La cybersecurity industriale secondo Nozomi

La trasformazione digitale dell’industria ha reso le infrastrutture OT e i dispositivi IoT sempre più connessi – e, di conseguenza, più esposti. In questo scenario in rapida evoluzione, la cybersecurity non può più essere vista come una componente accessoria, ma come un elemento strategico per garantire continuità operativa e tutela degli asset critici. Proprio in questo contesto si inserisce l’attività del team di Nozomi Networks, vendor che opera seguendo un approccio fortemente proattivo, basato su innovazione, threat intelligence e una profonda conoscenza del panorama OT/IoT.

“Abbiamo un team organizzato in due aree complementari. Da un lato, il gruppo che si occupa di innovazione si dedica alla ricerca attiva di vulnerabilità, analizzando fisicamente i dispositivi dei clienti e le nuove tecnologie per individuarne i punti deboli. Non si tratta di una semplice analisi teorica, ma di un lavoro concreto e operativo che porta all’identificazione di vulnerabilità reali, le quali vengono poi comunicate ai vendor per l’implementazione di fix e ai clienti per migliorarne la consapevolezza. Dall’altro lato, il team di threat intelligence svolge un lavoro costante di monitoraggio del panorama delle minacce, con un focus particolare sul settore industriale. Le fonti sono molteplici: dati pubblici, telemetria raccolta dai clienti, automazioni interne e partnership strategiche con alcune aziende leader. L’obiettivo è uno solo: anticipare le minacce prima che si trasformino in incidenti”, spiega Alessandro Di Pinto, Sr. Director of Security Research di Nozomi Networks.

Le minacce in corso e la spinta delle normative

Il report semestrale di Nozomi offre uno spaccato della situazione in Italia. Gli attacchi di manipolazione dei dati hanno dominato nel periodo, rappresentando oltre il 36% degli alert ricevuti. A seguire le tecniche relative a credenziali predefinite e account validi, associate all’uso improprio degli accessi predefiniti per stabilire quello iniziale.

Le minacce principali restano i ransomware, che continuano a evolversi non solo dal punto di vista tecnico, ma anche come modello di business, con gruppi criminali che vendono le loro infrastrutture come servizio. Si osserva inoltre una crescita degli attacchi DDoS (+30), spesso motivati da tensioni geopolitiche, con bersagli di rilievo tra le infrastrutture critiche italiane, come aeroporti e ministeri. Relativamente alle botnet, il numero di dispositivi compromessi
in Italia appare dinamico, con picchi associati all’aumento dell’attività delle stesse botnet. Un altro tema emergente è poi quello dell’uso dell’intelligenza artificiale per scopi malevoli, come nel caso delle truffe vocali basate su imitazioni generate da AI.

Passando alle contromisure, la direttiva europea NIS2 rappresenta un elemento di spinta centrale: impone alle aziende l’obbligo di segnalare gli incidenti di sicurezza, favorendo così una maggiore trasparenza e una migliore capacità di risposta a livello sistemico. Tuttavia, permangono criticità importanti, come la vulnerabilità delle reti wireless industrial o sistemi trascurati e lasciati esposti a rischi che appaiono banali da risolvere ma che sono gravi, come l’utilizzo di password di default. In tale scenario una delle maggiori sfide per le imprese italiane è l’implementazione concreta della sicurezza nei contesti OT e IoT. Le difficoltà sono molteplici: la presenza di sistemi legacy rende difficile qualsiasi tipo di aggiornamento.

A questo si aggiunge l’assenza di competenze interne specifiche, che spinge sempre più aziende a rivolgersi a fornitori esterni per servizi gestiti di monitoraggio. Tuttavia, la gestione attiva della remediation – ovvero l’intervento diretto sui sistemi – resta in gran parte una responsabilità interna, per via delle implicazioni operative e delle elevate responsabilità associate agli impianti industriali.

L’interesse per la sicurezza OT/IoT è comunque in costante crescita, e le aziende iniziano ad allocare budget più consistenti. “Ma la consapevolezza, da sola, non basta: è necessario “iniettare questa consapevolezza dentro i workflow operativi”, integrando la sicurezza nei processi quotidiani e superando le divisioni organizzative che spesso separano i team di sicurezza da quelli che si occupano di operations o acquisti”, aggiunge Davide Ricci, Regional Sales Director, Italy di Nozomi Networks

Insomma, il mercato resta altamente frammentato, con tecnologie eterogenee e cicli di vita molto lunghi. In questo contesto, Nozomi si propone come abilitatore della visibilità e del monitoraggio: due elementi chiave per costruire una strategia difensiva realmente efficace. Con il modello a canale, basato su partner tecnologici, che consente di scalare le capacità operative e di portare valore anche in ambienti complessi. Con settori che sono più avanti e altri che stanno recuperando.

“Quelli più avanti nella maturità della sicurezza OT sono le infrastrutture critiche – come le utility e l’oil & gas – seguiti dal manifatturiero e la sanità, con la spinta della compliance. Il terziario sta invece iniziando solo ora ad affrontare seriamente il tema”, sottolinea Ricci. Ma è chiaro che, al di là degli obblighi normativi, la cybersecurity industriale deve diventare un investimento strategico e continuativo, in grado di generare valore anche in termini di resilienza operativa, per un contesto in cui non si può partire solo da una visione della sicurezza tecnica o normativa, ma anche profondamente legata agli obiettivi di business. Laddove la vera sfida non è solo proteggere i sistemi, ma farlo senza fermare produzione e operatività.