Cybersecurity industriale: con le nostre soluzioni portiamo lo zero trust nel mondo OT. Parla TxOne Networks

La strategia zero trust applicata alla cybersecurity industriale può essere paragonata al distanziamento sociale sperimentato durante la pandemia: evitando i contatti con l’esterno, si riduce il rischio di prendere il virus. «È un concetto di zero trust diverso da quello applicato nel mondo IT», chiarisce Marcello Romeo, presales manager South Europe di TxOne Networks. «Nell’information technology questa espressione identifica soluzioni che autorizzano gli utenti con il minor privilegio possibile. Nell’OT non c’è utente, ma solo macchine che erogano servizi all’interno di un impianto. E in questo caso, zero trust vuol dire autorizzare solo le macchine critiche ma in modo protetto».

TxOne Networks, guidata da Terence Liu, è una multinazionale taiwanese specializzata in soluzioni di protezione informatica specifiche per gli ambienti OT, quindi per la produzione, e adotta una strategia tecnologica zero trust pensata per ridurre tutte le vulnerabilità della produzione, a livello di singolo macchinario, di sistema, o di rete. I software proteggono l’esistente da tutti gli elementi esterni, considerati automaticamente un rischio. Un sistema adeguato anche a far fronte alle vulnerabilità legate all’errore umano o ai sabotaggi.

«Una nostra ricerca del 2024 evidenza che il fattore umano è coinvolto nel 60 per cento degli attacchi cyber che avvengono nelle industrie produttive» segnala lo stesso Romeo. L’esposizione al fattore umano è sottolineato un po’ da tutti i report. Per questo motivo, il Rapporto Clusit 2025 evidenzia come oltre alle tecnologie di sicurezza avanzate abbia un ruolo cruciale la formazione del personale. Gli attacchi, fra l’altro, sono in crescita e negli ultimi anni proprio le imprese della manifattura sono un bersaglio frequente dei cybercriminali. Se tutto questo non bastasse a convincere le aziende ad attrezzarsi per tempo, stanno diventando sempre più stringenti anche gli obblighi normativi.

Sintetizza Matteo Marconi, ceo e technical director di Ac&e, laboratorio accreditato e organismo notificato a livello internazionale specializzato nella conformità tecnica per l’export di macchinari e impianti con competenze specialistiche in cybersecurity industriale: «le imprese italiane hanno imminenti scadenze legate all’applicazione della Nis2. Ma nel 2026 usciranno le nuove norme per la sicurezza delle macchine, e poi ci aspetta il 2027 con il nuovo regolamento macchine e il Cyber Resilience Act, che coinvolge i costruttori di componenti ma anche i costruttori di macchinari».

A Sps Italia 2025 un evento dedicato alla industrial cybersecurity ha fornito una panoramica dei nuovi regolamenti, con il ceo di Ac&e Matteo Marconi, e ha poi presentato le soluzioni tecnologiche di TxOne Network per prevenire il rischio cyber nel settore del manufacturing.

Gli attacchi informatici in crescita, nel mondo OT le vulnerabilità sono legate al fattore umano e all’integrazione con l’IT

Il contesto è quello descritto dal Rapporto Clusit 2025: a livello internazionale, gli attacchi nel 2024 sono stati 3541, con una crescita del 27,4%, superiore alle previsioni. La progressione è continua dal 2020: gli eventi degli ultimi cinque anni (2020 – 2024) sono più della metà (56%) degli incidenti classificati in totale dal 2011. Un dato particolarmente rilevante riguarda l’impatto degli attacchi. Il 79% delle azioni di pirateria informatica ha avuto conseguenze gravi o gravissime. In Italia si è verificato il 10,1% degli incidenti registrati a livello globale, con un aumento degli attacchi del 15,2%, e «l’85 per cento degli incidenti OT ha origine da ambienti IT – segnala Matteo Marconi -. Solo il 7% è rappresentato da minacce OT native per colpire il plc. Il resto arriva dall’IT, e spesso parte da una mail di phishing».

TxOne Network approfondisce in particolare alcuni aspetti legati agli ambienti della produzione. «Nella nostra indagine annuale abbiamo interpellato 400 aziende, fra cui 150 europee. Il 66% degli attacchi nasce da vulnerabilità che riguardano il personale dell’automazione, il 52% dagli addetti alla manutenzione, il 50% dalla supply chain – segnala Romeo -. Le aziende si devono difendere da se stesse». Fra i settori più colpiti, energia, manifattura, healthcare.

Evidentemente, alla questione tecnologica si sovrappone quello che potremmo definire fattore culturale, legato alla capacità delle persone di difendersi dal cybercrimine. Le tecniche come il phishing o il social engineering sono praticate da molti anni, la svolta più recente è legata alla necessità di proteggere anche gli impianti produttivi della fabbrica connessa 5.0.

Il quadro normativo, non c’è sola la direttiva europea Nis2, fra il 2026 e il 2027 le imprese dovranno adeguarsi al nuovo regolamento macchine

Proprio sui macchinari industriali si sta complicando anche il quadro legislativo. «Le normative statunitensi sono più semplici, o per meglio dire meglio numerose, quindi è più agevole la compliance – sottolinea Marconi -. La Nfpa79, lo standard per l’industrial machinery, è già in vigore in 17 stati Usa, ed entro la fine del 2025 diventerà un obbligo in tutti gli Stati Uniti. Prevede una prima fase di assessment, quindi una certificazione, e la documentazione dell’assessment deve accompagnare la macchina presso l’installazione finale. Anche i componenti devono essere certificati per il mercato Usa. Ci sono poi altre normative specifiche per i settori, ad esempio per le macchine per il packaging, o le nuove norme sulle isole robotizzate».

In Europa, come detto, il contesto è maggiormente frammentato. Per le imprese italiane, Marconi cita tre appuntamenti fondamentali. Gli obblighi della direttiva europea Nis2 sono appena agli inizi, dopo la fase di registrazione da parte delle imprese e dei soggetti obbligati che si è conclusa a fine febbraio ora segue quella di aggiornamento dei dati, che era prevista entro il 31 maggio ed è invece slittata al 31 luglio 2025. «Siamo stati fra i primi in Europa a recepirla» segnala il ceo di Ac&e, e questo consente alle imprese di portarsi avanti perché «le cose che facciamo adesso sono adempimenti previsti anche dal nuovo Regolamento Macchine». Il riferimento è a un’altra normativa europea, 2023/1230, destinata a sostituire la Direttiva Macchine 2006/42/C con l’entrata in vigore nel gennaio 2027, ma con alcune norme già applicabili nel corso del 2026.

Dunque, contesto normativo complicato, necessità di diffondere la cultura della sicurezza informativa, ma non solo. «Il processo della cybersecurity parte dalle persone, passa attraverso le policy, ma alla fine ci serve la tecnologia».

Dal punto di vista tecnologico, i software di protezione informatica devono fare i conti con la legacy dei macchinari e con sistemi che non possono mai fermarsi

TxOne Networks, marchio internazionale del settore, specializzato nella protezione dei sistemi OT, è stata fondata nel 2019 da Trend Micro e Moxa, e oggi ha 5mila clienti nel mondo. «I nostri prodotti rispondono all’esigenza di proteggere adeguatamente asset e servizi critici del mondo della produzione in uno scenario di convergenza fra IT e OT», sottolinea Romeo. Le vulnerabilità del mondo OT sono spesso legate a macchinari legacy, e il motivo per cui le protezioni informatiche devono essere diverse è che i protocolli sono diversi. «Pensiamo a due colleghi che condividono un file. Non sarà mai rilevato come e un tentativo di attacco, perché è un’attività normale. Nel mondo OT, invece, due macchine che appartengono a due linee diverse e si scambiano un file rappresentano un chiaro segno di attacco. Il software IT, però, non lo rileva perché non lo ritiene anomalo».

Il sistema di difesa TxOne Networks: Portable Inspector analizza gli asset da integrare, Stellar protegge gli ambienti OT, Edge porta lo zero trust sulla rete

L’impresa taiwanese ha un’offerta diversificata per proteggere il macchinario, i sistemi, la rete. Ce la descrive Romeo: «la Security Inspection serve a integrare in modo sicuro un nuovo macchinario o componente in una linea di automazione. Dobbiamo ispezionarlo, perché non sappiamo se è infetto o meno quindi prima di integrarlo dobbiamo procedere con una scansione di questo apparato. Utilizziamo una componente che si chiama Portable Inspector». Fa parte della linea di prodotti Element, per le ispezioni di sicurezza sui macchinari, è una chiavetta che analizza gli asset e restituisce una risposta attraverso tre led. «La utilizzano anche i manutentori che devono aggiornare l’esistente, dato che la chiavetta offre il trasporto sicuro, esente da malware dei file necessari per aggiornare le macchine; ma se il anutentore vuole portare con se il proprio storage da collegare alle macchine, in questo caso lo controlliamo e sanifichiamo con Safe Port».

La parte che Romeo definisce più innovativa è Stellar. «Va a supportare sistemi operativi molto vecchi, come Windows XP, e consente un approccio alternativo rispetto alle normali soluzioni di security del mondo IT. Queste ultime funzionano con le signature per distinguere ciò che è malevolo. Noi invece facciamo il contrario. Installiamo l’agente, che ha una componente adattiva di machine learning in grado di apprendere in automatico tutte le applicazioni installate. Le immette in una sua base dati interna e fa in modo che solo quelle continuino a funzionare. Tutto ciò che arriva dall’esterno viene rilevato e bloccato perché non è parte della configurazione corretta. Questa è la parte innovativa: non abbiamo bisogno di identificare ciò che è malevolo, ci limitiamo a proteggere quello che sicuramente non lo è. In questo modo escludiamo la possibilità di avere falsi positivi o negativi, proteggiamo semplicemente lo stato “sano” della macchina. Gli elementi esterni alla configurazione diventano automaticamente malevoli».

Spostandoci al network, «abbiamo una soluzione che a sua volta agisce con una parte di white listing. Censisce tutti i protocolli che viaggiano a livello di rete, li inserisce in una modalità normale di funzionamento, e li trasforma in regole. Poi, le posso attivare solo in modalità di rilevazione, per cui se vedo qualcosa di difforme faccio scattare un allarme. Oppure le posso bloccare». In pratica, si applica alla rete lo stesso meccanismo previsto per l’end point. «La capacità di inspection è granulare: supportiamo oltre 200 protocolli del mondo OT, siamo in grado anche di capire cosa succede all’interno del protocollo durante la fase di learning. La granularità ci serve a capire se c’è qualcuno connesso, anche un operatore, che cerca di effettuare delle configurazioni errate. La policy può escludere una determinata tipologia di istruzioni, e il tentativo viene di conseguenza bloccato».

Con TXOne EdgeIPS, le aziende possono proteggere le apparecchiature OT dalle vulnerabilità conosciute grazie al patching virtuale. Funziona sia con macchinari moderni sia con i dispositivi legacy.

«Su queste soluzioni abbiamo integrato anche una parte di virtual patching. È fondamentale perché nelle reti sono vulnerabili sia sistemi connessi obsoleti, sia sistemi moderni. Siccome non è possibile applicare una patch per interrompere il funzionamento della macchina, bisogna proteggere il sistema. Non potendo installare niente sulla macchina, si interviene sulla rete». Il prodotto si chiama Edge e scherma la rete facendo anche virtual patching. «Infine, SageOne, raccoglie la telemetria di tutte le nostre soluzioni, fornisce un’analisi dell’esposizione al rischio, e consente di prendere decisioni che ottimizzano la sicurezza e abbassano il livello di rischio».