L’insieme delle tecnologie operative, ovvero l’insieme di hardware e software utilizzati per monitorare e controllare processi fisici, dispositivi e infrastrutture industriali, con l’obiettivo di gestire i processi produttivi di un’azienda è collettivamente indicato con il termine Operational Technology (OT).

Questo ambito tecnologico rappresenta il bersaglio preferito di avversari/attaccanti digitali, come dimostrato da diverse ricerche specifiche pubblicate da fornitori di sicurezza informatica che, osservando i fenomeni di attacco, hanno evidenziato per il 2025 una specifica preferenza per l’OT, caratterizzata da maggior frequenza, scalabilità e progressiva e crescente sofisticazione rispetto a tutti gli altri attacchi rivolti all’ambiente informatico (IT).

I motivi della preferenza risiedono in più cause che, insieme, costituiscono una tempesta perfetta: capacità di infiltrazione degli attaccanti, mancanza di visibilità accurata degli ambienti OT, mancanza di alcune pratiche di sicurezza basiche. Il problema ha assunto rilevanza tale, che la stessa Agenzia per la Cyber security americana (CISA) ha emesso una vera e propria guida sui fondamenti di OT security “Foundations for OT Cyber security: Asset Inventory Guidance for Owners and Operators” spiegando la modalità più appropriata di inventariare e monitorare le risorse.

Anche l’ACN ha fornito alcune indicazioni di protezione ma principalmente per i sistemi industriali della categoria IoT (avviso rischi e mitigazioni e una guida pratica di prassi di sicurezza). Ne abbiamo parlato con un esperto di sicurezza informatica che da oltre 15 anni effettua verifiche e test di sicurezza negli ambienti digitali anche di tipo industriale, Stefano Chiccarelli, CEO di Rj45lab.

In prima istanza è comunque opportuno verificare lo scenario della minaccia nel contesto OT.

Evidenze della minaccia ai sistemi OT

Il report di security in tema di OT (2025 OT Cyber Threat Report) emesso da Waterfall Security and ICS STRIVE ha raccolto una serie di incidenti ai sistemi OT avvenuti nel 2024 fotografando conseguenze fisiche e interruzioni documentate, in cui gli attacchi informatici hanno portato a conseguenze concrete: arresti, danni alle apparecchiature, perdite di fatturato e problemi di sicurezza nazionale.

I dati (di questo e di altri report di sicurezza in ambito OT) confermano ciò che gli esperti di sicurezza dei processi operativi sospettavano da tempo: il divario tra visibilità informatica e realtà fisica si sta ampliando. E l’unico modo per colmarlo è monitorare ciò che accade realmente al livello fisico (livello 0 della pila ISO/OSI) e ad ogni livello abilitante della infrastruttura digitale collegata al processo fisico.

I numeri riportati nel report parlano di 1.015 siti che hanno subito interruzioni fisiche nel 2024, rispetto ai 412 dell’anno precedente con un aumento del 146%. Anche se gli attacchi contro gli stati nazionali su sistemi cyber-fisici sono triplicati ed hanno radici geopolitiche (trainati dall’escalation delle campagne legate a Cina, Russia e Iran), solo nel 2024 sono stati scoperti tre nuovi ceppi di software malevolo (malware) specifici per i Sistemi di Controllo Industriale (ICS) (si pensi che 6 nuovi erano stati scoperti nei 14 anni precedenti).

Ma è significativo come solo il 13% degli attacchi ha colpito direttamente i sistemi OT. Quasi il 90% ha causato un impatto fisico indiretto, spesso tramite sistemi IT compromessi o dipendenze da servizi basati su cloud. Il problema è riconducibile a due punti deboli secondo il report: reti piatte, in cui IT e OT sono scarsamente segmentati (ovvero separati) e dipendenze dei processi dall’infrastruttura IT.

In aggiunta il report segnala problemi di cui si conosce l’esistenza, ma di cui non si riesce ad avere evidenze: guasti silenziosi in cui i sistemi di controllo sono stati compromessi ma non hanno causato danni visibili; manipolazione dei processi che non viene rilevata perché gli operatori non hanno modo di verificare se i segnali di controllo corrispondono all’esecuzione fisica; un’’analisi del solo traffico di rete o dei log che non prende dati dal livello 0 e di cui i dati restano invisibili (dati a livello di processo riguardano pressione, flusso, tensione, attuazione).

Per questi ‘punti ciechi’ il suggerimento è di includere un monitoraggio a livello di processo fisico per aggiungerlo alla componente di monitoraggio IT.

Mancanza di prassi di base

Dai dati del report sembrerebbe che i criminali considerino e sperimentino una certa ‘facilità’ nell’attaccare i sistemi OT. La conferma arriva dall’esperto Stefano Chiccarelli che spiega come “in tutti gli anni di attività operativa la cosa che colpisce di più è che non sono tanto le vulnerabilità ‘complesse’ a far entrare i criminali, quanto la totale disattenzione di base”.

In particolare, chiarisce, “il problema numero uno è la mancanza di segmentazione: spesso le reti IT e OT sono mischiate senza criterio, con sistemi di controllo accessibili come se fossero normali PC d’ufficio, tanto che basta che un account sia compromesso nella rete IT per ritrovarsi dentro all’ambiente di produzione”.

Ma non è tutto “ci sono le password di default o quelle mai cambiate, che rappresentano un ‘grande un classico’ che resiste da decenni”. E non sembrano casi isolati, come conferma “ancora oggi esistono sistemi critici con password di tipo ‘admin/admin’”. Ma non basta, “un’altra falla enorme è lo Shadow OT, cioè dispositivi installati dagli operatori senza che nessuno ne sappia nulla.

Ogni volta che spunta una ‘box’ nuova e/o non documentata, aumenta la superficie d’attacco”.

Il problema sta anche nella catena di fornitura con pratiche poco accurate legate a “VPN aperte 24/7, credenziali condivise tra decine di manutentori, portatili esterni collegati senza alcun controllo”. Tutte queste ‘dimenticanze’ per così dire, sono definite “strade preferite dagli attaccanti”.

Ultimo ma non meno importante anche la pratica del patching non sempre eseguito in modo puntuale: “molti sistemi restano vulnerabili per anni perché dalle aziende si giustificano con la dicitura ‘non possiamo fermare la produzione’, il che è comprensibile dal punto di vista business, ma dal punto di vista dell’attaccante equivale a un invito a nozze”.

In queste problematiche il filo conduttore sembra chiaro e lo evidenzia l’esperto “la falla principale non è tecnica, ma culturale. Gli attaccanti sfruttano la combinazione di sistemi vecchi, cattiva gestione e totale mancanza di visibilità”.

Ulteriori aspetti specifici dell’ambiente OT

Il motivo per cui fino ad oggi l’inventario delle risorse e la loro tenuta sotto controllo mediante monitoraggio è stata scarsa tanto che la stessa CISA ha ravvisato l’esigenza di una specifica guida in proposito, la spiega l’esperto “le aziende spesso non vogliono vedere quello che non sanno gestire. Fare un inventario significa scoprire sistemi obsoleti, configurazioni sbagliate, apparati fuori contratto… e questo spaventa. Meglio ‘non sapere’, per non coinvolgere responsabilità dirette”.

Un atteggiamento poco cauto trattandosi di misure di sicurezza e di apparati operativi e di esercizio, ma non si tratta solo di considerazioni di accountability “c’è anche un problema di percezione dei costi poiché sono in molti a pensare che ‘poiché funziona tutto, perché dovrei spendere soldi per sapere cosa ho?’ ed il risultato è che non si investe, finché non succede il disastro”.

Vi sono poi divisioni di perimetro logico che non aiutano l’interazione efficace in ottica di sicurezza: “un altro freno è lo scollamento tra IT e OT: l’IT non entra in produzione perché ‘non capisce i processi’, l’OT non vuole l’IT perché ‘intralcerebbe’. E così, l’inventario OT rimane terra di nessuno”.

Un problema comune rimane l’approccio reattivo piuttosto che quello preventivo come conferma Chiccarelli: “La mentalità prevalente è ancora troppo reattiva: ci si preoccupa dopo l’incidente, non prima. Ma in OT un attacco non blocca solo un server, bensì ferma linee produttive, danneggia macchinari, crea impatti economici enormi”.

Per tutti questi motivi l’avviso/Guida della Cisa è provvidenziale perché ricorda l’esperto “senza inventario non c’è sicurezza: se non sai cosa hai, non puoi difenderlo”. Ma c’è anche altro che si può avviare “fino a poco tempo fa mancavano strumenti adeguati: oggi ci sono soluzioni di scoperta automatica degli asset (asset discovery) OT che lavorano in modo passivo, senza rischi di alcun fermo macchina. Ma in molte aziende non si conoscono o non ci sono le competenze per usarle. In definitiva, mancano tre elementi: competenze, tempo e coraggio organizzativo”.

Ripartire dall’inventario delle risorse

Per supportare l’avvio di processi di sicurezza corretti in ambito OT, la guida CISA introduce un approccio metodologico e sistematico all’inventario di risorse corredato da apposite tassonomie OT basate sul quadro normativo ISA/IEC 62443 per prioritizzare le risorse, identificare i rischi e gestire le vulnerabilità e quindi invita a categorizzare le risorse e a classificarle spiegando le modalità e suggeriscono integrazioni con cataloghi di CVe e KEV (vulnerabilità note ‘sfruttatate’) per trattare correttamente le minacce.

La guida descrive quindi un processo che include la definizione dell’ambito e degli obiettivi dell’inventario, l’identificazione degli asset, la raccolta degli attributi, la creazione di una tassonomia, la gestione dei dati e l’implementazione della gestione del ciclo di vita degli asset.

In sostanza la guida fornisce un metodo che passo dopo passo aiuta coloro che devono tracciare un percorso di sicurezza nell’ambiente OT.

Una utilità pratica della guida è data dalla sezione relativa agli esempi concreti di tassonomie OT, sviluppate dalla CISA attraverso sessioni di lavoro con organizzazioni del settore energetico e del settore idrico e delle acque reflue.

In particolare, l’appendice B è destinata alle organizzazioni del settore petrolifero e del gas, l’appendice C alle organizzazioni del settore elettrico e l’appendice D al settore Acqua e acque reflue.