Aziende manifatturiere: se volete potenziare la cybersecurity dovete investire sulla formazione. Parola di CrowdStrike

La manifattura è uno dei comparti maggiormente preso di mira dai criminali informatici. In particolare quella italiana, che con 1.160 miliardi di fatturato nel 2024 è la seconda in Europa e la settima al mondo. È la fotografia che emerge dal rapporto Clusit sugli incidenti informatici rilevati nel corso del 2024. Uno scatto che non differisce troppo dai precedenti. Nulla è cambiato, quindi? Non è così. Le aziende sono più preparate, forse anche per merito di nuove regolamentazioni, ma l’industria del crimine informatico continua a crescere grazie ai guadagni dei ransomware. Supportata anche dall’IA, utilizzata a tutti gli effetti come arma.

Ma perché è proprio il manifatturiero uno dei bersagli più appetibili? E come si potrebbe proteggerlo meglio? Per comprenderlo, abbiamo intervistato Luca Livrieri, senior director, sales engineering di CrowdStrike, in occasione del Security Summit 2025, dove è stata presentata la nuova versione del rapporto di Clusit sulla sicurezza informatica.

Per rispondere ai quesiti, bisogna tenere conto di due aspetti. Il primo è che il comparto manifatturiero è uno di quelli più strategici a livello mondiale. È qui che ci sono i soldi, insomma. La manifattura italiana, poi è composta prevalentemente da Pmi, che spesso non hanno le risorse economiche e le competenze per proteggersi da attacchi sofisticati.

In secondo luogo, secondo gli esperti di sicurezza alcuni fra i più attivi gruppi di criminali informatici sono sponsorizzati da Governi, o parti di essi. In particolare, numerose campagne sono state associate a gruppi che collaborano con le istituzioni in Cina, Russia, Corea del Nord. Difficile contrastare avversari che possono disporre di tali risorse.

Lo stato della cybersecurity fotografato da Clusit

Clusit, come ogni anno, ha analizzato tutti gli incidenti informatici di dominio pubblico per fare uno spaccato di quello che sta accadendo nel panorama della cybersecurity. Se a livello globale i settori PA, governativo, sanità e militare a livello globale sono quelli più bersagliati, la manifattura non se la passa meglio: gli incidenti informatici rilevati in questo settore sono aumentati del 38% rispetto al precedente anno a livello globale. Un quarto di questi attacchi al comparto è stato registrato proprio in Italia. Nel nostro Paese, la manifattura è il secondo settore per numero di attacchi informatici, preceduto solo da news/multimedia.

Di quanti attacchi parliamo? A livello globale, Clusit ha registrato 3.541 incidenti informatici nel 2024 (nel 2023 era 2.779). Di questi, 357 hanno interessato realtà italiane. Possono sembrare numeri molto bassi, ma bisogna tenere conto di un dettaglio: il Clusit prende in considerazione solo gli attacchi che hanno portato a un effettivo incidente informatico. Non segnala, quindi, i tentativi di attacco bloccati in tempo che, secondo l’Agenzia per la Cybersicurezza Nazionale (Acn) sono circa 3 milioni al giorno nella sola Italia. Clusit, inoltre, si concentra solamente sugli incidenti di pubblico dominio, cioè quelli per cui c’è stata una disclosure da parte delle vittime. Disclosure obbligatoria nell’UE: le aziende sono obbligate a comunicare alle autorità e agli utenti impattati di eventuali data breach o altri incidenti. Questo obbligo non vige in tutto il mondo e quindi ci sono numerosi attacchi che non vengono presi in considerazione per la stesura del rapporto di Clusit.

Considerato che già in passato Clusit ha sottolineato l’interesse verso la manifattura italiana dei criminali informatici (ne abbiamo parlato qui), dobbiamo supporre che le aziende non hanno quindi fatto passi avanti nei loro sistemi di protezione? No. Andando ad analizzare meglio il rapporto si nota che a livello mondiale l’incremento del numero di attacchi è stato del 27,4%, mentre in Italia la percentuale si ferma al 15,2%. Un dato in controtendenza rispetto ai precedenti report, dove l’aumento degli incidenti informatici in Italia era sempre molto superiore a quello globale. Questo significa che qualcosa si sta muovendo: le aziende sono sempre più consapevoli dei rischi informatici e, seppure non al ritmo sperato, stanno lavorando per mettere in sicurezza i propri sistemi.

Difficile, però, stare al passo degli attaccanti, che a tutti gli effetti operano come imprese ben strutturate e adottano molto rapidamente le nuove tecnologie, a partire dall’IA generativa, per potenziare le proprie campagne di hacking. Questi gruppi criminali, tra l’altro, in alcuni casi operano per conto di Paesi stranieri: possono contare su importanti risorse.

Fra gli altri dati che emergono dal report di Clusit quelli sui vettori di attacco, cioè le tecniche utilizzare per superare le difese cyber: quello più diffuso in Italia rimane il malware (38%), seguito dal DDoS (21%), dallo sfruttamento di vulnerabilità (19%) e dal social engineering (11%).

Il dato che più fa preoccupare però è quello relativo alla gravità (severity) degli incidenti: un valore che continua ad aumentare di anno in anno. In Italia, l’incidenza di attacchi con gravità “High” è tre punti percentuali più alta di quella globale (53% contro 50%), ma comparabile. Quella Critical è invece significativamente più bassa (9% contro 29%). Quella Medium, al contrario, è molto più alta: 38% contro 22%. Gli incidenti a basso impatto sono anche per l’Italia in percentuali trascurabili (meno dell’1%). Secondo i ricercatori di Clusit questo dato può essere interpretato in due modi: “da un lato, è sicuramente un buon segno che gli incidenti danneggino in maniera critica molto meno che nel resto del mondo e, anche se gli incidenti con impatto medio sono molto più numerosi, è pur vero che i loro danni sono più circoscritti. Dall’altro lato, però, la ripartizione potrebbe indicare che le aziende italiane sono più spesso vittime anche di attacchi meno sofisticati, che nel resto del mondo incidono meno, ed essere quindi sintomo di una scarsa capacità di contrastare le minacce cyber”.

Le tecniche di attacco in crescita: vulnerabilità nei macchinari e ingegneria sociale

Come detto, gli attacchi informatici basati su malware sono la maggior parte, ma il Clusit ha rilevato una crescita di altre tecniche, come lo sfruttamento delle vulnerabilità e, soprattutto, l’ingegneria sociale potenziata dall’IA generativa.

Nel caso della manifattura, si aggiunge un problema: i macchinari legacy, cioè gli impianti di fabbrica più anziani. Le nuove macchine nascono con la connettività integrata, e sono quindi predisposte per essere messe in sicurezza sotto il profilo cyber. Al contrario, macchinari con alcuni anni sulle spalle, ma ancora molto utilizzati nell’industria, sono stati adattati alle nuove esigenze tramite IoT. E non offrono le stesse garanzie di sicurezza.

«Il tema principale per l’ambiente OT industriale è quello della gestione degli asset produttivi. Un 52% degli accessi iniziali da parte di criminali sono registrati da industrie che hanno in casa sistemi legacy e che faticano a gestirli», afferma Livrieri, aggiungendo che il problema non è tanto l’accesso alla porzione OT dell’infrastruttura – ai macchinari per la produzione per capirci – quanto il fatto che essendo questi connessi alla rete, una volta ottenuto un accesso iniziale per un attaccante è possibile muoversi verso altri sistemi IT. Sino a prendere il controllo dell’intera infrastruttura, in certi casi. Perché è qui che si trovano quelli che Livrieri definisce «i gioielli della corona», cioè gli asset più importanti per un’azienda: le proprietà intellettuali, i segreti industriali.

Sul mercato non mancano software e servizi di sicurezza progettati proprio proteggere questi macchinari. Ma «le soluzioni che vengono implementate solitamente sono come le polveri bagnate rispetto a soluzioni tradizionali: una soluzione su OT non sarà mai a livello della stessa soluzione installata su un ambiente IT», dice Livrieri. Che aggiunge «e sono talvolta configurate male».

I cybercriminali non si limitano però ad attaccare le infrastrutture: sono in crescita gli attacchi che fanno leva sulla vulnerabilità delle persone, le tecniche di ingegneria sociale. All’atto pratico, gli attaccanti sfruttano messaggi di phishing molto ben confezionati o altri approcci per indurre in errore le persone. Grazie all’IA generativa, è sempre più facile e veloce creare campagne di phishing mirate su specifiche vittime e molto convincenti. Sfruttando la GenAI, gli attaccanti hanno anche accesso tecniche che sino a pochi anni fa richiedevano un’enorme potenza di calcolo per creare falsi messaggi vocali o addirittura falsi video. Oggi, grazie agli Llm, bastano pochi minuti e cifre irrisorie per generare una voce praticamente identica a quella del ceo di un’azienda, facendogli dire quello che si desidera. Sfruttando questi audio si possono convincere i dipendenti a rivelare informazioni sensibili o a effettuare pagamenti non autorizzati su conti intestati ai criminali. Un tema, quello del social engineering, che viene sottolineato non solo dagli analisti del Clusit, ma anche da altri report, come il 2025 Global Threat Report di CrowdStrike, nel quale si evidenzia un notevole incremento di queste tattiche da parte dei gruppi di criminali informatici.

Altre tecniche di social engineering molto diffuse sono quelle definite di Callback: si generano mail di phishing estremamente mirate, confezionate ad hoc per un singolo bersaglio, chiedendo di venire richiamati a un numero telefonico, così da evitare di far scattare potenziali allarmi allegando file contenenti malware. Se la vittima richiama, gli attaccanti trovano il modo di convincerla a scaricare un file (un documento in Pdf contenente malware, per esempio, ma anche altri programmi leciti, come quelli per il controllo da remoto del computer). Un esempio pratico di questi attacchi sono i finti centri di assistenza che, proponendosi di risolvere un problema, convincono le vittime a scaricare uno strumento per il controllo remoto del PC, prendendone poi il controllo.

Attacchi sponsorizzati da Stati: una minaccia in costante crescita

Una delle peculiarità degli attacchi condotti da parte (o per conto) di Governi è che non sempre hanno interesse a danneggiare le infrastrutture delle vittime o a chiedere riscatti, ma tendono a fare campagne di hacking mirate alla sottrazione di informazioni chiave, come le proprietà intellettuali o i segreti industriali.

Nell’ultima versione del suo Global Threat Report, CrowdStrike evidenzia un notevole incremento delle attività di China Nexus, un gruppo criminale scoperto di recente che si suppone sia legato o quantomeno supportato da settori del governo cinese, o di istituzioni pubbliche cinesi, che pare interessato proprio a sottrarre informazioni riservate, e che sta sempre più concentrando le azioni contro realtà europee e italiana, in particolare nel manifatturiero. Come afferma Livrieri, però, «è difficile comprendere le finalità, se si tratta di attacchi Nation State o di cybercrime», mirati cioè a monetizzare. «Noi vediamo l’attacco, la tecnologia che c’è dietro, la tattica usata, se c’è stata un’esfiltrazione di dati. Sicuramente c’è una grossa parte di attività di spionaggio [fra gli incidenti rilevati dalla nostra rete], ma non abbiamo una mappatura specifica sullo spionaggio».

Va sottolineato anche un altro aspetto: quando si parla di attacchi Nation State, cioè sponsorizzati da Stati, l’attribuzione è sempre molto delicata. È un dato di fatto che ci siano hacker al soldo di nazioni come il Nord Corea (il gruppo Lazarus), la Russia (i gruppi Fancy Bear e Cozy Bear), la Cina (con Wicked Panda), ma non è semplice indicare con certezza chi ci sia dietro a una campagna criminale.

Cosa possono fare le aziende manifatturiere per mettere in sicurezza i loro sistemi produttivi? La formazione è la chiave

Come possono proteggersi le aziende manifatturiere? Per quanto possa sembrare scontato, la base è quella di seguire le best practice: «aggiornare i sistemi operativi e applicare le patch di sicurezza con un approccio di gestione del rischio». Più facile a dirsi che a farsi, però. Non parliamo di aggiornare una manciata di server: ci sono aziende che hanno infrastrutture composte da migliaia di endpoint, server, macchinari. Impossibile garantire che tutti siano costantemente aggiornati a poche ore dal rilascio delle patch di sicurezza. Bisogna quindi prima individuare quali sono le vulnerabilità più gravi e dare priorità a queste. Piattaforme di cybersecurity dedicate, o SoC gestiti da terzi, sono oggi indispensabili.

Per difendersi dal social engineering, invece, è la formazione continua l’unica soluzione. Anche in questo caso, l’approccio dell’azienda può fare la differenza. «Io vedo una differenza di velocità fra chi fa formazione perché è obbligato dai regolamenti [come Nis 2 e Dora NdR] e chi vede la sicurezza come un mantra, come per esempio le grandi banche». Il riferimento è alle norme recentemente approvate dall’UE sulla sicurezza. Nis 2, in particolare, è un framework di sicurezza al quale devono adeguarsi le realtà che operano in settori quali farmaceutico, food & beverage, energia, logistica, trasporti, manifattura. Ci sono aziende che si sono limitate ad applicarle perché obbligate dalla legge e, in certi casi, hanno fatto il minimo indispensabile per essere a norma. Altre, invece, tendono a dare una grande importanza alla riduzione del rischio informatico, e sono più propense a proporre percorsi di formazione continua sulla sicurezza ai propri dipendenti.

Una formazione che, secondo Livrieri, non deve essere meramente teorica: «bisogna fare simulazioni di risposta agli attacchi», afferma. A tutti i livelli. Perché quando si verifica un incidente informatico, non è un problema solo dei tecnici IT: tutte le funzioni devono attivarsi per reagire alla situazione. Servono piani di reazione ben strutturati, perché non bisogna dimenticare che quando si viene colpiti da un attacco, tutti i sistemi possono essere bloccati, inclusi quelli per comunicare come telefoni, chat, email. Proprio per questo è necessario che ogni figura all’interno dell’azienda sappia come comportarsi in questi casi. Anche dal punto di vista della comunicazione con l’esterno: come detto, esiste un obbligo di disclosure ed entro pochissimi giorni dall’attacco è necessario avvisare autorità e utenti colpiti. Farlo nella maniera giusta, limita i danni reputazionali che potrebbero scaturire dall’attacco.

(Ripubblicazione dell’articolo del 3 aprile 2025)