IT e OT negli impianti idrici: come ridurre il rischio cyber senza compromettere la continuità operativa

Man analysing data on his laptop

Nel dicembre 2024, CISA ed EPA hanno pubblicato una fact sheet dedicata ai rischi delle HMI esposte su Internet nei sistemi water & wastewater, richiamando l’attenzione su un punto decisivo: le interfacce uomo-macchina permettono agli operatori di leggere dati SCADA collegati a PLC e, quando non sono adeguatamente protette, possono trasformarsi in varchi verso processi industriali critici.

Per gli impianti idrici, il tema concerne la protezione di un sistema esposto e il modo in cui IT e OT sono stati progressivamente messi in comunicazione. Applicazioni aziendali, piattaforme di supervisione, accessi remoti, dispositivi di campo e sistemi di telecontrollo concorrono oggi alla gestione di reti, stazioni di pompaggio, serbatoi e impianti di trattamento. Questa integrazione abilita automazione e capacità decisionale; allo stesso tempo, però, impone criteri di sicurezza diversi da quelli dell’IT tradizionale, perché ogni intervento deve essere compatibile con disponibilità dell’impianto, stabilità del processo e continuità operativa.

L’obiettivo di questo articolo è chiarire come ridurre il rischio cyber negli ambienti IT/OT senza compromettere il funzionamento del servizio idrico: dalla comprensione delle dipendenze tra sistemi alla segmentazione, dal governo degli accessi remoti al monitoraggio OT-aware, fino alle misure che consentono di proteggere l’infrastruttura mantenendola operativa.

Takeaways

  • Negli impianti idrici, la convergenza tra IT e OT rende più efficiente la gestione del servizio, ma amplia la superficie di esposizione cyber attraverso accessi remoti, sistemi interconnessi, dispositivi di campo e fornitori tecnologici.

  • Gli ambienti OT richiedono criteri di sicurezza specifici: SCADA, PLC, RTU, sensori e sistemi di telecontrollo governano processi fisici e devono essere protetti senza compromettere disponibilità, safety e continuità operativa.

  • Segmentazione, firewall industriali, Network Access Control, Zero Trust adattato all’OT e controllo degli accessi privilegiati aiutano a contenere il rischio, limitando la propagazione degli incidenti e rendendo più governabili gli interventi da remoto.

  • Il monitoraggio OT-aware, l’asset discovery e la gestione continuativa delle vulnerabilità permettono di ridurre i punti ciechi dell’infrastruttura e di rilevare anomalie senza interferire con i processi industriali.

  • Ridurre il rischio cyber negli impianti idrici significa costruire un equilibrio tra protezione e operatività: ogni misura deve rafforzare la sicurezza mantenendo stabile il servizio.

IT e OT negli impianti idrici: una convergenza da governare

Negli impianti idrici, la convergenza tra IT e OT è una condizione strutturale e imprescindibile della gestione industriale. Sistemi gestionali, piattaforme di supervisione, SCADA, PLC, RTU, sensori, HMI e telecontrollo concorrono al governo di reti, stazioni di pompaggio, serbatoi, impianti di trattamento e siti remoti distribuiti sul territorio. I dati di campo alimentano attività di controllo, manutenzione, reporting, pianificazione e coordinamento operativo; ogni nuova connessione, però, introduce una dipendenza che deve essere conosciuta, presidiata e protetta.

La criticità nasce dalla natura stessa degli ambienti OT, che, a differenza dei sistemi IT tradizionali (progettati per gestire dati, applicazioni e servizi digitali), intervengono su processi fisici e apparati industriali. Il NIST, nella guida dedicata alla sicurezza OT, sottolinea che questi sistemi richiedono misure di protezione coerenti con requisiti specifici di performance, affidabilità e safety. In un impianto idrico, quindi, un aggiornamento, una scansione, un cambio di configurazione o una misura di controllo devono sia essere valutati in termini di sicurezza informatica, sia essere compatibili con disponibilità dell’impianto, stabilità del processo, continuità del servizio e sicurezza degli operatori. Nel settore water & wastewater, questa esigenza è resa ancora più concreta dall’esposizione di componenti operativi critici. CISA ed EPA hanno richiamato l’attenzione sulle HMI esposte su Internet nei sistemi idrici e wastewater: interfacce che consentono agli operatori di leggere dati SCADA collegati a PLC e che, se non adeguatamente protette, possono diventare varchi verso processi industriali sensibili.

Per una utility idrica, ridurre il rischio cyber significa quindi costruire un equilibrio tra protezione e operatività. Occorre aumentare la visibilità sugli asset senza interferire con i dispositivi di campo, segmentare le reti senza interrompere i flussi indispensabili al telecontrollo, governare accessi e fornitori senza rallentare manutenzione e reperibilità, e rilevare anomalie senza introdurre strumenti invasivi.

Convergenza IT/OT negli impianti idrici: dove nasce la nuova superficie di rischio

Per molti anni, negli impianti industriali, la componente operativa è stata percepita come un dominio separato dai sistemi informativi aziendali. Le tecnologie dedicate alla produzione, alla distribuzione o al trattamento erano considerate vicine al processo fisico; i sistemi IT, invece, presidiavano amministrazione, gestione documentale, reporting, relazioni con gli utenti, pianificazione economica e attività di business. Questa distinzione ha retto finché l’automazione era limitata, i dati operativi circolavano poco e le interazioni tra mondo industriale e sistemi gestionali erano ridotte.

La progressiva digitalizzazione degli impianti ha modificato questo equilibrio e l’automazione ha aumentato la quantità di informazioni disponibili sul funzionamento delle infrastrutture; allo stesso tempo, le utility hanno iniziato a utilizzare quei dati per prendere decisioni più rapide, pianificare manutenzioni, verificare performance, alimentare report regolatori e ottimizzare l’uso delle risorse. L’OT ha così smesso di essere soltanto il livello tecnico che governa il campo ed è diventato una fonte informativa essenziale per l’intera organizzazione. Nel suo perimetro rientrano gli ICS, cioè gli Industrial Control Systems: sistemi di controllo industriale che comprendono piattaforme SCADA, PLC, RTU, sensori, misuratori e interfacce operative. Sono componenti pensate per osservare, regolare o automatizzare processi fisici; proprio per questo, quando vengono collegate a sistemi informativi aziendali, accessi remoti o piattaforme di analisi, la loro protezione richiede criteri diversi da quelli applicati ai sistemi IT tradizionali.

Questa trasformazione ha portato benefici evidenti: collegare sistemi operativi, piattaforme gestionali e strumenti di analisi consente di conoscere meglio lo stato degli impianti, coordinare gli interventi, ridurre tempi di verifica e migliorare la qualità delle decisioni. Disporre di dati più aggiornati su pressioni, portate, livelli, allarmi, consumi o anomalie significa poter gestire il servizio con maggiore precisione.
Lo stesso collegamento, però, introduce nuove dipendenze, poiché, quando il dato operativo attraversa reti, applicazioni, piattaforme e accessi remoti, la superficie da proteggere si amplia. Un sistema nato per supportare attività amministrative può diventare indirettamente connesso a informazioni o processi rilevanti per l’impianto; un accesso usato per assistenza tecnica può trasformarsi in un punto di ingresso; una rete non sufficientemente segmentata può consentire a un’anomalia di spostarsi da un ambiente meno critico verso sistemi più sensibili.

Dunque, la convergenza in sé resta un passaggio necessario per rendere le infrastrutture più efficienti e governabili, ma il punto fondamentale è la qualità con cui questa convergenza viene progettata, documentata e presidiata. In assenza di una mappatura chiara degli asset, dei flussi, degli accessi e delle responsabilità, l’integrazione tra IT e OT potrebbe crescere più velocemente della capacità dell’organizzazione di controllarla.

Per ridurre il rischio cyber negli impianti idrici, il primo passo è riconoscere questa nuova geometria dell’infrastruttura, dove non esiste più una separazione netta tra sistemi aziendali e tecnologie operative, ma esiste un ecosistema interdipendente, nel quale dati, reti, persone, fornitori e apparati di campo concorrono al funzionamento del servizio. La sicurezza deve partire da qui, dalla comprensione puntuale di ciò che collega l’IT all’OT e di ciò che, attraverso quel collegamento, può diventare vulnerabile.

Perché gli ambienti OT richiedono criteri di sicurezza specifici

Negli impianti idrici, le tecnologie operative governano processi fisici, dialogano con apparati di campo e sostengono attività che devono rimanere disponibili anche in condizioni critiche. Per questo, ogni misura di cybersecurity deve essere valutata anche in rapporto alla stabilità dell’impianto, alla sicurezza degli operatori e alla continuità del servizio.

Molti componenti OT rimangono in esercizio per anni, talvolta per decenni, e sono stati progettati con priorità diverse da quelle oggi richieste dalla cybersecurity. Affidabilità, robustezza e continuità del processo hanno spesso prevalso su aggiornabilità, autenticazione evoluta, logging, cifratura o integrazione con strumenti moderni di monitoraggio. Di conseguenza, un dispositivo ancora adeguato dal punto di vista funzionale può presentare criticità significative dal punto di vista della sicurezza, avendo già terminato il proprio ciclo di vita.

La seconda ragione per cui gli ambienti OT richiedono criteri di sicurezza ad hoc riguarda la manutenzione. In un ambiente IT, un aggiornamento o una riconfigurazione possono essere pianificati con finestre relativamente frequenti; in un contesto OT, invece, ogni intervento deve tenere conto dell’impatto sul processo. Fermare, riavviare o modificare un componente collegato a una stazione di pompaggio, a un sistema di trattamento o a un’infrastruttura di telecontrollo richiede valutazioni più caute, perché una modifica tecnicamente corretta può comunque generare effetti indesiderati sull’operatività.
Il terzo elemento è la frammentazione tecnologica, gli impianti idrici sono spesso composti da apparati di fornitori diversi, protocolli eterogenei, sistemi legacy, componenti installati in momenti differenti e livelli di documentazione non sempre omogenei. Questa varietà rende più complesso costruire un inventario affidabile, stabilire priorità di intervento e comprendere quali sistemi siano davvero critici per il servizio.

Proprio per queste ragioni, applicare all’OT un modello di sicurezza pensato per l’IT può produrre risultati parziali. Scansioni aggressive, policy non calibrate, controlli troppo invasivi o interventi non coordinati con le operations rischiano di introdurre instabilità invece di ridurre il rischio. La protezione degli ambienti OT deve quindi adottare criteri più selettivi: conoscere prima di intervenire, misurare l’impatto operativo di ogni azione, privilegiare tecnologie non intrusive e procedere per priorità legate alla criticità dei processi. Tutto sta nel rendere governabile l’evoluzione digitale, non nel rallentarla: sapere quali asset esistono, quali comunicazioni sono necessarie, quali accessi devono essere autorizzati, quali vulnerabilità possono essere compensate e quali interventi richiedono una pianificazione congiunta tra IT, OT e responsabili operativi.

Segmentazione e accessi remoti: contenere il rischio senza bloccare l’operatività

Uno dei punti più critici riguarda la struttura della rete, laddove in molte infrastrutture industriali, la crescita progressiva di collegamenti, apparati, sistemi di supervisione e accessi di manutenzione ha prodotto architetture difficili da leggere, nelle quali ambienti con livelli di criticità diversi possono risultare più vicini di quanto l’organizzazione immagini. Il fattore di rischio non nasce soltanto dalla presenza di una vulnerabilità, ma dalla possibilità che quella vulnerabilità diventi un percorso verso sistemi più sensibili.

Negli impianti idrici, questo aspetto è particolarmente rilevante perché l’infrastruttura è distribuita per natura. Sedi centrali, stazioni di pompaggio, serbatoi, sorgenti, centraline, impianti di trattamento e punti remoti devono comunicare per garantire continuità al servizio. Il telecontrollo consente di governare questa complessità, ma richiede che i flussi tra sistemi aziendali, reti operative e dispositivi di campo siano conosciuti, autorizzati e verificabili. Quando la rete resta troppo “piatta”, un evento nato in un’area meno critica può propagarsi con maggiore facilità verso ambienti OT. La segmentazione serve proprio a ridurre questa possibilità.
Significa suddividere l’infrastruttura in aree coerenti con la funzione svolta dai sistemi, definire quali comunicazioni siano realmente necessarie e controllare i passaggi tra zone diverse. Nel contesto industriale, il riferimento più solido è la serie di standard ISA/IEC 62443, che definisce requisiti e processi per la sicurezza dei sistemi di automazione e controllo industriale e propone un approccio capace di collegare cybersecurity, operations e safety.

In un modello maturo, l’accesso remoto agli ambienti OT deve essere centralizzato, autorizzato, limitato nel tempo e registrato; soluzioni di Privileged Access Management, autenticazione forte, policy basate sul principio del minimo privilegio e sessioni monitorate consentono di ridurre il rischio senza impedire le attività operative. In questo disegno, firewall industriali, Network Access Control e principi Zero Trust assumono funzioni complementari. I firewall industriali controllano le comunicazioni tra zone e proteggono i protocolli utilizzati negli ambienti di automazione; il NAC consente di verificare quali dispositivi possano collegarsi alla rete e con quali autorizzazioni; lo Zero Trust, applicato in forma coerente con i vincoli OT, riduce la fiducia implicita e introduce verifiche più puntuali su identità, dispositivi, sessioni e privilegi. L’obiettivo non è irrigidire l’infrastruttura, ma limitare i movimenti non necessari e rendere ogni accesso più controllabile.
Un’architettura troppo rigida può ostacolare telecontrollo, manutenzione, diagnostica e reperibilità; un’architettura troppo aperta, invece, aumenta il rischio di propagazione di malware, ransomware o accessi non autorizzati. La progettazione deve quindi partire dai processi: quali sistemi devono dialogare per mantenere il servizio, quali collegamenti sono indispensabili, quali accessi devono essere temporanei, quali comunicazioni devono essere registrate, limitate o sottoposte a controlli aggiuntivi.
Tecnici, manutentori, system integrator e fornitori devono poter intervenire sugli impianti, spesso in tempi rapidi e da sedi esterne. Proprio per questo, gli accessi non possono dipendere da credenziali condivise, VPN generiche o autorizzazioni permanenti non tracciate. Le raccomandazioni raccolte da CISA ed EPA per il settore water & wastewater insistono sulla necessità di rafforzare le difese cyber delle utility idriche attraverso misure progressive, dalla cyber hygiene di base fino a strumenti più avanzati di protezione e monitoraggio.

Infine, a completare il quadro troviamo la gestione delle terze parti: sappiamo che una parte significativa dell’operatività dipende da persone, la sicurezza della supply chain richiede quindi inventario dei fornitori, valutazione del rischio, regole di accesso, tracciabilità delle attività e workflow di verifica. La NIS2 estende. Infatti, la responsabilità dell’organizzazione alla gestione del rischio lungo la catena di fornitura.

Per ridurre il rischio cyber senza compromettere la continuità operativa, segmentazione e accessi devono essere progettati insieme ed entrambe le dimensioni funzionano solo se sono costruite intorno alla realtà dell’impianto.

Monitoraggio OT-aware e continuità operativa: vedere, proteggere, ripristinare

Dopo avere definito confini, flussi e criteri di accesso, la priorità diventa mantenere una visibilità continua sull’infrastruttura. Negli impianti idrici, questa visibilità non riguarda soltanto la disponibilità dei sistemi informativi, ma anche il comportamento delle componenti operative: comunicazioni tra dispositivi, variazioni inattese nei flussi di rete, anomalie nei protocolli industriali, nuovi asset rilevati, modifiche di configurazione, segnali deboli che possono anticipare un malfunzionamento o un tentativo di compromissione.

Il punto di partenza è l’asset discovery. In ambienti OT eterogenei, distribuiti e spesso legacy, sapere con precisione quali dispositivi siano connessi, quali versioni siano installate, quali protocolli vengano utilizzati e quali vulnerabilità siano associate agli asset non è un’attività preliminare, ma una condizione permanente di governo. Senza un inventario dinamico, la sicurezza resta affidata a una rappresentazione parziale dell’impianto; con una mappatura aggiornata, invece, diventa possibile stabilire priorità, pianificare remediation, valutare misure compensative e dimostrare controllo.

Il monitoraggio degli ambienti OT richiede però strumenti progettati per non interferire con il processo industriale e rispettare la stabilità dei dispositivi di campo. Ecco che assumono valore soluzioni passive e OT-aware, capaci di osservare il traffico industriale, riconoscere asset e protocolli, individuare anomalie e correlare eventi senza introdurre sollecitazioni non necessarie sui sistemi operativi. È un principio coerente con le raccomandazioni del NIST sulla sicurezza OT, che distinguono chiaramente le esigenze dei sistemi industriali da quelle dell’IT tradizionale. Questa capacità di osservazione deve poi essere collegata a un presidio di sicurezza più ampio. A tal proposito, strumenti di monitoraggio della rete industriale, piattaforme SIEM, soluzioni di SOC as a Service e capacità di osservabilità dei sistemi critici permettono di trasformare i segnali tecnici in informazioni utili per la risposta operativa.

La continuità operativa entra in gioco proprio in questo passaggio, dal momento che, dopo aver rilevato un’anomalia, occorre sapere quali sistemi sono coinvolti, quale processo supportano, quali impatti possono generare e quali azioni devono essere attivate. Backup, piani di ripristino, procedure di escalation, ruoli di responsabilità, architetture ridondate e strategie di Business Continuity e Disaster Recovery devono essere definiti prima dell’incidente e verificati con regolarità. Anche la NIS2 richiama la necessità di collegare cybersecurity, gestione del rischio e continuità; per questo può essere utile approfondire il tema della continuità operativa e gestione delle crisi.

Negli impianti idrici, il ripristino va valutato sia in termini di riattivazione tecnologica, sia considerando la funzione del sistema coinvolto, la criticità del processo, la disponibilità dei dati operativi, la possibilità di gestire temporaneamente alcune attività in modalità alternativa e la necessità di mantenere evidenze utili per audit, compliance e analisi post-incidente. Un piano di recovery efficace risponde solo alla domanda “quale servizio dipende da quel sistema e quale livello minimo di operatività deve essere garantito?”.

Il monitoraggio OT-aware, quindi, è una capacità di governo continuo, che permette di ridurre i punti ciechi, riconoscere prima le anomalie, qualificare meglio gli eventi e collegare la risposta cyber alla continuità del servizio. Per una utility, vedere ciò che accade nell’infrastruttura significa poter decidere con maggiore tempestività, contenere gli impatti e riportare sistemi e processi a una condizione stabile senza perdere il controllo operativo.

Abbiamo visto che negli impianti idrici la convergenza IT/OT è ormai una condizione strutturale. Ma se da una parte ha reso possibile un controllo più evoluto delle infrastrutture, una migliore disponibilità dei dati di campo e una gestione più tempestiva degli interventi; dall’altro ha introdotto nuove dipendenze tra sistemi informativi, tecnologie operative, fornitori, accessi remoti e processi industriali.

Ridurre il rischio cyber senza compromettere la continuità operativa significa innanzitutto partire da una conoscenza puntuale dell’infrastruttura. Solo a partire da questa visibilità è possibile proteggere e monitorare senza introdurre instabilità nell’impianto.

La sicurezza IT/OT viene misurata quindi dalla coerenza dei controlli introdotti con il funzionamento reale del servizio idrico. In questo percorso, Beta 80 affianca le utility idriche con un approccio che integra consulenza, tecnologie e servizi specialistici: dall’analisi del rischio alla protezione delle infrastrutture IT e OT, dalla segmentazione al controllo degli accessi, dal monitoraggio continuo alla continuità operativa e al supporto alla compliance. L’obiettivo è costruire un modello di cybersecurity capace di proteggere l’infrastruttura digitale senza perdere di vista la stabilità del servizio idrico.

FAQ

Perché la convergenza IT/OT aumenta il rischio cyber negli impianti idrici?

Perché sistemi informativi, piattaforme SCADA, PLC, RTU, sensori, HMI, telecontrollo e accessi remoti sono sempre più interconnessi. Questa integrazione migliora monitoraggio ed efficienza, ma amplia anche la superficie di attacco e può facilitare la propagazione di minacce tra ambienti IT e OT se reti, accessi e flussi non sono governati correttamente.

Quali sono le principali vulnerabilità degli ambienti OT nelle utility idriche?

 Le criticità più comuni riguardano asset non inventariati, sistemi legacy difficili da aggiornare, reti poco segmentate, credenziali condivise, accessi remoti non tracciati, HMI esposte, dispositivi di campo con protezioni limitate e scarsa visibilità sugli eventi. In questi contesti, anche un intervento di sicurezza deve essere valutato in base all’impatto su disponibilità dell’impianto, safety e continuità del servizio. 

Come si può proteggere una rete OT senza compromettere l’operatività dell’impianto?

Serve un approccio progressivo e OT-aware: asset discovery non invasiva, segmentazione della rete, firewall industriali, Network Access Control, accessi remoti temporanei e monitorati, MFA, PAM e principi Zero Trust adattati al contesto industriale. L’obiettivo non è bloccare i processi, ma limitare i movimenti non necessari, contenere eventuali incidenti e mantenere stabili telecontrollo, manutenzione e attività operative. 

Che ruolo ha il monitoraggio OT-aware nella sicurezza degli impianti idrici?

Il monitoraggio OT-aware consente di osservare traffico industriale, asset, protocolli e anomalie senza interferire con i dispositivi di campo. Integrato con SIEM, SOC, procedure di escalation, Business Continuity e Disaster Recovery, aiuta a rilevare segnali deboli, qualificare gli eventi e rispondere agli incidenti in modo coerente con la continuità del servizio idrico.