Tra malware, DDoS, intrusioni hacker e fughe di dati, poche aziende industriali italiane dormono sonni tranquilli: nel 2024 il 90% ha vissuto almeno un episodio di attacco o incidente informatico. Un nuovo report di Kaspersky conferma come l’industria sia particolarmente esposta al rischio cyber, fra oggetti Internet of Things non sempre gestiti, sistemi di Operational Technology non aggiornati (e magari non aggiornabili), rischi più propriamente legati all’IT e la variabile fuori controllo del fattore umano.
Una conferma, appunto, perché l’ascesa del settore manifatturiero tra i bersagli degli attaccanti informatici è una tendenza emersa negli ultimi anni e anche relativa all’Italia, come mostra l’ultimo “Rapporto Clusit” (in cui si legge che nel 2024 un quarto degli incidenti cyber avvenuti nel settore manifatturiero ha riguardato aziende italiane).
Tornando allo studio di Kaspersky, dalle interviste realizzate su decision maker C-Level e di livello superiore che operano nel settore industriale è emerso che nel 90% delle aziende del campione c’è stato almeno un incidente di cybersecurity nei 12 mesi precedenti, e in oltre un terzo dei casi (35%) è stato un episodio di gravità elevata. Il 57% delle aziende ha dovuto affrontare due o tre nel corso dell’anno e ben l’80% è stato oggetto di tentativi di furto di informazioni (proprietà intellettuale o segreti commerciali).
Tra rischi cyber e fattore umano
Le principali minacce percepite sono i malware tesi a compromettere i sistemi di automazione (problema citato dal 20% degli intervistati) e i ransomware che bloccano le attività di produzione (17%), ma si temono anche gli attacchi DDoS (19%), ugualmente problematici per la continuità operativa delle aziende industriali. Il fattore umano entra in gioco in vari modi, attraverso il rischio di comportamenti malevoli così come di disattenzioni o negligenze: il 21% degli intervistati teme azioni “fisiche”, come intrusioni o manomissioni di apparecchiature, il 18% intravede rischi nella supply chain. In particolare, l’86% pensa che la propria catena di fornitura sia vulnerabile agli attacchi informatici (e il 43% la ritiene molto vulnerabile) perché connessa, automatizzata e inclusiva di tecnologie legacy, a volte ormai obsolete.
Guardando, invece, alle possibili conseguenze di un cyberattacco nel settore industriale, gli intervistati hanno citato al primo posto la compromissione della qualità del prodotto e la riduzione dell’efficienza operativa (70%), e a seguire le interruzioni delle attività o della produzione, che comportano perdite finanziarie e danni alla reputazione (65%), e ancora la violazione della proprietà intellettuale (62%), interruzioni della supply chain (60%) e sanzioni legate alla mancata conformità normativa (56%).
Cesare D’Angelo, general manager Italy, France & Mediterranean di Kaspersky
Reagire non basta
Come si sono attrezzate le aziende industriali per proteggersi? L’indagine di Kaspersky suggerisce la prevalenza di un approccio reattivo, anziché un focus sulla prevenzione degli attacchi o, ancor meglio, un intreccio delle due cose. Nel campione d’indagine, gli investimenti in sicurezza informatica hanno riguardato soprattutto la protezione degli endpoint (23%), il controllo degli accessi e la gestione delle identità (22%), la risposta e il ripristino (21%), firewall e rilevamento delle intrusioni (21%) oltre alle soluzioni per l'adeguamento alle normative (24%).
Ad amplificare le citate sfide – cioè attacchi malware, DDoS, rischi legati al fattore umano, alla supply chain e a sistemi legacy – ci sono diffuse difficoltà nella comprensione tecnica della cybersecurity, una scarsa cultura sul tema e nuove tecnologie che introducono nuovi rischi. Quasi metà delle aziende, il 47%, ha anche difficoltà nel quantificare il rischio, per esempio non riesce a valutare l'impatto di un incidente IT sui tempi di attività della produzione, sui ricavi e sulla reputazione. Il 33% degli intervistati, inoltre, pensa che nella propria azienda non ci siano sufficienti competenze in cybersicurezza.
Come sottolineato da Kasperksy, è quasi come se le aziende si fossero rassegnate all’idea di subire un attacco. “Nel settore industriale le aziende italiane sono rassegnate all’inevitabilità di subire una violazione e di conseguenza si preparano ad affrontare i cyberattacchi piuttosto che prevenirli”, ha commentato Cesare D’Angelo, general manager Italy, France & Mediterranean di Kaspersky. “La loro attenzione si sta, infatti, spostando dalla prevenzione alla risposta agli incidenti e al controllo dei possibili danni. Questo approccio reattivo non è sostenibile nel lungo periodo. Le aziende industriali devono passare da una mentalità di fatalità a una di prevenzione. Investendo negli strumenti giusti, nella formazione e nella threat intelligence, possono mettere in sicurezza la propria attività, proteggere la supply chain e garantire una resilienza a lungo termine di fronte all'evoluzione delle minacce informatiche”.
In effetti, un buon 88% di aziende manifatturiere, nel campione d’indagine dispone effettivamente di soluzioni di threat intelligence, che aiutano a vulnerabilità presenti nei più diffusi sistemi industriali di controllo. La threat intelligence, quindi, serve alle aziende per capire dove potrebbero essere colpite e come porre rimedio alle vulnerabilità con un’azione preventiva.
“Adottare un approccio che integri analisi, strategia, tecnologia e formazione è fondamentale per proteggere le infrastrutture industriali dalle minacce informatiche”, ha suggerito D’Angelo. “Il primo passo consiste in un’analisi approfondita delle vulnerabilità, che permette di individuare i punti critici e stabilire le priorità di intervento. Un audit dettagliato aiuta a comprendere dove sono i rischi maggiori, definire la strategia da adottare e scegliere le soluzioni più adatte per mitigarli. Una volta mappata l’esposizione delle minacce, è fondamentale adottare strumenti avanzati per proteggere l’infrastruttura industriale. Inoltre, le aziende devono prevedere programmi di formazione per tutti i dipendenti così da non trascurare i pericoli derivanti dall’errore umano”.