Il settore manifatturiero italiano si confronta quotidianamente con la minaccia di un cybercrime che non conosce confini, e sebbene gli investimenti si concentrino sulla protezione dei macchinari e dei sistemi di controllo industriale (OT), la vera falla risiede spesso in un elemento trascurato: l'identità digitale.
La convergenza tra la rete aziendale (IT) e l'ambiente di produzione (OT) ha esposto i sistemi fisici a rischi fino a ieri impensabili. Le analisi, compresi i dati dell’ultimo Rapporto Clusit, indicano che l'85% degli incidenti di sicurezza riscontrati in ambienti OT ha origine da minacce IT tradizionali. Questo accade perché chi intende attaccare a livello cyber un’azienda industriale sfrutta le debolezze di interconnessione e si muove lateralmente, trasformando una semplice e-mail di phishing in un potenziale fermo linea.
La catena d'attacco è nitida: l'attaccante ruba le credenziali di accesso dalla rete IT e poi le sfrutta per penetrare nei sistemi di controllo industriale, dove il sistema di protezione è insufficiente.
Ecco perché nel manufacturing la protezione dell'identità digitale (accessi, privilegi, autenticazione) è la prima linea di difesa per salvaguardare la continuità della produzione (OT) dal rischio che ha origine nella rete aziendale (IT).
La protezione dell’identità digitale serve a evitare il fermo macchina
Per i dirigenti di produzione e i plant manager, il rischio cyber si traduce in costi materiali: ore di fermo impianto, perdite di commesse e danni reputazionali. Questi costi sono spesso innescati da un accesso illecito ai sistemi di automazione (PLC, SCADA), reso possibile dal furto di un'identità, anche di basso livello.
Il vettore di attacco più diffuso è il phishing, che mira a rubare le credenziali che consentono l'accesso remoto alla rete aziendale e, di conseguenza, all'OT.
I sistemi di accesso remoto (come le Vpn, virtual private network, o gli Rdp, remote desktop protocol) mal protetti sono la causa del 65% delle compromissioni in ambiente OT.
I ransomware (come LockBit e Cactus) abusano sistematicamente di strumenti di accesso remoto, come gli RMM (Remote Monitoring and Management), per condurre intrusioni persistenti e distribuire il payload malevolo.
Lo spear phishing e l'ingegneria sociale vengono utilizzati per ottenere le credenziali di accesso, che poi consentono agli aggressori di muoversi indisturbati tra l'ambiente IT e quello OT.
La pratica rischiosa delle credenziali condivise nell'OT
Una vulnerabilità specifica del settore è la prassi di utilizzare credenziali non nominali, account di servizio condivisi o password senza scadenza direttamente sui sistemi di controllo industriale.
La compromissione di una singola identità condivisa può fornire a un attaccante le chiavi per accedere a molteplici macchinari, bloccare interi processi e causare interruzioni totali.
L'efficacia della protezione dell'identità digitale dipende quindi in modo cruciale dalla capacità di avere visibilità e controllo su tutti gli accessi, sia corporate che di produzione.
Piattaforme di monitoraggio continuo come TeamSystem Cybersecurity sono progettate per unificare questa visione. Integrando l'analisi degli accessi IT con gli alert di sicurezza, consentono di identificare rapidamente anomalie e abusi di credenziali prima che si traducano in un attacco OT effettivo e in un costoso fermo macchina.
La difesa operativa: Zero Trust e controllo degli accessi nell'impianto
Per i sistemi OT l'approccio alla sicurezza deve focalizzarsi su due pilastri operativi che ribaltano il concetto di fiducia.
È imperativo abbandonare l'uso di credenziali generiche a favore di identità nominali e individuali per ogni operatore e manutentore che interagisce con i sistemi di automazione.
Si deve parlare allora di accessi ai sistemi basati sui ruoli specifici: Role-Based Access Control (RBAC). Questo significa chedeve essere implementato il principio del minimo privilegio, garantendo che ciascun operatore (interno o esterno) abbia accesso solo alle funzionalità dei PLC, SCADA e HMI strettamente necessarie al suo ruolo.
Strettamente connessa è la gestione del ciclo di vita dell'accesso. In questo contesto è cruciale attuare una procedura di off-boarding rigorosa. Le credenziali di dipendenti o fornitori esterni devono essere revocate immediatamente al termine del rapporto lavorativo o contrattuale, un requisito esplicitamente citato nelle linee guida per la sicurezza delle banche dati dell'ACN.
Autenticazione forte e accesso remoto
L'autenticazione a più fattori (MFA) non è una misura esclusiva degli uffici, ma deve essere estesa agli accessi critici e, soprattutto, a quelli remoti. L'MFA per VPN, RDP e gli accessi al control plane è da implementare per impedire che le credenziali rubate con il phishing vengano utilizzate con successo.
La gestione rigorosa degli strumenti di accesso remoto (RDP e RMM per i fornitori) è vitale. L'attaccante che compromette un fornitore (anello debole della Supply Chain) sfrutta l'accesso remoto per infiltrarsi nei sistemi di produzione, un fenomeno in crescita e rilevante nel settore manifatturiero.
La compliance è una leva di resilienza: NIS2 e IEC 62443
L'adeguamento normativo non è un ostacolo burocratico, ma un catalizzatore per la resilienza operativa. La Direttiva Europea NIS2 (recepita dal D.Lgs. 138/2024), amplifica la responsabilità dei soggetti essenziali e importanti (che includono molte aziende manifatturiere) in materia di sicurezza cyber. La norma impone l'implementazione di politiche in materia di gestione dell'autenticazione, delle identità digitali e del controllo accessi.
In questo senso un elemento fondamentale è l'obbligo di formazione del personale per creare nei lavoratori un subtrato di consapevolezza. Quello che viene definito come s”ecurity awareness training” deve coinvolgere tutti i dipendenti, compresi gli operatori di linea (i cosiddetti blue collar worker). Spesso, infatti, è un clic incauto dell'operatore a innescare la catena dell'attacco che può portare al blocco della produzione.
Per gli ambienti di produzione, lo standard internazionale IEC 62443 fornisce il supporto tecnico necessario per l'implementazione pratica dei requisiti NIS2.
I requisiti NIS2 sulla gestione degli accessi e l'autenticazione sono pienamente allineati con le best practice per la messa in sicurezza dei sistemi ICS e SCADA, definendo un linguaggio comune per valutare i livelli di sicurezza richiesti e raggiunti.
La vera sfida resta superare i silos organizzativi interni, dove i team IT e OT faticano a comunicare. Le lentezze nella comunicazione interna ritardano i tempi di rilevamento e risposta agli incidenti OT, che spesso superano le 72 ore.
Le soluzioni per avere una fabbrica sicura
La protezione dell'identità digitale è oggi l'investimento più efficace che un'azienda manifatturiera possa fare per proteggersi dal rischio di interruzione operativa. Non si tratta di una battaglia tecnologica, ma di una sfida di governance e di cultura aziendale.
Per affrontare questa sfida in modo pragmatico e scalabile, i manager devono dotarsi di strumenti che garantiscano una visibilità totale e continua sugli accessi e sulle credenziali, senza richiedere l'intervento manuale di personale specializzato che spesso è assente nelle PMI.
TeamSystem Cybersecurity offre la soluzione per l'immediata attuazione di questa strategia, fornendo un monitoraggio continuo delle credenziali in uso (comprese quelle dei fornitori), l'individuazione di vulnerabilità legate all'accesso e raccomandazioni di remediation chiare e azionabili.
In questo modo, l'azienda può adempiere in modo efficace agli obblighi NIS2, rafforzare la sicurezza dei sistemi industriali e, soprattutto, garantire la continuità del business.