Nell’immaginario collettivo, sono solitamente i ransomware, che bloccano ospedali o aziende chiedendo riscatti milionari, a rappresentare il rischio più eclatante nell’ambito della cyber security. Tuttavia, per il tessuto produttivo, risultano meno clamorosi ma ben più dannosi e subdoli tutti quegli attacchi nascosti, persistenti e difficilmente rilevabili, capaci di infiltrarsi nei sistemi e restare latenti per anni. “Oggi un grande pericolo per la sicurezza OT e IoT arriva da attacchi più silenziosi, che esistono ma di cui non si ha evidenza finché non creano un danno. E reagire in quel momento è troppo tardi”, afferma Alessandro Di Pinto, senior director Security Research di Nozomi Networks, riferendosi è a una tipologia di minacce che non puntano a colpire immediatamente, ma a infiltrarsi nei sistemi industriali per manipolarne i processi nel tempo. Un approccio che cambia radicalmente la percezione del rischio, spostandolo da un evento improvviso a una compromissione graduale e spesso invisibile.
In Italia la cyber security conferma un ritardo strutturale
L’ultima analisi semestrale condotta da Nozomi Networks sullo stato della sicurezza OT e IoT, con un focus specifico sull’Italia, mostra come il 63% delle vulnerabilità rilevate nei sistemi industriali del nostro Paese sia classificato ad alto rischio, una percentuale superiore alla media globale del 58%. Un dato che non sorprende del tutto, ma che conferma un ritardo strutturale. “Non stiamo parlando di stime, ma di dati osservati”, sottolinea Di Pinto, evidenziando come il problema sia concreto e misurabile.
Si va oltre il ransomware: l’analisi delle tecniche di attacco rivela due direttrici principali. La prima è il brute force, ovvero il tentativo sistematico di indovinare le credenziali di accesso. Una tecnica apparentemente semplice, ma ancora estremamente efficace, soprattutto in presenza di password deboli o di default. La seconda, molto più sofisticata, è la cosiddetta data manipulation, che consiste nella modifica dei parametri operativi di un processo industriale. È qui che si annida il rischio maggiore, perché l’attacco non interrompe il sistema, ma ne altera il funzionamento.
“All’interno di una catena produttiva anche una minima variazione nei parametri porta a un difetto sistemico – spiega Di Pinto –. E questo può compromettere un’intera fornitura”. Le conseguenze non sono immediate, ma si propagano lungo la supply chain, generando inefficienze, ritardi e danni reputazionali.
Schemi precisi che puntano allo spionaggio
Tali attacchi alla sicurezza OT e IoT seguono uno schema preciso: accesso iniziale, spesso tramite brute force, movimento laterale all’interno della rete e, infine, manipolazione dei processi. Il tutto mantenendo un profilo basso, evitando di essere rilevati. “Non è come il ransomware che vuole farsi vedere – continua Di Pinto –. Qui parliamo di spionaggio puro. Gli attaccanti possono restare all’interno di una rete per anni senza essere scoperti”.
Le motivazioni dietro queste operazioni sono spesso geopolitiche. Gli attori coinvolti non sono semplici cybercriminali, ma gruppi sponsorizzati da Stati, con obiettivi strategici. “Uno Stato non colpisce mai un’infrastruttura critica all’improvviso. Si preposiziona con grande anticipo, quando tutto sembra tranquillo”, osserva Di Pinto. Questo concetto di preposizionamento è centrale per comprendere le dinamiche attuali: l’infiltrazione nelle infrastrutture avviene in tempi non sospetti per essere eventualmente attivata in momenti di crisi.
Oltre il ransomware, l’attacco colpisce senza rumore
Un esempio emblematico è quello di Stuxnet, il malware che tra il 2007 e il 2010 ha colpito gli impianti nucleari iraniani, alterandone il funzionamento senza che gli operatori se ne accorgessero. “Mandava segnali falsi ai sistemi di controllo, facendo credere che tutto fosse normale”, ricorda Di Pinto. Un precedente che oggi trova nuove forme di evoluzione nelle tecniche osservate.
Il contesto geopolitico attuale conferma questa tendenza. L’attività di gruppi legati a determinati Paesi è stata rilevata già prima dell’escalation di tensioni internazionali. “Non è un caso che tra i gruppi più attivi ci fosse uno iraniano già prima dell’inizio del conflitto”, sottolinea Di Pinto, evidenziando come la dimensione cyber sia ormai parte integrante delle strategie legate agli Stati.
L’AI sempre più a supporto degli attacchi
A rendere il quadro ancora più complesso è l’evoluzione tecnologica, in particolare l’adozione dell’intelligenza artificiale da parte degli attaccanti. “L’AI viene utilizzata per migliorare le campagne di phishing, creare identità digitali credibili e persino per guidare il comportamento dei malware”, spiega Di Pinto. Alcuni codici malevoli sono già in grado di interrogare sistemi di AI per adattarsi all’ambiente in cui si trovano, rendendo gli attacchi più dinamici e difficili da prevedere.
Parallelamente, si assiste a una drastica riduzione del tempo tra la scoperta di una vulnerabilità e il suo sfruttamento. “Nel 2018 servivano circa 40 giorni, oggi si parla di poche ore”, afferma Davide Boglioli, technical lead del team di vulnerability assessment di Nozomi Networks. Un’accelerazione che mette sotto pressione le capacità difensive delle aziende, costrette a reagire in tempi sempre più stretti.
Secondo Boglioli, le cause della maggiore esposizione italiana possono essere diverse. “Probabilmente i sistemi vengono aggiornati meno frequentemente o i processi dipatching non sono tempestivi”, ipotizza. A questo si aggiunge un fattore culturale, legato alla struttura delle imprese. “Le aziende italiane sono spesso più piccole e meno inclini a investire in sicurezza, soprattutto se non è direttamente collegata alla produzione”.
Oltre il ransomware, l’attacco colpisce senza rumore – Critici gli aggiornamenti dei sistemi industriali
Un tema critico è quello degli aggiornamenti nei sistemi industriali. A differenza dell’IT tradizionale, aggiornare un dispositivo OT può comportare rischi operativi significativi. “Se qualcosa va storto, l’impianto si ferma. E fermare un impianto può costare milioni al giorno”, spiega Di Pinto. Questo porta molte aziende a rimandare gli aggiornamenti, aumentando però la superficie di attacco. A tutto svantaggio della sicurezza OT e IoT.
In questo contesto, normative come la direttiva NIS2 rappresentano un passo avanti in termini di trasparenza e condivisionedelle informazioni. “Prima si tendeva a nascondere gli incidenti per evitare danni reputazionali. Ora è obbligatorio segnalarli”, osserva Di Pinto. Tuttavia, la normativa si concentra sulla compliance e non fornisce indicazioni operative su come affrontare le minacce.
La visibilità resta quindi un elemento chiave. “Chi ha le informazioni ha un vantaggio strategico”, sottolinea Di Pinto. Lo stesso principio vale per le aziende, che devono dotarsi di strumenti in grado di monitorare continuamente le proprie infrastrutture e identificare anomalie prima che si trasformino in incidenti.
Oltre il ransomware: la digitalizzazione ha ampliato la superficie di attacco
Dal punto di vista industriale, la superficie di attacco si è ampliata con la digitalizzazione. “Oggi tutto è connesso: telecamere, tornelli, sensori, scale mobili – spiega Davide Ricci, che guida le attività commerciali in Italia di Nozomi Networks –. Il perimetro non è più solo l’impianto produttivo, ma tutto l’ecosistema”. E aggiunge: “Tenere sotto controllo la propria situazione permette di prevenire una serie di problemi che non derivano necessariamente da attacchi mirati, ma anche da errori umani o configurazioni non corrette”.
Ricci evidenzia anche le peculiarità del mercato italiano. “Le aziende sono più padronali, le decisioni passano spesso dal proprietario. Investimenti che non incidono direttamente sulla produzione fanno più fatica a essere approvati”. Un modello che ha avuto successo, ma che oggi mostra limiti di fronte a minacce sempre più sofisticate alla sicurezza OT e IoT. E sottolinea inoltre un aspetto chiave legato al posizionamento dell’azienda: “Il nostro approccio è agnostico rispetto ai vendor: andiamo dai clienti per proteggere l’intera infrastruttura, non solo una parte. Questo è fondamentale in un contesto dove convivono tecnologie diverse”. Soprattutto, risulta basilare ora che l’azienda non è più una realtà indipendente: infatti, lo scorso mese di gennaio è stata acquisita da Mitsubishi Electric.
Italia, hub strategico per il mediterraneo
Nonostante ciò, l’Italia resta un nodo strategico a livello globale, sia per la manifattura sia per la logistica. “Siamo un hub nel Mediterraneo, con infrastrutture critiche e aziende coinvolte in filiere internazionali”, ricorda Di Pinto. Questo rende il Paese un obiettivo indiretto ma rilevante nelle dinamiche geopolitiche. Così, non stupisce che dopo il manifatturiero sia il settore dei trasporti quello più colpito dagli attacchi alla sicurezza OT e IoT, in particolare i porti.
Dalla panoramica tracciata dal report di Nozomi Networks risulta chiaro come cyber security industriale sia un terreno di confronto sempre più complesso, dove tecnologia, geopolitica e cultura aziendale si intrecciano. Gli attacchi (ransomware e non solo) non sono più eventi isolati, ma parte di strategie di lungo periodo. E la capacità di difendersi non dipende solo dagli strumenti, ma dalla consapevolezza e dalla preparazione degli attori coinvolti. Come conclude Di Pinto, “l’AI è un moltiplicatore di competenze, ma anche di rischi. La differenza la farà chi saprà prepararsi prima”.
