attacchi.

Di conseguenza, anche la difesa dovrà diventare sempre più automatizzata, integrando tecnologie di AI e analisi comportamentali per identificare anomalie in tempo reale e contenere rapidamente gli effetti delle intrusioni. La seconda direttrice riguarda la crescente focalizzazione sulla continuità operativa delle aziende, in particolare in ambienti OT e infrastrutture critiche. Le campagne saranno sempre più orientate alla disruption dei servizi: l’obiettivo non sarà più solo sottrarre dati, ma fermare la produzione o compromettere servizi essenziali.

La difesa, quindi, dovrà evolvere da un approccio puramente preventivo a un modello di resilienza, con architetture in grado di reagire a eventuali attacchi, basate su segmentazione spinta e backup immutabili, secondo la logica ‘assume breach’. Infine, le identità digitali diventeranno il nuovo perimetro da difendere.

Gli attacchi si concentreranno su credenziali, supply chain e terze parti. Questo richiederà un rafforzamento delle strategie di identity e access management, con autenticazioni più robuste e una gestione degli accessi privilegiati efficace attraverso tecnologie e architetture zero trust.

In questa prospettiva, il futuro della cybersecurity non sarà solo protezione, ma una capacità di adattamento continuo: la sicurezza delle aziende dovrà spostarsi da un modello reattivo e perimetrale a un modello predittivo, integrato e resiliente, capace di evolvere insieme alle minacce”.

Paolo Mura, team leader sales engineer di Axis Communications:

“Nel contesto attuale, segnato da normative come il CRA-Cyber Resilience Act e da criticità strutturali che emergeranno nel prossimo decennio – basti pensare al cosiddetto ‘bug dell’anno 2038’, che interesserà molti sistemi legacy – è evidente che la minaccia informatica diventerà sempre più complessa, pervasiva e continua. Non si tratterà più di gestire eventi isolati, ma di convivere con un rischio strutturale, che richiederà approcci sistemici e una governance matura della sicurezza.

Sicuramente assisteremo a una crescente integrazione tra minacce digitali e fisiche. Sistemi di videosorveglianza, controllo accessi, sensori industriali e PLC sono ormai parte di ecosistemi interconnessi: un attacco informatico, quindi, potrà avere effetti fisici immediati su un plant produttivo o su un’infrastruttura critica, generando blocchi operativi, tempi di inattività, manipolazione dei dati di processo, o accessi non autorizzati ad aree sensibili. La superficie d’attacco si amplia e diventa ibrida, rendendo necessario un coordinamento sempre più stretto tra cybersecurity, sicurezza fisica e continuità operativa. Al contempo, assisteremo presumibilmente a una ‘professionalizzazione’ del cybercrime.

Modelli come il Ransomware-as-a-Service, la presenza di gruppi organizzati e la disponibilità di strumenti sempre più evoluti abbasseranno ulteriormente la soglia di ingresso. Questo significa che anche un impianto di medie dimensioni potrà diventare un target appetibile, sia per finalità estorsive, sia come anello debole di una filiera più ampia. In questo scenario assume centralità il paradigma zero trust e, con esso, il ruolo di reti e architetture progettate secondo questo principio. Come suggerisce il nome, la posizione predefinita è che nessuna entità connessa alla rete, utente, dispositivo o sistema, possa essere considerata affidabile a priori, indipendentemente dalla sua ubicazione o dal tipo di connessione utilizzata.

La filosofia è chiara: non fidarsi mai, verificare sempre. Ciò implica autenticazioni forti e continue, segmentazione della rete, monitoraggio costante dei comportamenti e concessione del minimo privilegio necessario per svolgere uno specifico compito. In sostanza, ogni accesso deve essere contestualizzato, verificato e limitato. Solo così sarà possibile costruire organizzazioni realmente resilienti, capaci non solo di prevenire gli attacchi, ma di assorbirne l’impatto e ripristinare rapidamente la piena operatività”.

Irina Artioli, security solutions consultant di Acronis:

“Le tecniche di attacco stanno evolvendo verso l’automazione, l’abuso di identità e lo sfruttamento a livello di infrastruttura. Gli strumenti basati sull’AI stanno accelerando la ricognizione, il phishing e persino l’adattamento del malware. Gli aggressori operano sempre più alla velocità delle macchine, il che riduce i tempi di rilevamento e risposta. Inoltre, stiamo assistendo a un aumento delle intrusioni senza malware. Identità compromesse, token abusati, API manipolate e uso improprio delle console cloud consentono agli aggressori di operare senza distribuire i tradizionali file binari.

Parallelamente, la virtualizzazione e l’infrastruttura cloud stanno diventando obiettivi primari. La compromissione di un hypervisor, di un livello di orchestrazione o di un piano di gestione può avere un impatto su più carichi di lavoro contemporaneamente, rendendo l’infrastruttura stessa l’obiettivo.

Man mano che gli ambienti diventano più distribuiti, il cloud, il SaaS, il lavoro remoto e l’integrazione OT, la frammentazione diventa un vantaggio per gli aggressori, che cercano le giunture tra i sistemi di identità, gli endpoint, i servizi cloud e i domini di monitoraggio. Le strategie di difesa, quindi, devono evolversi da un approccio basato sul perimetro a una validazione e integrazione continue.

L’identità diventa il piano di controllo: applicare un’autenticazione forte, ridurre i privilegi permanenti, monitorare l’utilizzo dei token e applicare decisioni di accesso contestuali. Il rilevamento deve essere basato sul comportamento; correlare i segnali tra i domini piuttosto che operare in silos. L’automazione è necessaria, ma deve essere abbinata alla supervisione umana per le azioni ad alto impatto. Infine, la resilienza deve essere misurabile. La capacità di rilevare tempestivamente, contenere i movimenti laterali e ripristinare in modo pulito sarà più importante che bloccare ogni singolo tentativo di intrusione”.

Samuele Zaniboni, manager of sales engineering di Eset Italia:

“Eset ritiene che il settore della cybersecurity sarà sempre più guidato da minacce di tipo ibride tra AI, geopolitica e cybercrime. Lo scenario digitale sarà sempre più influenzato dall’interazione tra tensioni geopolitiche, trasformazione tecnologica e attività criminali. Hacker guidati da Stati, gruppi di Advanced Persistent Threat e reti di cybercrime continueranno a operare con modelli ibridi, rendendo meno netti i confini tra spionaggio, sabotaggio e criminalità informatica. Uno dei settori più esposti sarà quello dei droni e dei sistemi autonomi. La crescente diffusione di UAV-Unmanned Aerial Vehicles in ambito militare e commerciale ha attirato l’attenzione delle principali potenze cyber, tra cui Cina, Russia, Iran e Corea del Nord. Le attività di intelligence mirano soprattutto al furto di proprietà intellettuale e alla raccolta di informazioni strategiche, mentre conflitti come quello in Ucraina continuano a fungere da laboratorio per nuove tecnologie militari. Con lo sviluppo di veicoli autonomi marittimi e terrestri, il perimetro delle operazioni cyber è destinato ad ampliarsi ulteriormente.

Le tensioni geopolitiche avranno un impatto diretto anche sulle attività di spionaggio digitale. La Cina dovrebbe rafforzare le operazioni di intelligence in America Latina e la sorveglianza interna, mentre la Russia continuerà a sfruttare gruppi cybercriminali per finalità di spionaggio e sabotaggio, con possibili attacchi a infrastrutture energetiche e filiere strategiche. Anche l’Europa sarà sotto pressione, in un contesto di crescente riarmo e competizione tecnologica. Sul fronte tecnologico, l’AI rappresenterà uno dei fattori di rischio più rilevanti. La diffusione di agenti AI nelle infrastrutture aziendali e cloud, spesso senza adeguati controlli di sicurezza, aumenterà la superficie di attacco. Marketplace e modelli AI public, utilizzati spesso come ‘scatole nere’, potrebbero introdurre vulnerabilità nelle supply chain digitali. Parallelamente, i cybercriminali sfrutteranno sempre più l’AI per campagne di social engineering, deepfake e disinformazione su larga scala, oltre che per malware più autonomi, come il ransomware AI-driven PromptLock.

Nel mondo mobile si prevede una crescita di malware Android che sfruttano strumenti di AI generativa, mentre aumenteranno le frodi basate su tecnologia NFC e tecniche di social engineering personalizzate. Il ransomware, inoltre, resterà una delle principali minacce: nonostante l’attenzione sulle vulnerabilità zero-day, molti attacchi continueranno a sfruttare errori comuni come password deboli, sistemi non aggiornati o porte RDP esposte.

In sintesi, sarà sempre più indispensabile per le imprese poter disporre delle risorse adeguate a garantire una difesa h24 di servizi e business, assicurando elementi di cooperazione e resilienza. Viene richiesto un approccio fondato su vigilanza continua, cooperazione trasversale e capacità di adattamento rapido. In un contesto in cui tecnologia e minacce evolvono in parallelo, la digital resilience si conferma una priorità strategica per governi, organizzazioni e società nel suo complesso, ed Eset Italia sta già supportando le aziende di qualunque dimensione e settore nel contrastare gli attacchi cyber attraverso soluzioni avanzate di sicurezza informatica e servizi di prevenzione, rilevamento e risposta alle minacce”.

LEGGI LE RISPOSTE ALLE ALTRE DOMANDE

• Conoscere l’avversario: le tecniche di attacco

Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre?

• Sicurezza IT-OT: come ottenerla?

A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?

• Il ‘piano B’ e il ‘fattore uomo’

Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?

• Le normative

Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?

• Come agire sotto attacco

In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?

Fonte foto Pixabay_geralt

Ilaria De Poli @ilariadepoli

• 
• Tweet
• Pin It
• Condividi per email