Per diversi anni gli attacchi informatici contro i sistemi cyber-fisici (Cps) sono rimasti confinati per lo più al dibattito teorico. I sistemi di controllo industriale (Ics) operavano dietro air gap, i dispositivi medicali in reti isolate e i sistemi di gestione degli edifici (Bms) funzionavano in autonomia, scollegati dal mondo esterno. Quel quadro è cambiato. La spinta alla connettività ha portato le tecnologie operative (OT) su Internet, ha trasferito nel cloud quantità crescenti di dati industriali e proprietà intellettuale e ha favorito la diffusione di dispositivi dell’Internet of Medical Things (IoMT), che oggi entrano in rete a ritmo sostenuto.

Il risultato è una superficie di attacco molto più ampia. Le vulnerabilità tipiche delle reti aziendali si propagano ora a dispositivi OT, Ics e IoMT, mentre gli attori delle minacce si focalizzano su obiettivi mirati. Lo confermano i ripetuti attacchi ransomware contro strutture sanitarie in diversi Paesi e le campagne a sfondo geopolitico che, in Ucraina e altrove, hanno colpito sistemi Ics e OT mettendo in difficoltà la fornitura di energia, acqua e altri servizi essenziali. In questo scenario, Claroty identifica tre direttrici di minaccia che dal piano della possibilità guidano in verità la concretezza operativa di chi attacca.

Le risorse all’edge, porta di ingresso

La prima direttrice riguarda lo sfruttamento dei dispositivi di edge computing come testa di ponte verso le reti aziendali. Nell’ultimo anno è cresciuto il numero di gruppi criminali che sviluppano framework specificamente pensati per colpire risorse all’edge, hypervisor e altre componenti di infrastruttura di rete. Si tratta in larga parte di apparati che non possono ospitare soluzioni di endpoint detection and response (Edr), efficaci contro la maggior parte dei malware ed exploit noti ma non installabili su tutto l’hardware presente in produzione. Gli attaccanti si sono concentrati così sulla ricerca di vulnerabilità zero-day e di falle ricorrenti, con l’obiettivo di installare backdoor in tecnologie poco presidiate dai sistemi di rilevamento.
La rilevanza per i sistemi cyber-fisici è diretta: molti sistemi Ics, sensori dell’Internet of Things (IoT) e dispositivi connessi che compongono questi ambienti non supportano l’Edr. Un accesso illecito a questo livello apre la strada a movimenti laterali e, in contesti industriali e sanitari, può tradursi in conseguenze sui processi fisici. Da qui l’esigenza di un monitoraggio continuo della rete, di controlli compensativi che tengano conto della difficoltà di applicare patch in OT e in sanità, e di misure architetturali come la segmentazione, indicata da Claroty come uno strumento determinante per limitare la propagazione di un eventuale attacco.

Claroty
Claroty – Le direttrici delle minacce e le priorità

L’estorsione come modello di attacco

Il secondo fronte è quello degli attacchi a fini estorsivi, che colpiscono in modo sistematico la sanità e le altre infrastrutture critiche. Lo schema è ricorrente: un accesso furtivo alla rete, l’esfiltrazione di dati sensibili dell’organizzazione, dei clienti o dei pazienti e una richiesta di riscatto accompagnata dalla minaccia di pubblicazione delle informazioni e di un successivo attacco ransomware.
Anche quando i Cps non rappresentano il bersaglio diretto, le organizzazioni con un parco asset esteso subiscono effetti rilevanti. Un ospedale che perde l’accesso alle cartelle cliniche, o sistemi di imaging basati su Windows colpiti da ransomware, possono trovarsi costretti a dirottare i pazienti verso altre strutture. Lo stesso vale per i settori dell’energia, dei servizi pubblici e idrici, dove l’interruzione di un processo si traduce in fretta in un problema di sicurezza pubblica. Un ulteriore aspetto è la durata delle attività di ripristino: in alcuni casi i sistemi rimangono offline per settimane, con costi elevati e impatti operativi prolungati.

L’AI nell’arsenale di cybercrime e aziende

Il terzo elemento di novità riguarda l’adozione dell’intelligenza artificiale, su entrambi i lati della linea di fuoco. Una ricerca di Anthropic ha documentato una campagna riconducibile a interessi cinesi che ha manipolato i modelli linguistici della famiglia Claude per condurre attacchi contro aziende tecnologiche, istituzioni finanziarie, imprese chimiche ed enti governativi. Anthropic l’ha descritta come il primo caso documentato di attacco informatico su larga scala condotto senza un intervento umano sostanziale. È un riferimento che le imprese non possono ignorare: gli stessi Llm su cui le organizzazioni stanno investendo in chiave di efficienza e innovazione vengono trasformati dagli attaccanti in strumenti a doppio uso, in grado di rendere le campagne più rapide e più articolate. Il margine di vantaggio tradizionalmente garantito dalla specializzazione tecnica dei difensori si riduce in proporzione.

A questo si aggiungono le ricadute infrastrutturali della corsa all’AI. La costruzione di data center è cresciuta del 30% su base annua, con un tasso destagionalizzato di 40 miliardi di dollari registrato a giugno 2025. Una mole di nuove strutture che chiede energia, raffreddamento e sistemi di gestione degli edifici, e che amplia di fatto il numero di Cps da proteggere. Un ragionamento simile vale per la manifattura e la logistica: Amazon, ad esempio, prevede di sostituire oltre 500mila dipendenti — 160mila dei quali negli Stati Uniti entro il 2027 — con robot e sistemi di intelligenza artificiale. Secondo il New York Times, l’operazione dovrebbe portare a un risparmio di circa 30 centesimi per ogni articolo prelevato, a fronte di un volume di vendita atteso in raddoppio in meno di dieci anni. Sul piano della cybersecurity, ognuna di queste trasformazioni si traduce in nuovi sistemi cyber-fisici da inserire in un perimetro di protezione già sotto pressione.

Visibilità sugli asset e governance degli accessi remoti

A fronte di questo quadro, le aziende e gli operatori di infrastrutture critiche devono fare i conti con un panorama di minacce eterogeneo. Da un lato, gli attori riconducibili a interessi statali, dotati di risorse significative e in grado di colpire sistemi il cui compromesso ha effetti diretti sulle infrastrutture critiche e sulla sicurezza nazionale. Dall’altro, gruppi meno strutturati ma motivati dal profitto o da ragioni ideologiche, orientati a generare disservizio, caos e sfiducia nella capacità degli Stati di garantire protezione.

Sul fronte difensivo, la threat intelligence — la capacità di raccogliere informazioni accurate su tattiche, tecniche e procedure usate dagli attaccanti — è una componente necessaria ma non sufficiente. Claroty individua nella visibilità degli asset il fondamento di qualsiasi programma di protezione dei Cps: senza un inventario aggiornato dei dispositivi connessi, i programmi di gestione dell’esposizione faticano a identificare le vulnerabilità e le configurazioni che gli attaccanti possono sfruttare. Allo stesso modo, l’accesso remoto va governato con monitoraggio continuo delle connessioni, verifica delle sessioni e possibilità di interromperle in tempo reale in caso di attività sospette. La difficoltà di applicare patch in tempi brevi negli ambienti OT e sanitari, dove la continuità operativa pesa quanto la sicurezza, rende questi controlli compensativi una componente strutturale delle architetture, non un’opzione. Su questa traiettoria si colloca la piattaforma sviluppata dall’azienda, che combina scoperta degli asset, gestione dell’esposizione e delle vulnerabilità, accesso remoto, protezione di rete e rilevamento delle minacce, con l’obiettivo di mantenere continuità operativa anche in caso di incidente. La piattaforma è disponibile in versione cloud (Claroty xDome) e on-premise (Claroty Ctd) ed è oggi adottata da centinaia di organizzazioni in migliaia di siti.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE