La sicurezza OT (Operational Technology) e una disciplina diversa dalla sicurezza IT, con regole, priorita e strumenti propri. Mentre nell'IT la priorita e la confidenzialita (proteggere i dati), nell'OT la priorita e la disponibilita e la safety (garantire che i sistemi fisici funzionino correttamente e in sicurezza). Un sistema SCADA che si blocca per un aggiornamento non pianificato puo essere pericoloso quanto un attacco.
La NIS2 non distingue tra IT e OT — richiede la protezione di tutti i sistemi informativi e di rete. Ma per le aziende con infrastrutture OT (manifattura, energia, utility, trasporti), l'adeguamento richiede competenze specifiche che il mondo IT tradizionale non possiede.
Cos'e l'OT e in cosa differisce dall'IT
| Aspetto | IT | OT |
|---|---|---|
| Priorita | Confidenzialita > Integrita > Disponibilita | Disponibilita > Safety > Integrita |
| Ciclo di vita | 3-5 anni | 15-25 anni |
| Patching | Regolare, automatizzabile | Raro, richiede fermo impianto |
| Protocolli | TCP/IP, HTTP, SQL | Modbus, DNP3, OPC, Profinet |
| Impatto di un incidente | Perdita dati, downtime | Danni fisici, rischio per la vita |
Le minacce ai sistemi OT
Le minacce OT sono in rapido aumento. Dal malware Stuxnet (2010) che ha sabotato le centrifughe iraniane, passando per Industroyer che ha spento la rete elettrica ucraina, fino a Triton/Trisis che ha preso di mira i sistemi di sicurezza (SIS) di un impianto petrolchimico. In Italia, gli attacchi a sistemi OT sono meno pubblicizzati ma in crescita — molte aziende non li rilevano nemmeno.
Il framework Purdue per la segmentazione
Il modello Purdue (ISA-95/IEC 62443) e il framework di riferimento per la segmentazione delle reti industriali. Divide la rete in livelli: Livello 0 (sensori, attuatori), Livello 1 (PLC, controllori), Livello 2 (SCADA, HMI), Livello 3 (MES, historian) e la DMZ industriale che separa l'OT dall'IT aziendale. Il principio: ogni comunicazione tra livelli deve passare attraverso punti di controllo definiti.
Strumenti per la sicurezza OT
- Nozomi Networks — leader nel monitoraggio passivo delle reti OT, visibilita e anomaly detection
- Claroty — piattaforma completa per asset discovery, vulnerability management e threat detection OT
- Dragos — specializzato in threat intelligence e incident response per ambienti industriali
- Fortinet OT Security — integra la sicurezza IT/OT in un'unica piattaforma
- Microsoft Defender for IoT — soluzione agentless per il monitoraggio OT/IoT
Best practice per la sicurezza OT
- Asset inventory — non puoi proteggere cio che non conosci. Mappa TUTTI i dispositivi OT
- Segmentazione — implementa il modello Purdue con firewall industriali tra ogni livello
- Monitoraggio passivo — usa strumenti che osservano il traffico senza interferire con i processi
- Gestione accessi — MFA per l'accesso remoto ai sistemi OT, principio del minimo privilegio
- Patch management OT — dove possibile; dove non possibile, controlli compensativi
- Incident response OT — procedure specifiche che considerano la safety e la continuita del processo