Scenario di settore: segmentazione OT/IT in una PMI manifatturiera

Nota. Questo articolo descrive uno scenario illustrativo costruito su pattern ricorrenti nel settore manifatturiero italiano. Non rappresenta un cliente specifico né riporta dati reali: nomi, dimensioni e risultati numerici precisi sono volutamente assenti per evitare di trasmettere informazioni non verificabili.

L'integrazione tra Information Technology (IT) e Operational Technology (OT) è una realtà consolidata in quasi ogni PMI manifatturiera. La promessa è quella di una maggiore efficienza, di una manutenzione predittiva e di una visibilità in tempo reale sui processi produttivi. Tuttavia, questa convergenza, se non governata, introduce rischi significativi per la continuità operativa. Troppo spesso, macchine a controllo numerico (CNC), PLC, sistemi SCADA e pannelli HMI coesistono sulla stessa rete degli uffici amministrativi, creando un'unica, grande superficie d'attacco.

Questo scenario è ulteriormente complicato dalla crescente pressione normativa. La Direttiva (UE) 2022/2555 (NIS2) ha ampliato il perimetro dei soggetti regolamentati, includendo, tra gli altri, il settore "Fabbricazione di dispositivi medici e diagnostici in vitro", "Fabbricazione di computer e prodotti di elettronica e ottica" e la "Fabbricazione di macchinari e apparecchiature n.c.a.". Una PMI operante in questi ambiti potrebbe quindi essere classificata come "soggetto importante", con precisi obblighi di gestione del rischio e segnalazione degli incidenti.

Il rischio di una rete "piatta"

In una rete non segmentata, o "piatta", un incidente di sicurezza nato nel dominio IT può propagarsi senza ostacoli al mondo OT. Un attacco ransomware, veicolato da un'email di phishing aperta su un PC amministrativo, può muoversi lateralmente fino a cifrare i server SCADA che governano le linee di produzione, causando un fermo impianto immediato e potenzialmente prolungato.

Il problema è aggravato da due fattori intrinseci al mondo industriale:

• Obsolescenza dei sistemi: I dispositivi OT hanno un ciclo di vita molto più lungo delle controparti IT. Non è raro trovare PLC o HMI operativi da oltre un decennio, basati su sistemi operativi non più supportati (es. Windows XP o 7 Embedded) e privi delle più basilari funzionalità di sicurezza.
• Gestione delle patch: Applicare aggiornamenti di sicurezza a un PLC non è come aggiornare un server. Richiede finestre di manutenzione concordate con la produzione, test di non regressione e, spesso, l'intervento del fornitore della macchina (OEM), che deve certificare la compatibilità della patch.

In questo contesto, una rete piatta espone i sistemi più vulnerabili e critici dell'azienda a minacce comuni, trasformando un problema IT gestibile in una potenziale crisi produttiva.

Riferimenti normativi e standard di settore

Per affrontare questa complessità in modo strutturato, la cybersecurity industriale si basa su framework consolidati e non su iniziative estemporanee.

• Direttiva NIS2: Impone ai soggetti rientranti nel suo ambito di applicazione di adottare "misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi informatici e di rete". La segmentazione di rete è una delle misure fondamentali per raggiungere tale obiettivo.
• Standard IEC 62443: È la famiglia di standard di riferimento a livello internazionale per la sicurezza dei Sistemi di Automazione e Controllo Industriale (IACS). Sviluppata dall'International Society of Automation (ISA) e pubblicata da IEC (International Electrotechnical Commission), fornisce un approccio metodologico completo. In particolare, il concetto di "Zone e Conduit", introdotto in IEC 62443-3-2, è il pilastro della segmentazione OT:
  • Zona: Un raggruppamento logico o fisico di asset che condividono requisiti di sicurezza comuni.
  • Conduit: Il canale di comunicazione tra due o più Zone, attraverso il quale è necessario implementare controlli di sicurezza per proteggere il traffico.
• ENISA: L'Agenzia dell'Unione Europea per la Cybersicurezza pubblica regolarmente guide e buone pratiche per la sicurezza dei sistemi industriali, offrendo raccomandazioni concrete per l'implementazione di misure di protezione in linea con il quadro normativo europeo.

Un modello concettuale spesso utilizzato per applicare questi principi è il Purdue Model, che stratifica la rete aziendale in livelli funzionali, dal campo (Level 0, sensori e attuatori) fino alla rete enterprise (Level 4/5). L'obiettivo della segmentazione è creare barriere controllate tra questi livelli.

Un approccio progettuale per la segmentazione

Un progetto di segmentazione OT/IT in una PMI manifatturiera segue tipicamente un percorso metodico per evitare di interrompere la produzione e massimizzare l'efficacia dei controlli.

Fase 1: Discovery e inventario

Non si può proteggere ciò che non si conosce. Il primo passo è mappare tutti gli asset connessi alla rete di fabbrica. A differenza del mondo IT, dove si usano scanner attivi, in ambito OT si prediligono tecniche di discovery passiva. Strumenti specifici analizzano il traffico di rete (ad esempio, tramite porte SPAN/mirror sugli switch) per identificare i dispositivi, i protocolli utilizzati (es. Modbus, Profinet, S7) e le comunicazioni in atto, senza inviare pacchetti che potrebbero destabilizzare un PLC. L'output è un inventario dettagliato degli asset, fondamentale per la valutazione del rischio.

Fase 2: Zonizzazione e definizione dei conduit

Basandosi sull'inventario e sui requisiti operativi, si applica il modello "Zone e Conduit". Un pattern comune prevede:

• Zona Produzione (OT): Contiene PLC, HMI, Robot e altri dispositivi di controllo diretto del processo (corrispondenti ai livelli 0-2 del Purdue Model).
• Zona Supervisione (SCADA): Ospita i sistemi di supervisione e acquisizione dati.
• DMZ Industriale (IDMZ): È una zona cuscinetto tra la rete IT e quella OT. Qui risiedono i server che necessitano di comunicare con entrambi i mondi, come server historian o terminal server per l'accesso remoto.
• Zona Enterprise (IT): La rete degli uffici, con PC, stampanti e accesso a Internet.

I "conduit" tra queste zone vengono realizzati tramite firewall, idealmente di classe industriale (più robusti e capaci di ispezionare protocolli OT), configurati con una politica "deny-by-default": tutto il traffico è bloccato, tranne le comunicazioni esplicitamente autorizzate e necessarie.

Fase 3: Controllo degli accessi e gestione operativa

Una volta definite le fondamenta, si implementano controlli specifici:

• Accesso remoto sicuro: L'accesso per manutentori esterni o personale IT deve avvenire tramite un bastion host (o jump server) situato nella IDMZ. L'autenticazione a più fattori (MFA) deve essere obbligatoria.
• Backup offline: I progetti dei PLC, le configurazioni delle HMI e il software delle macchine devono essere salvati regolarmente e una copia conservata offline, al riparo da attacchi ransomware.
• Logging centralizzato: I log provenienti da firewall industriali, switch e server critici dell'area OT devono essere inviati a un sistema SIEM (Security Information and Event Management) centralizzato, dove possono essere correlati per identificare pattern anomali specifici del mondo OT (es. un comando di "stop PLC" da una sorgente non autorizzata).

Risultati attesi dalla segmentazione

Un progetto di segmentazione ben eseguito non promette l'invulnerabilità, ma porta benefici qualitativi concreti:

• Riduzione della superficie d'attacco: Isola i sistemi OT critici dalle minacce più comuni provenienti dalla rete IT e da Internet.
• Contenimento degli incidenti: Un'infezione malware nella rete IT viene bloccata dai firewall della IDMZ, senza impattare la produzione.
• Migliore visibilità e controllo: La mappatura degli asset e il monitoraggio dei conduit permettono di sapere chi sta comunicando con cosa, facilitando il troubleshooting e l'identificazione di attività sospette.
• Tracciabilità degli accessi: L'uso di un bastion host consente di registrare tutte le attività svolte da personale interno ed esterno sui sistemi critici.
• Allineamento con la normativa: L'adozione di queste misure costituisce una risposta diretta alle richieste di gestione del rischio avanzate dalla direttiva NIS2 e da standard come ISO/IEC 27001.

Errori comuni da evitare

Il percorso verso una rete OT sicura è costellato di insidie. Tra gli errori più comuni si riscontrano:

• Utilizzare scanner di vulnerabilità IT (es. Nessus, Qualys) sulla rete OT, rischiando il blocco dei dispositivi.
• Imporre policy di patching aggressive, tipiche dell'IT, senza coordinarsi con i responsabili di produzione e i fornitori dei macchinari.
• Utilizzare le stesse credenziali di accesso (spesso deboli o condivise) su più pannelli HMI.
• Trascurare la formazione del personale di produzione, che rappresenta la prima linea di difesa contro errori operativi e tentativi di social engineering.

Quando il "fai da te" non è sufficiente

Sebbene i concetti di base siano chiari, l'implementazione pratica può essere molto complessa. Rivolgersi a un system integrator specializzato diventa cruciale quando:

• L'azienda opera su più siti produttivi, con architetture eterogenee.
• Le linee di produzione sono soggette a convalida (es. settore farmaceutico o alimentare) e ogni modifica richiede un rigoroso processo di change management.
• È necessario interfacciarsi con decine di OEM, spesso esteri, per comprendere le esigenze di connettività di ogni singola macchina.
• Le competenze interne sono focalizzate o sul mondo IT o su quello OT, ma manca una figura in grado di governare la convergenza.

In sintesi

Affrontare la sicurezza OT è una necessità strategica non più differibile per le PMI manifatturiere. I punti chiave da ricordare sono:

• Una rete piatta che unisce IT e OT costituisce un rischio inaccettabile per la continuità del business.
• La segmentazione secondo il modello "Zone e Conduit" (IEC 62443) è la pratica di riferimento per isolare i sistemi industriali.
• Il processo deve iniziare con una fase di discovery passiva, per mappare l'esistente senza creare disservizi.
• La tecnologia (firewall, SIEM) deve essere accompagnata da processi robusti (gestione patch, accessi) e dalla formazione del personale.
• Un approccio strutturato non solo migliora la postura di sicurezza, ma aiuta a soddisfare gli obblighi normativi crescenti, come quelli previsti dalla Direttiva NIS2.

Affrontare la convergenza IT/OT richiede un approccio metodico, che bilanci le esigenze di produzione con i requisiti di sicurezza. Un confronto con specialisti del settore può aiutare a definire una roadmap pragmatica e sostenibile, trasformando un potenziale rischio in un vantaggio competitivo.