C’è un equivoco che resiste ancora, soprattutto fuori dagli stabilimenti: che la cybersecurity industriale sia “solo” un tema IT. In realtà, quando si parla di OT, la sicurezza si misura in termini di disponibilità dei sistemi di produzione, in continuità, in qualità. Nel farmaceutico, però, c’è un livello ulteriore: ogni stabilimento produttivo è parte di un eco-sistema altamente normato, dove ogni modifica richiede verifiche ed evidenze che, in funzione dell’impatto, terminano nelle attività di validazione o riconvalida.
Per questo, la domanda non è soltanto: “siamo protetti?”, ma anche: “Possiamo dimostrarlo?”. In altre parole, possiamo ricostruire cosa è successo, quando, e con quale impatto sui processi?
È in questa prospettiva che si inserisce il percorso di Fidia Farmaceutici, orientato a rafforzare la postura di cybersecurity OT con un approccio capace di conciliare due esigenze spesso in tensione: alzare il livello di sicurezza e intervenire il meno possibile sull’impianto.
OT: il “mondo reale” dove un incidente si sente in fabbrica
Nel mondo IT l’incidente tipico è quello che blocca un servizio o espone un dato. Nell’OT l’incidente può creare ulteriori danni e bloccare l’operatività degli impianti: alterare comportamenti, interrompere sequenze, fermare una linea, complicare la ripresa. E quando l’impatto è fisico e di processo, la cybersecurity smette di essere un capitolo del budget e diventa un capitolo di risk management industriale.
Gli impianti industriali non sono disegnati per seguire i cicli di aggiornamento del mondo IT. Asset con vita utile lunga, sistemi legacy, protocolli industriali, tecnologie stratificate nel tempo: in questi contesti “aggiornare” è un intervento con rischi operativi che va pianificato e gestito.
Nel pharma la domanda non è solo “siamo protetti?” ma “possiamo dimostrarlo?”
In un impianto regolato, resilienza significa anche documentazione e tracciabilità: cosa è cambiato, quando, perché, con quali evidenze. La gestione della sicurezza deve inglobare il concetto di ready for audit, tracciando i change e le ricostruzioni, garantendo nello stesso tempo reattività, evoluzione e governance senza introdurre instabilità.
È per questo che, in molti ambienti OT e soprattutto nei contesti normati, approcci non intrusivi che aumentano visibilità e controllo senza forzare interventi sui sistemi diventano particolarmente adatti: riducono il rischio operativo e aiutano a costruire un modello sostenibile nel tempo.
Il nodo: infrastrutture eterogenee e revamping non sempre praticabile
Molte realtà industriali si trovano in una condizione simile: se da un lato cresce la necessità di visibilità e controllo, che non appare compatibile con asset “datati”, dall’altra l’idea di un revamping completo è poco realistica (o troppo rischiosa per l’operatività). Nel pharma, poi, ogni intervento “pesante” può tradursi in attività aggiuntive di verifica, con impatti su tempi e organizzazione.
La strategia, allora, cambia: invece di inseguire la sicurezza “pezzo per pezzo”, si ragiona top-down. Si parte dal livello gestione infrastruttura e governance, si costruisce un quadro affidabile dell’ambiente OT, si introducono strumenti e processi che permettono di capire cosa c’è, cosa comunica con cosa, cosa è normale e cosa non lo è.
Nel caso Fidia, questa logica ha guidato un percorso strutturato: aumentare controllo e resilienza senza chiedere alla fabbrica di fermarsi.
La leva decisiva: visibilità continua e anomaly detection (senza impattare l’impianto)
C’è un aspetto dell’OT che può diventare un alleato: i processi industriali tendono ad avere un comportamento ripetibile. Flussi di rete, protocolli, sequenze: molte dinamiche sono stabili e prevedibili. Questo rende efficace un approccio basato su monitoraggio continuo e anomaly detection: quando qualcosa cambia, rispetto al flusso standard, verosimilmente è segno che qualcosa non va.
Nel progetto che vede protagonista Fidia questa capacità è stata abilitata attraverso Claroty xDome, con una logica fondamentale per l’OT: osservare l’ambiente in modo passivo, senza “toccare” i sistemi di controllo, e costruire visibilità a partire dal traffico e dai comportamenti.
Tecnologia in breve: Claroty xDome
Claroty xDome combina l’osservazione del traffico OT con tecniche come la Deep Packet Inspection (DPI) e modelli di machine learning per riconoscere pattern di comunicazione e identificare deviazioni significative. In contesti industriali — e a maggior ragione in ambienti regolati — questo significa ottenere informazioni utili per sicurezza e governance con un impatto minimo sull’operatività.
Perché l’anomaly detection nell’OT funziona
Come abbiamo anticipato poco sopra, l’anomaly detection sfrutta una caratteristica strutturale degli ambienti industriali: molti processi sono deterministici. Sequenze, protocolli, frequenze di comunicazione e pattern di scambio dati tendono a essere stabili. Se qualcosa cambia quasi sempre non è “rumore”, ma un segnale da attenzionare.
Nel caso di Fidia il pilastro dell’Anomaly Detection è abilitato tramite Claroty xDome, con un’impostazione coerente con le esigenze OT: osservare, capire, correlare, allertare — senza introdurre instabilità.
1) Monitoraggio passivo: visibilità senza “toccare” l’impianto
Il primo concetto chiave è il monitoraggio passivo del traffico: invece di installare agent sugli asset (cosa spesso impossibile o quantomeno sconsigliata in ambito OT), si intercetta il traffico in punti strategici della rete (tipicamente su nodi di aggregazione), costruendo osservabilità senza impattare direttamente sui sistemi di controllo.
Perché è importante?
Perché nell’OT – e a maggior ragione in un impianto pharma – evitare interventi sugli asset significa ridurre rischio di impatti sul processo e minimizzare attività collaterali.
2) Deep Packet Inspection (DPI): quando non basta vedere, ma occorre capire
Il secondo asset è la Deep Packet Inspection. Nelle reti IT tradizionali spesso basta sapere “chi parla con chi”. In ambito OT questo non basta: serve capire che cosa si sta scambiando, con che protocollo, con quale funzione.
Qui entra in gioco la Deep Packet Inspection (DPI), che non si limita a leggere gli header del traffico, ma analizza anche il payload per:
- riconoscere protocolli industriali e contesti operativi
- identificare ruoli e comunicazioni tipiche tra componenti (es. PLC/HMI/SCADA)
- distinguere un comportamento “atteso” da un’azione anomala o rischiosa
È un cambio di qualità: dalla semplice “network visibility” a una comprensione più profonda del comportamento OT.
3) Machine Learning: costruire una baseline e intercettare deviazioni
La terza gamba è il machine learning, che apprende nel tempo i pattern comportamentali specifici dell’ambiente: frequenze, sequenze, relazioni, volumi e timing. In un mondo deterministico come l’OT, questo consente di evidenziare:
- nuove comunicazioni non previste
- cambiamenti di volume e frequenza anomali
- deviazioni nelle sequenze di comando/risposta
- comportamenti incoerenti con la baseline
E qui arriva una conseguenza pratica: l’anomaly detection non serve solo a “scovare l’attacco”, ma anche a intercettare errori di configurazione, comportamenti inattesi dovuti a modifiche non correttamente gestite, o introduzione di elementi deboli (es. dispositivi rimovibili).
4) Meno falsi positivi grazie al contesto OT
Un tema delicato in ogni sistema di detection è quello dei falsi positivi. In ambito OT è ancora più critico: troppi alert inutili diventano rumore, e il rumore è il nemico della risposta rapida.
Le piattaforme più mature riducono i falsi positivi combinando più elementi: baseline comportamentale, conoscenza specifica OT e correlazioni che danno “significato” agli scostamenti. In sostanza: non basta l’AI, serve un modello specificamente costruito per il dominio industriale.
Cosa cambia quando “vedi” davvero l’OT
Portare visibilità e rilevazione delle anomalie dentro la rete OT non serve solo a “scoprire un problema”. Serve a costruire controllo e migliorare la capacità di gestione quotidiana, perché consente di:
- migliorare la visibilità sugli asset (anche dove il legacy rende difficile intervenire)
- evidenziare deviazioni nei comportamenti di rete e nelle comunicazioni
- supportare attività di governance come inventory, risk analysis e change management
- aumentare la prontezza nella risposta e ridurre il peso del controllo manuale
Qui la sicurezza diventa un abilitatore: non “blocca” la fabbrica, la rende più osservabile e più governabile.
Da progetto a capacità: la sicurezza OT come metodo
L’elemento più interessante del caso non è “la tecnologia in sé”, ma il passaggio culturale dalla sicurezza vista come iniziativa una tantum alla sicurezza come capacità continuativa, parte della gestione dell’impianto.
Nel farmaceutico questo passaggio pesa doppio: non basta rilevare, bisogna anche saper ricostruire, gestire le modifiche con rigore, costruire evidenze utili a processi e audit. In altre parole: sicurezza e governance diventano due facce della stessa medaglia.
Il ruolo di ServiTecno: connettere tecnologia e contesto industriale
In progetti OT la differenza raramente la fa “solo” uno strumento. La differenza la fa la capacità di inserirlo in un percorso coerente con vincoli impiantistici, processi e priorità produttive.
Il contributo di ServiTecno si colloca proprio qui: trasformare obiettivi di sicurezza, continuità e compliance in un percorso praticabile e sostenibile, dove visibilità, segmentazione, monitoraggio e gestione del rischio diventano componenti di una strategia più ampia di resilienza.
Vuoi conoscere il percorso nel dettaglio?
Nel case study completo raccontiamo il progetto passo dopo passo: la logica top-down, l’adozione di Claroty xDome, il valore del monitoraggio passivo e come visibilità e anomaly detection supportano continuità operativa e governance in un contesto farmaceutico regolato.
