Infrastrutture OT sotto attacco: l’analisi di HWG Sababa nel Rapporto Clusit 2025

(Adnkronos) – Questa mattina, in occasione del Security Summit 2025 di Milano, l’Associazione Italiana per la Sicurezza Informatica – Clusit, impegnata dal 2000 nel diffondere la cultura della cybersecurity in Italia, ha presentato il Rapporto Clusit 2025, il quale analizza l’andamento degli attacchi e degli incidenti cyber che nel 2024 hanno colpito l’Italia e il mondo.  I dati analizzati nel Rapporto mostrano un incremento significativo degli attacchi e degli incidenti informatici nell’ultimo anno. Nel 2024, in Italia sono stati registrati 357 incidenti noti di particolare gravità, pari a circa il 39% del totale degli incidenti avvenuti tra il 2020 e il 2024. Gli attacchi cyber sono cresciuti del 15% nel nostro Paese, mentre gli incidenti attribuibili al cybercrime hanno subito un incremento del 40% rispetto all'anno precedente. Tra i settori più colpiti emergono News e Multimedia, Manifatturiero, Governativo e Trasporti e Logistica. In particolare, nei comparti Manifatturiero e Trasporti e Logistica, un quarto degli incidenti globali ha coinvolto realtà italiane. Tuttavia, come sottolineano i ricercatori del Clusit, questi dati rappresentano solo la punta dell’iceberg della minaccia cyber in Italia, poiché molte vittime tendono ancora a non dichiarare gli attacchi subiti. Anche per questo motivo, per affrontare efficacemente questo scenario, è necessaria un’analisi mirata dei target di attacco, che consenta di individuare le vulnerabilità più critiche, di comprendere le modalità operative degli aggressori e di sviluppare strategie di difesa sempre più efficaci e proattive. A questo proposito, l’azienda di cybersecurity HWG Sababa ha contribuito al Report Clusit 2025 fornendo dati e informazioni rilevanti sugli attacchi rivolti agli ambienti industriali e di Operational Technology (OT) grazie alla posizione unica come primario SOC OT gestito in Italia, monitorando la sicurezza OT di grande aziende e infrastrutture critiche italiane e europee. Questi sistemi, che sono particolarmente importanti per le infrastrutture critiche del settore Energy & Utilities e per i settori produttivi del Manifatturiero e dell’Industria alimentare, risultano sempre più spesso un target di interesse per i cybercriminali. Per comprendere meglio lo stato degli attacchi e degli incidenti che colpiscono i sistemi OT, HWG Sababa, attraverso il proprio Security Operation Center (SOC), ha raccolto e analizzato i dati provenienti da diverse multiutility nella regione EMEA e altre realtà OT in Italia.  
Secondo l’analisi di HWG Sababa, la mancanza di una rigorosa segmentazione tra i sistemi IT e OT rappresenta una vulnerabilità critica, poiché facilita la propagazione di minacce informatiche tra le diverse infrastrutture, amplifica la superficie d’attacco ed espone le organizzazioni a rischi elevati. In particolare, si è riscontrato che l’85% degli incidenti di security negli ambienti OT deriva da attacchi diretti ai sistemi IT, che si diffondono attraverso furti di identità, propagazione di malware e configurazioni errate degli accessi da remoto. A conferma di questo trend, è stato rilevato che il 90% dei casi di ransomware che colpiscono gli ambienti industriali ha origine da e-mail di phishing indirizzate al personale IT. Da qui, l’attacco si propaga poi al network OT a causa della limitata o inefficiente segmentazione, tramite meccanismi di autenticazione condivisi o accessi da remoto non adeguatamente protetti o ancora per politiche non mature legate all’accesso ai sistemi da parte dei fornitori esterni. Proprio l’accesso da remoto si rivela un vettore di rischio primario: il 65% delle compromissioni OT è infatti dovuto a VPN o sessioni RDP (Remote Desktop Protocol) vulnerabili.  Le statistiche di HWG Sababa mettono inoltre in luce le difficoltà affrontate dai SOC OT nel distinguere tra attività industriali legittime e comportamenti malevoli. Per esempio, i dati hanno mostrato che il 68% degli alert SOC sono risultati falsi positivi, quindi avvisi di sicurezza che non corrispondevano ad attacchi effettivi, causati principalmente dalla mancanza di documentazione e di dati sui processi industriali. Inoltre, i team SOC faticano a correlare gli alert tra ambienti IT e OT, e faticano a ricevere feedback tempestivi da parte dei vari team coinvolti lato cliente, con tempi di detection e response eccessivamente lunghi: in media, servono oltre 72 ore per identificare e classificare correttamente una compromissione OT.
 Infine, richiede particolare attenzione il tema della formazione sulla cybersecurity OT. Mentre la security awareness IT è ormai un aspetto consolidato in molte aziende, la formazione in ambito OT risulta ancora insufficiente. Questa carenza evidenzia la necessità di iniziative di sensibilizzazione più efficaci e fruibili anche da utenti che lavorano negli ambienti OT, che non hanno un laptop su cui seguire i corsi e simulazioni, e che hanno bisogno di formazione pratica con use case e frontale, ad esempio associata ai corsi di safety.  In conclusione, Alessio Aceti, CEO di HWG Sababa, evidenzia il valore delle evidenze emerse dal focus realizzato per il Rapporto Clusit 2025, sottolineando che “la sicurezza degli ambienti OT non può più essere considerata un tema secondario. È fondamentale adottare un approccio proattivo, investendo prima di tutto in una governance adeguata, in policies e procedure per gli ambienti OT, a partire da un asset management efficiente fino ad arrivare al tema della risposta agli incidenti e alla gestione della supply chain. Fondamentale anche il focus sull’implementazione di servizi di monitoraggio SOC verticali e competenti sui temi OT. Infine, è importante investire in tecnologie di protezione avanzate e promuovere una maggiore consapevolezza del rischio, per prevenire impatti potenzialmente in grado di compromettere operatività e sicurezza”. “Contribuire al Rapporto Clusit 2025 ha rappresentato per la nostra azienda un'importante opportunità strategica – prosegue Aceti – Non solo abbiamo avuto un ruolo attivo nel delineare il panorama attuale della sicurezza informatica, ma abbiamo anche raccolto preziose informazioni e approfondito le tendenze emergenti, consolidando così la nostra capacità di affrontare le sfide future con una preparazione ancora più solida e mirata”. —tecnologiawebinfo@adnkronos.com (Web Info)