La sicurezza IT e la sicurezza OT sono spesso considerate due facce della stessa medaglia, ma con differenze profonde che vanno ben oltre la tecnologia. L’IT si occupa prevalentemente della protezione dei dati, garantendo la riservatezza, l’integrità e la disponibilità delle informazioni. L’OT, invece, è focalizzato sulla continuità operativa, la sicurezza fisica e l’efficienza degli impianti. Le due modalità di protezione hanno quindi obiettivi e finalità diversi, dei quali bisogna tenere conto nella creazione di una strategia di cybersecurity e cyber resilience.
Una distinzione che, se ignorata, conduce a una percezione errata: molte aziende continuano a considerare l’OT una semplice estensione dell’IT, lasciando scoperti aspetti fondamentali come la protezione delle infrastrutture critiche e la gestione dei rischi operativi. Un recente report di Fortinet evidenzia come, nel 2024, un numero sempre maggiore di sistemi OT sia stato violato, con un impatto significativo sulle operazioni, sulla produttività e anche sull’immagine aziendale.
OT security: oggi più che mai anche una questione di compliance
Oltre agli aspetti legati al rischio vero e proprio, che in realtà dovrebbero già costituire una leva decisionale più che sufficiente, oggi la protezione degli impianti e dei macchinari è anche una questione normativa. La Direttiva NIS2, entrata in vigore recentemente, ha ampliato la tassonomia delle infrastrutture critiche, fornendo indicazioni che evidenziano la necessità di un approccio integrato. Eppure, l’IT, quando ha in carico anche la sicurezza OT, tende spesso a gestirla con superficialità, limitandosi alla punta dell’iceberg delle problematiche: la protezione da intrusione attraverso firewall perimetrali o una blanda serie di policy. L’obsolescenza dei sistemi e una documentazione spesso inadeguata, per fare due esempi, sono uno scenario purtroppo tipico per le aziende italiane.
La gestione OT: un problema di ownership
Uno dei principali nodi riguarda la responsabilità. Deloitte sottolinea che, nonostante l’OT sia esplicitamente incluso nella Direttiva NIS2, è ancora parzialmente scoperto. Le realtà industriali si trovano spesso in una situazione in cui l’IT dichiara di aver preso in carico la sicurezza dell’OT, ma senza affrontarne realmente la complessità. La gestione dell’OT è spesso marginalizzata, lasciata a un livello superficiale che non tiene conto delle esigenze specifiche del settore.
L’approccio superficiale è in parte dovuto alla difficoltà di comunicazione fra i due contesti e alla carenza di professionalità specializzate nella sicurezza degli impianti. L’IT spesso percepisce l’OT come un sottoinsieme delle sue competenze, ma ne ignora aspetti critici come protocolli specifici, il bisogno di lavorare su latenze ordini di grandezza più basse e tempi di recovery più lunghi. Al contrario, l’OT spesso considera le richieste dell’IT come intrusioni in un ambiente già consolidato e resiste a cambiamenti percepiti come non necessari. La realtà è che entrambe le parti devono evolversi: la convergenza tra IT e OT non è più un’opzione, ma una necessità strategica.
Normative e responsabilità: la nuova era della sicurezza OT
La Direttiva NIS2 introduce nuove responsabilità per il management aziendale, che non può più delegare la gestione della cybersecurity senza avere contezza di quanto accade. La sicurezza OT, infatti, riguarda la continuità del servizio, con impatti diretti sulla produttività e sulla redditività.
Un esempio emblematico è il tema della notificazione degli incidenti. La normativa prevede una relazione continua e continuativa tra il Security Operations Center e l’Agenzia per la Cybersicurezza Nazionale, ACN. Questo implica sia la definizione accurata degli asset e delle loro priorità, sia l’intervento tempestivo per verificare che il vettore d’attacco non si ripresenti. Creare un’infrastruttura di comunicazione adeguata tra SOC e ACN è una sfida che richiede investimenti, policy precise e procedure ben definite.
Inoltre, la Direttiva spinge verso una maggiore consapevolezza del rischio informatico. Se un tempo il disaster recovery poteva essere considerato un tema esclusivamente IT, oggi è evidente che l’OT deve essere parte integrante di queste strategie. La continuità operativa non è banale: richiede risorse, competenze e una logica di miglioramento continuo.
Il costo della sicurezza: una questione di opportunità
La sicurezza, sia IT sia OT, è spesso vista come un costo aggiuntivo, un peso che grava sui bilanci aziendali. Tuttavia, il fermo operativo derivante da un incidente può causare perdite economiche ben più gravi. La consapevolezza del rischio è il vero motore che dovrebbe orientare le decisioni: cosa si perde se l’impianto si ferma? E come trasformare la sicurezza in un’opportunità?
Strumenti come Octoplant e Claroty offrono soluzioni specifiche per la gestione e la protezione degli ambienti OT, consentendo una maggiore visibilità sugli asset e riducendo i rischi legati all’obsolescenza e alla mancanza di aggiornamenti. Tuttavia, queste tecnologie devono essere accompagnate da un cambio di mentalità. La gestione della sicurezza OT deve andare oltre la punta dell’iceberg spesso percepita dall’IT e diventare un’attività strategica e indispensabile.
Un cambiamento necessario
La sicurezza OT non può più essere considerata un’appendice dell’IT. La complessità dei sistemi operativi industriali richiede un approccio dedicato, che tenga conto delle loro specificità e delle nuove normative. La Direttiva NIS2 faciliterà senza dubbio un passo avanti, ma le aziende devono andare oltre la conformità normativa e adottare una visione strategica che integri una buona sicurezza OT nelle strategie aziendali. La chiave è nella consapevolezza: solo conoscendo a fondo l’intero iceberg della sicurezza OT è possibile affrontarne le sfide e coglierne le opportunità.
