Segmentazione OT/IT nel manifatturiero: come fare

In breve

• Nelle PMI manifatturiere convivono due mondi: l'IT (uffici, ERP, posta) e l'OT (macchinari, PLC, robot, sensori). Storicamente separati, oggi sempre più connessi.
• Connetterli senza segmentare è il modo più comune di farsi distruggere da un ransomware: l'attacco parte dalla mail di un impiegato e ferma la linea di produzione.
• La segmentazione OT/IT non è opzionale: è il primo passo concreto per essere conformi a NIS2 e proteggere il fatturato.
• Un progetto tipico: 2-4 mesi, 30-80 mila euro, e abbatte drasticamente il rischio di fermi produzione da attacco.
• Si lavora a strati: zone, conduit, firewall industriali, monitoring dedicato, accessi controllati.

Lo scenario tipico

Immaginate una PMI metalmeccanica da 60 dipendenti, 25 milioni di fatturato, 2 stabilimenti.

In ufficio: PC, gestionale, posta, server file. Tutto su una LAN.

In produzione: 15 macchine CNC, 3 robot, 4 PLC che gestiscono il magazzino automatico, telecamere, sensori IoT per il monitoraggio energia. Tutto sulla stessa LAN dell'ufficio, perché "così è più semplice e ci serve l'accesso da remoto del fornitore".

Risultato: una mail con allegato malevolo aperta da un addetto contabile può:

• Cifrare i file dell'ufficio,
• Da lì, raggiungere i PLC,
• Bloccare la produzione per giorni.

Non è uno scenario teorico. È quello che è successo a centinaia di aziende italiane negli ultimi 3 anni.

Cosa significa "segmentare OT/IT"

Significa creare zone di rete separate, con regole chiare su cosa può passare da una zona all'altra. Un modello di riferimento è il Purdue Model, semplificato:

• Livello 5 — Cloud / Internet: SaaS, posta, web.
• Livello 4 — IT aziendale: ERP, CRM, posta interna, file server.
• Livello 3 — DMZ industriale: zona di scambio tra IT e OT (storici dati, MES, jump server).
• Livello 2 — Supervisione OT: SCADA, HMI.
• Livello 1 — Controllo OT: PLC, RTU.
• Livello 0 — Field: sensori, attuatori, motori.

Tra ogni livello c'è un controllo (firewall, data diode, gateway). Niente passa per "default".

I 7 step concreti per una PMI manifatturiera

1. Inventario completo

Cosa avete in produzione? Marca, modello, firmware, indirizzo IP, chi lo usa. Spesso manca a tutti. Senza inventario non si segmenta.

2. Mappatura flussi

Quali macchine devono comunicare con quali server? Quali fornitori si collegano? Quali porte/protocolli (Modbus, OPC-UA, Profinet) servono davvero? Strumenti utili: Wireshark, Nozomi, Claroty.

3. Definizione zone

Tipica suddivisione per una PMI:

• Zona uffici (IT classica).
• Zona DMZ industriale.
• Zona produzione "macchine" (CNC, robot).
• Zona produzione "infrastruttura" (PLC, magazzino automatico).
• Zona ospiti/fornitori (accessi temporanei).

4. Firewall industriali

Dispositivi specifici per ambienti OT (Stormshield, Fortinet, Siemens, Hirschmann). Differenze rispetto ai firewall IT: capiscono i protocolli industriali, sopportano condizioni difficili, non si riavviano spesso.

5. Accessi remoto sicuri

Mai più "il fornitore si collega in TeamViewer al PC che ha vicino al PLC". Si usa una VPN dedicata, con MFA, log e sessione registrata. Strumenti: Cyberark, Wallix, Bomgar.

6. Monitoring OT dedicato

Strumenti che capiscono cosa è normale e cosa no nel traffico OT. Anomalia tipica: PLC che a mezzanotte parla con un IP esterno. Va bloccato e indagato.

7. Backup e ripristino macchine

I programmi PLC, i parametri delle macchine, le ricette di produzione vanno backuppati. Quando una macchina si rompe (o viene attaccata), poter ripristinare in ore invece che in giorni vale soldi veri.

Tempi e costi tipici

Per una PMI manifatturiera media:

• Assessment e progetto: 4-8 settimane, 8-15 mila euro.
• Realizzazione (firewall, segmentazione, jump server): 8-16 settimane, 25-60 mila euro.
• Monitoring OT: 5-15 mila euro/anno di canone.
• Manutenzione e gestione: 3-8 mila euro/anno.

Confronto: un fermo produzione da ransomware costa tipicamente 50-300 mila euro per una PMI media. L'investimento si ripaga in un singolo incidente evitato.

Errori da non fare

• "Lo facciamo dopo": ogni nuova macchina installata nel mucchio rende il futuro più complesso. Iniziate adesso, anche con un perimetro ridotto.
• Firewall IT al posto di firewall OT: i protocolli industriali sono diversi. Un firewall IT li blocca senza capirli, generando guasti misteriosi.
• Niente coinvolgimento del Direttore di Produzione: se il responsabile OT non è dentro al progetto, non funzionerà. La segmentazione cambia abitudini di lavoro.
• Sottovalutare i contratti coi fornitori macchine: spesso le clausole obbligano a tenere accessi remoti aperti. Vanno rinegoziati.

NIS2 e segmentazione

Per una PMI manifatturiera che ricade in NIS2 (e sono moltissime), la segmentazione OT/IT è una delle misure tecnico-organizzative attese. ACN nei suoi audit chiederà:

• Mappa della rete.
• Politica di segmentazione.
• Inventario asset OT.
• Procedure di gestione fornitori per accessi remoti.
• Backup macchine e test di ripristino.

Iniziare oggi significa essere pronti senza fretta.

Approfondimenti

• NIST SP 800-82r3 — Guide to OT Security
• IEC 62443 — Cybersecurity for Industrial Automation
• ACN — Sicurezza OT per le PMI

In sintesi

La segmentazione OT/IT non è "un progetto di rete avanzato". È la mossa che salva una PMI manifatturiera dal fermo produzione di una settimana per ransomware. Si fa in 2-4 mesi, costa quanto evitare un singolo incidente serio, e mette in regola con NIS2. Se non l'avete ancora fatto, oggi è il momento.