AO_461

30 | APRILE 2025 AUTOMAZIONE OGGI 461 AUTOMAZIONE OGGI Panorama rezza informatica e le sfide specifiche degli ambienti OT che deve essere colmato: “con l’escalation e la proliferazione degli attacchi, l’attuale divario nelle conoscenze tecniche del personale addetto alla sicurezza infor- matica si sta ampliando e mette le organiz- zazioni in una posizione precaria nella lotta contro le minacce e gli attacchi. La forma- zione del personale addetto alla sicurezza in- formatica sui sistemi e sulle sfide specifiche dell’OT è fondamentale”. Secondo Mariano bisogna agire su due fronti: sensibilizzazione e definizione della governance. “Per la sensibilizzazione, sono necessari approcci educativi e dinamici, adattati alla quotidianità dei team che ope- rano nelle fabbriche e nelle entità industriali. Per la definizione della governance, è fon- damentale stabilire referenti e responsabili della cybersecurity all’interno delle squadre operative. Il tema della sicurezza è trasver- sale e non può essere gestito esclusivamente dai team IT”. Per Testino, il coinvolgimento attivo del personale operativo nella strategia di cyber- security è essenziale per promuovere una cultura della sicurezza robusta. “Investire nella formazione del personale e nell’ado- zione di tecnologie avanzate per il backup e il ripristino rapido sono pilastri fondamentali per garantire la continuità operativa e la sicu- rezza delle infrastrutture critiche in un conte- sto sempre più regolamentato e vulnerabile agli attacchi informatici”. Qualche esperienza Abbiamo poi chiesto di illustrare esperienze specifiche riguardanti attacchi informatici nell’ambito industriale e come siano state gestite, con l’obiettivo di favorire la condi- visione di esperienze pratiche e lezioni ap- prese durante incidenti reali. Trend Micro ha avuto esperienza diretta nella gestione di attacchi informatici in aziende industriali, tra cui ransomware e attacchi mirati alle reti OT. Galimi ci dice che in una situazione specifica, un attacco mirato a un impianto di produzione ha portato a un’in- terruzione delle operazioni, di fatto obbli- gando l’azienda all’interruzione delle attività. “In risposta, abbiamo supportato l’azienda cliente nell’attuazione di un piano di incident response che includeva il blocco immediato delle connessioni sospette, l’isolamento delle macchine infette e il ripristino dei sistemi. In quel caso si è rivelata fondamentale la pre- revisione della segmentazione di rete e l’a- nalisi delle vulnerabilità infrastrutturali e ap- plicative in base agli standard più aggiornati. L’indagine ha evidenziato lo sfruttamento di una vulnerabilità a livello server, che era in comunicazione diretta con i sistemi di produzione, consentendo la criptazione dei dischi e il blocco di diverse macchine Scada e PLC. Un attacco che ha impattato in modo significativo anche asset legacy, compromet- tendo la stabilità operativa dell’impianto. Per mitigare i rischi futuri, è stato necessario un ridisegno dell’infrastruttura di rete, focaliz- zandosi sul monitoraggio dei flussi di comu- nicazione OT, la valutazione della superficie di attacco esposta, l’implementazione di mi- sure di hardening e remediation per ridurre il rischio e sanare le vulnerabilità individuate. Grazie a queste misure, l’azienda ha potuto ripristinare la piena operatività, rafforzando al contempo la propria cyber resilience per prevenire attacchi futuri”. Secondo Mariano , Advens dispone di un team di risposta agli incidenti (Csirt) all’in- terno del suo Cert, che si è trovato a gestire diversi attacchi in ambienti OT per i loro clienti. “Ad esempio, abbiamo implemen- tato servizi di rilevamento degli incidenti (SOC) per infrastrutture industriali all’interno degli stadi di Parigi durante le Olimpiadi del Cristina Mariano, country manager di Advens senza di un SOC attivo in modalità 24x7 che ha permesso di rilevare la minaccia imme- diatamente e far partire lo stato di allerta. La sfida maggiore da affrontare è stata quindi quella di bloccare i flussi di comunicazione malevoli garantendo la ripresa operativa veloce e sicura. La lezione appresa è stata che una preparazione adeguata, combinata a un’ottima conoscenza della propria rete e flussi di comunicazione da parte del cliente, può ridurre significativamente il rischio di danni maggiori”. Triolo racconta che, nonostante il progres- sivo impegno delle aziende con ambienti OT nel creare ecosistemi resilienti dal punto di vista della cybersecurity, il coinvolgimento di strutture Security Operations Center (SOC) per la gestione di interruzioni operative ri- mane una necessità frequente. “Un caso esemplare è stato un attacco informatico, verificatosi nel 2024, in un’azienda del set- tore metallurgico. Nonostante l’implemen- tazione di molteplici layer di sicurezza, sia l’ambiente produttivo OT sia l’infrastruttura amministrativa sono stati colpiti da un ran- somware, causando un fermo produttivo di cinque giorni. L’incident response, condotta attraverso un approccio combinato di tecno- logie e procedure, ha avuto come obiettivo primario l’identificazione della root cause, con un’analisi approfondita che ha incluso l’esame dettagliato dei log di infrastruttura, un assessment dell’Active Directory (AD), la