La spinta verso Industria 4.0 ha portato in pochi anni a connettere alla rete macchinari che fino a ieri vivevano isolati: presse, robot, PLC, sistemi di controllo. È un'opportunità formidabile per dati, manutenzione predittiva, integrazione col gestionale. Ma è anche una superficie d'attacco completamente nuova, e la maggior parte delle aziende manifatturiere non ne ha consapevolezza.
Le differenze fra IT e OT
L'informatica tradizionale (IT) e la tecnologia operativa (OT) hanno priorità diverse:
- IT: priorità è la riservatezza dei dati. Si aggiorna spesso, si riavvia, si sostituisce.
- OT: priorità è la disponibilità e la sicurezza fisica. Sistemi pensati per durare 15-20 anni, raramente aggiornati, fermi inaccettabili.
Applicare la cybersecurity IT classica a sistemi OT spesso non funziona: alcune misure (un antivirus che mette in quarantena un file critico) possono fermare la produzione.
I rischi specifici dei macchinari connessi
Sistemi obsoleti per design
Un PLC del 2010 non si aggiorna mai. Le vulnerabilità note restano aperte per sempre. È una scelta cosciente del costruttore, non un problema risolvibile dall'utente finale.
Protocolli industriali insicuri
Modbus, Profinet, EtherNet/IP nascono per affidabilità, non per sicurezza. Spesso non hanno autenticazione né crittografia. Chi è nella rete legge e scrive senza problemi.
Accessi remoti dei costruttori
Molti macchinari hanno VPN o accessi remoti del costruttore per manutenzione. Spesso con credenziali deboli, condivise tra più clienti, mai aggiornate. Sono una porta sul retro che il cliente non controlla.
USB e supporti rimovibili
Il tecnico arriva con la sua chiavetta per aggiornare il programma del macchinario. Se la chiavetta è infetta, il malware passa.
L'architettura corretta: il modello Purdue
Lo standard di riferimento è il modello Purdue, che prevede livelli separati:
- Livello 0-1: macchinari, PLC.
- Livello 2: SCADA, HMI.
- Livello 3: sistemi di gestione produzione (MES).
- Livello 3.5: DMZ industriale.
- Livello 4-5: rete IT aziendale, internet.
Tra ogni livello firewall e regole strette. Niente comunicazione diretta dall'internet ai PLC, mai.
Misure pratiche per PMI manifatturiere
- Segmentazione di rete: macchinari in VLAN dedicate, separate dalla rete office.
- Firewall industriale: tra rete OT e rete IT, con regole esplicite.
- Inventario asset: sapere esattamente quali dispositivi sono connessi e con che IP.
- Accessi remoti controllati: niente VPN del costruttore aperte 24/7. Servizio attivato solo durante l'intervento concordato.
- Monitoraggio passivo: strumenti come Claroty, Nozomi, Tenable OT che osservano il traffico OT senza interferire.
- Procedure USB: chiavette dedicate, scansionate, con tracciabilità.
- Backup configurazioni: programmi PLC, parametri HMI, ricette di lavorazione.
Cybersecurity industriale e NIS2
Molte aziende manifatturiere rientrano nella NIS2 e devono adeguarsi alle misure tecniche e organizzative. La sicurezza OT diventa un obbligo normativo, non solo una buona pratica.
Conclusione
Industria 4.0 senza cybersecurity OT è una bomba a orologeria. Possiamo aiutarti a mappare l'attuale infrastruttura OT, progettare la segmentazione corretta e implementare le misure necessarie senza fermare la produzione.