La cyber security industriale viene ancora letta troppo spesso attraverso scenari evidenti: ransomware, blocco della produzione, furto di dati, richiesta di riscatto, interruzione dei servizi. Sono rischi reali, costosi e ormai abbastanza compresi anche dai vertici aziendali. Ma non rappresentano l’intero problema.
Esiste una minaccia meno appariscente, più silenziosa e forse proprio per questo più insidiosa: la manipolazione dei dati operativi. Non il dato cifrato o quello sottratto, ma il dato alterato. Quello che continua ad apparire credibile, che alimenta dashboard, sistemi di supervisione, report di qualità, processi decisionali e procedure di controllo, ma che non rappresenta più correttamente la realtà.
Nei contesti OT e IoT industriali, la data manipulation non è un problema informatico in senso stretto. È un rischio operativo. Può incidere su sensori, soglie di sicurezza, parametri di processo, dati di produzione, valori di controllo, informazioni utilizzate per manutenzione, qualità e continuità operativa.
Il punto critico è che l’attacco può non generare un blocco immediato. Gli impianti possono continuare a funzionare, le linee possono continuare a produrre, le schermate possono continuare a mostrare valori apparentemente coerenti. Ma l’azienda, nel frattempo, prende decisioni su dati falsati.
Questa è la vera criticità per i consigli di amministrazione. Un ransomware si vede. Una produzione basata su dati manipolati può essere scoperta tardi, quando il danno è già entrato nei processi, nei prodotti, nelle consegne, nei controlli di qualità, nelle responsabilità contrattuali e, nei casi peggiori, nella sicurezza delle persone.
Indice degli argomenti
Data manipulation: dal dato rubato al dato alterato
Per anni la narrazione della cyber security aziendale si è concentrata soprattutto sulla riservatezza e sulla disponibilità del dato. Proteggere le informazioni, evitare esfiltrazioni, garantire continuità, predisporre backup, ripristinare i sistemi. Tutto corretto. Ma nel mondo industriale esiste una terza dimensione che diventa centrale: l’integrità del dato operativo.
Se un valore di temperatura, pressione, velocità, tolleranza, livello, stato macchina o soglia di allarme viene manipolato, il problema non riguarda soltanto un database o un sistema informativo. Riguarda il processo fisico che quel dato descrive e governa.
In un ambiente OT, l’integrità del dato è parte della sicurezza industriale. È parte della qualità. È parte della continuità produttiva. È parte della conformità. Un dato alterato può generare scarti, rilavorazioni, fermi non pianificati, manutenzioni errate, lotti non conformi, decisioni sbagliate e contestazioni a valle lungo la filiera.
Il rischio è ancora più serio perché spesso può essere confuso con altro: un problema di taratura, un’anomalia di processo, un errore umano, un malfunzionamento intermittente, una deriva qualitativa. Se l’azienda non avesse visibilità adeguata sui propri sistemi OT, sugli accessi remoti, sui protocolli industriali e sui flussi tra IT e produzione, potrebbe non riconoscere la natura cyber dell’evento.
Perché la data manipulation riguarda direttamente il CDA
La data manipulation dovrebbe entrare nell’agenda dei CDA perché mette in discussione un presupposto fondamentale della governance aziendale: la fiducia nei dati usati per decidere.
I board governano attraverso indicatori. KPI produttivi, livelli di servizio, dati di qualità, indici di efficienza, report di rischio, andamento degli scarti, performance dei fornitori, continuità operativa, conformità. La domanda che raramente viene posta è semplice, ma scomoda: quanto sono affidabili i dati su cui l’azienda basa le proprie decisioni?
Non basta più chiedere se i sistemi sono protetti, se il backup funziona o se l’antivirus è installato. In ambito industriale occorre chiedere se l’organizzazione è in grado di rilevare alterazioni nei dati di processo, anomalie nei protocolli OT, modifiche non autorizzate ai parametri, comportamenti anomali degli asset connessi e incongruenze tra dato fisico e dato digitale.
Questo passaggio cambia la prospettiva. La cyber security non protegge soltanto server, endpoint e applicazioni, ma la capacità dell’impresa di conoscere correttamente sé stessa.
Il manifatturiero italiano è esposto alla data manipulation
Il tema è particolarmente rilevante per l’Italia. Il nostro sistema industriale si fonda su filiere dense, distretti, subfornitura, specializzazione, forte interconnessione tra aziende e crescente integrazione tra sistemi IT e OT. È un modello produttivo efficace, ma anche complesso da governare sotto il profilo cyber.
Molte imprese manifatturiere hanno progressivamente connesso macchine, linee, sistemi di supervisione, piattaforme gestionali, sensori, gateway industriali e accessi di manutenzione remota. In diversi casi questa evoluzione è avvenuta più rapidamente della capacità di controllo. Il risultato è un perimetro industriale più esposto, spesso composto da sistemi eterogenei, asset datati, componenti difficili da aggiornare, fornitori con privilegi tecnici e visibilità non sempre adeguata sul traffico OT.
In questo scenario, un attaccante non deve necessariamente bloccare l’azienda per produrre danno. Può colpire la qualità del dato, la fiducia nei parametri di processo, la coerenza delle informazioni utilizzate per governare produzione e manutenzione.
È una forma di attacco meno spettacolare, ma perfettamente coerente con il valore economico del manifatturiero: precisione, affidabilità, continuità e qualità.
NIS2 e CRA: non solo adempimenti
La NIS2 rafforza ulteriormente questo ragionamento, perché porta la gestione del rischio cyber dentro la responsabilità degli organi di gestione. Non siamo più nel campo della semplice misura tecnica delegata all’IT. Siamo nel campo del rischio aziendale, con impatti su continuità, supply chain, gestione degli incidenti, formazione, controllo dei fornitori e resilienza operativa.
Il Cyber Resilience Act, a sua volta, spinge verso una maggiore responsabilità sulla sicurezza dei prodotti con elementi digitali e lungo il loro ciclo di vita. Per il mondo industriale significa affrontare con maggiore maturità la sicurezza di macchine connesse, componenti software, dispositivi IoT, sistemi embedded, gateway e tecnologie integrate nei processi produttivi.
Tuttavia, il punto non è trasformare NIS2 e CRA nell’ennesima checklist documentale. Il rischio della data manipulation dimostra che la compliance, da sola, non basta. Una policy ben scritta non rileva un parametro manipolato. Una procedura non testata non protegge una linea produttiva. Un inventario incompleto non consente di capire dove passa il rischio.
La normativa può essere un acceleratore, ma la maturità resta una scelta organizzativa.
Cosa dovrebbe chiedere oggi un consiglio di amministrazione
Un CDA non deve entrare nel dettaglio tecnico dei protocolli industriali, ma deve pretendere risposte chiare su alcuni punti fondamentali.
L’azienda conosce davvero i propri asset OT e IoT? Ha visibilità sugli accessi remoti dei fornitori? Sa quali sistemi industriali sono connessi alla rete IT? È in grado di rilevare anomalie nei dati di processo? Ha procedure di incident response specifiche per l’ambiente produttivo? Ha integrato produzione, qualità, manutenzione, IT, sicurezza e direzione nella gestione degli incidenti? Riceve metriche cyber realmente riferite al rischio industriale o solo indicatori IT generici?
Queste domande sono molto più rilevanti di molte discussioni astratte sulla cybersecurity. Perché obbligano l’azienda a verificare se sta governando davvero il rischio oppure se sta semplicemente producendo documentazione.
La risposta: visibilità, processo e governance
La risposta alla data manipulation non può essere solo tecnologica. Servono strumenti di monitoraggio OT, anomaly detection, gestione delle vulnerabilità risk-based, segmentazione delle reti, controllo degli accessi remoti, logging adeguato, change management sui sistemi industriali e capacità di correlare eventi IT e OT.
Ma serve soprattutto governance. La sicurezza industriale non può essere lasciata solo all’IT, né solo alla produzione. Deve diventare un presidio condiviso, con ruoli chiari, escalation definite, responsabilità assegnate e procedure provate.
Il tema, in fondo, è molto concreto: un’azienda può continuare a produrre anche mentre i suoi dati vengono manipolati. Può continuare a prendere decisioni, spedire prodotti, certificare qualità, pianificare manutenzioni e rendicontare performance. Ma se la base informativa è compromessa, tutto il resto diventa fragile.
La domanda che i CDA dovrebbero iniziare a mettere in agenda non è più soltanto: siamo protetti da un attacco cyber?
La domanda corretta è un’altra: possiamo fidarci dei dati con cui stiamo governando la fabbrica?
Fino a quando questa domanda resterà fuori dalle riunioni di board, la sicurezza industriale continuerà a essere affrontata con una visione parziale. E il rischio più pericoloso resterà proprio quello che non fa rumore, non chiede riscatto e non ferma subito gli impianti, ma altera silenziosamente la realtà su cui l’impresa costruisce le proprie decisioni.
Partecipa alla community