Le reti energetiche sono un tipico esempio di infrastruttura critica la cui compromissione, dovuta a interruzioni di operatività per effetto di attacchi informatici, porta effetti a catena su una serie di utenze/componenti, con danni che possono risultare anche gravi nella continuità del servizio.
In questo ambito, la criticità principale risiede nella difficoltà delle misure di sicurezza nel tenere il passo con la rapida convergenza tra ambienti IT e OT, sempre più interconnessi e integrati. Questa integrazione comporta un ampliamento della superficie di attacco, mentre le problematiche di cybersecurity emergono in modo evidente su più livelli: tecnico, operativo e organizzativo.
A tal proposito, è particolarmente significativa una recente analisi condotta su oltre 100 sistemi energetici — tra cui sottostazioni, centrali e centri di controllo — che ha evidenziato rilevanti carenze di sicurezza informatica nelle reti di tecnologia operativa (OT) presenti in questi impianti. L’indagine mette in luce le sfide legate alla protezione di infrastrutture spesso obsolete e di architetture di rete complesse, che, nel contesto della crescente convergenza tra IT e OT, espongono a rischi significativi.
Tra le vulnerabilità a livello tecnico, sono stati riscontrati in molti casi dispositivi privi di patch, connessioni esterne non sicure, segmentazione della rete debole o addirittura inesistente e inventari incompleti degli asset. Una serie di debolezze e vulnerabilità che sono state chiaramente identificate nel giro di pochi minuti dalla connessione alla rete. Numerosi dispositivi sono risultati operare con firmware obsoleto contenente vulnerabilità note (situazione non causata solo da scarsa consapevolezza ma a volte anche da incompatibilità con il software installato sui dispositivi); inoltre, in diverse installazioni sono state individuate connessioni TCP/IP esterne non documentate. Sono stati riscontrati anche servizi non sicuri o superflui ancora attivi, come sistemi di condivisione file inutilizzati o funzioni di debug dei PLC prive di adeguate protezioni.
Altro tema dolente riguarda inoltre la presenza in molte strutture di un’unica grande rete piatta, che consente comunicazioni illimitate e incontrollate tra centinaia di dispositivi. Una tipologia di architettura che aumenta drasticamente il raggio d’impatto di eventuali incidenti informatici, lasciando piena libertà d’azione per i movimenti laterali degli attaccanti. Una corretta strategia di sicurezza della rete aziendale richiede invece un controllo degli accessi basato sui ruoli e un’attenta integrazione dei flussi di lavoro specifici all’interno dell’architettura di sicurezza informatica.
Molto comune anche la presenza di dispositivi connessi, come telecamere IP, stampanti e dispositivi di automazione non tracciati, che spesso vengono inseriti in rete senza nemmeno essere documentati negli inventari delle risorse, creando gravi punti ciechi nella postura di sicurezza informatica dell’infrastruttura.
A tale riguardo, occorre rimarcare come molti di questi dispositivi funzionino senza sistemi operativi standard, il che rende impossibile installare software di rilevamento e difesa degli endpoint. In ambiti con tecnologie operative così complessi è quindi necessario fare ricorso a funzionalità di rilevamento e risposta che devono essere implementate a livello di rete, con soluzioni e strumenti NDR, Network Detection & Response. Essenziale per la sicurezza di queste infrastrutture è altresì garantire un inventario accurato degli asset, grazie all’adozione di metodi sia passivi che attivi per la loro individuazione automatizzata. In questo caso, la combinazione di tecniche passive e attive può fornire un inventario completo e aggiornato di tutti gli asset presenti, recuperando anche dati essenziali come le versioni del firmware installato sui dispositivi e il diagramma delle comunicazioni fra apparati.
Sono emersi anche numerosi fattori organizzativi critici, che aggravano ulteriormente il rischio informatico nelle grandi infrastrutture critiche. Tra questi, la scarsa definizione dei confini di responsabilità tra team IT e OT e la limitata disponibilità di risorse, con una carenza di personale dedicato alla sicurezza OT. L’analisi mostra infatti come in molte organizzazioni i reparti IT restino responsabili anche della sicurezza OT (pur dovendo interloquire con responsabili OT poco avvezzi né inclini alla sicurezza), applicando un modello che fatica a soddisfare i requisiti specifici di sicurezza degli ambienti operativi connessi alla rete. Sono stati infine rilevati diversi problemi funzionali e operativi, tra cui errori di sincronizzazione temporale — che spaziano da semplici configurazioni errate a dispositivi impostati su fusi orari sbagliati o con timestamp predefiniti — oltre a criticità nella ridondanza di rete. Nel loro insieme, tali problematiche incidono sull’affidabilità complessiva del sistema.
Nel complesso, il quadro delle vulnerabilità emerse evidenzia l’urgenza di adottare strategie di sicurezza condivise, capaci di garantire una protezione efficace delle infrastrutture critiche, oggi sempre più caratterizzate dall’integrazione tra ambienti IT e OT. Ciò richiede l’implementazione di processi chiari e di strumenti di monitoraggio specifici per le attività che transitano attraverso la rete aziendale.