(AGENPARL) – mar 11 marzo 2025 Questa mattina, in occasione del Security Summit 2025 di Milano, l’Associazione Italiana per la Sicurezza Informatica – Clusit, impegnata dal 2000 nel diffondere la cultura della cybersecurity in Italia, ha presentato il Rapporto Clusit 2025, il quale analizza l’andamento degli attacchi e degli incidenti cyber che nel 2024 hanno colpito l’Italia e il mondo.
I dati analizzati nel Rapporto mostrano un incremento significativo degli attacchi e degli incidenti informatici nell’ultimo anno. Nel 2024, in Italia sono stati registrati 357 incidenti noti di particolare gravità, pari a circa il 39% del totale degli incidenti avvenuti tra il 2020 e il 2024. Gli attacchi cyber sono cresciuti del 15% nel nostro Paese, mentre gli incidenti attribuibili al cybercrime hanno subito un incremento del 40% rispetto all’anno precedente. Tra i settori più colpiti emergono News e Multimedia, Manifatturiero, Governativo e Trasporti e Logistica. In particolare, nei comparti Manifatturiero e Trasporti e Logistica, un quarto degli incidenti globali ha coinvolto realtà italiane. Tuttavia, come sottolineano i ricercatori del Clusit, questi dati rappresentano solo la punta dell’iceberg della minaccia cyber in Italia, poiché molte vittime tendono ancora a non dichiarare gli attacchi subiti. Anche per questo motivo, per affrontare efficacemente questo scenario, è necessaria un’analisi mirata dei target di attacco, che consenta di individuare le vulnerabilità più critiche, di comprendere le modalità operative degli aggressori e di sviluppare strategie di difesa sempre più efficaci e proattive.
A questo proposito, l’azienda di cybersecurity HWG Sababa ha contribuito al Report Clusit 2025 fornendo dati e informazioni rilevanti sugli attacchi rivolti agli ambienti industriali e di Operational Technology (OT) grazie alla posizione unica come primario SOC OT gestito in Italia, monitorando la sicurezza OT di grande aziende e infrastrutture critiche italiane e europee. Questi sistemi, che sono particolarmente importanti per le infrastrutture critiche del settore Energy & Utilities e per i settori produttivi del Manifatturiero e dell’Industria alimentare, risultano sempre più spesso un target di interesse per i cybercriminali. Per comprendere meglio lo stato degli attacchi e degli incidenti che colpiscono i sistemi OT, HWG Sababa, attraverso il proprio Security Operation Center (SOC), ha raccolto e analizzato i dati provenienti da diverse multiutility nella regione EMEA e altre realtà OT in Italia. 
Secondo l’analisi di HWG Sababa, la mancanza di una rigorosa segmentazione tra i sistemi IT e OT rappresenta una vulnerabilità critica, poiché facilita la propagazione di minacce informatiche tra le diverse infrastrutture, amplifica la superficie d’attacco ed espone le organizzazioni a rischi elevati. In particolare, si è riscontrato che l’85% degli incidenti di security negli ambienti OT deriva da attacchi diretti ai sistemi IT, che si diffondono attraverso furti di identità, propagazione di malware e configurazioni errate degli accessi da remoto. A conferma di questo trend, è stato rilevato che il 90% dei casi di ransomware che colpiscono gli ambienti industriali ha origine da e-mail di phishing indirizzate al personale IT. Da qui, l’attacco si propaga poi al network OT a causa della limitata o inefficiente segmentazione, tramite meccanismi di autenticazione condivisi o accessi da remoto non adeguatamente protetti o ancora per politiche non mature legate all’accesso ai sistemi da parte dei fornitori esterni. Proprio l’accesso da remoto si rivela un vettore di rischio primario: il 65% delle compromissioni OT è infatti dovuto a VPN o sessioni RDP (Remote Desktop Protocol) vulnerabili.
Le statistiche di HWG Sababa mettono inoltre in luce le difficoltà affrontate dai SOC OT nel distinguere tra attività industriali legittime e comportamenti malevoli. Per esempio, i dati hanno mostrato che il 68% degli alert SOC sono risultati falsi positivi, quindi avvisi di sicurezza che non corrispondevano ad attacchi effettivi, causati principalmente dalla mancanza di documentazione e di dati sui processi industriali. Inoltre, i team SOC faticano a correlare gli alert tra ambienti IT e OT, e faticano a ricevere feedback tempestivi da parte dei vari team coinvolti lato cliente, con tempi di detection e response eccessivamente lunghi: in media, servono oltre 72 ore per identificare e classificare correttamente una compromissione OT.
Infine, richiede particolare attenzione il tema della formazione sulla cybersecurity OT. Mentre la security awareness IT è ormai un aspetto consolidato in molte aziende, la formazione in ambito OT risulta ancora insufficiente. Questa carenza evidenzia la necessità di iniziative di sensibilizzazione più efficaci e fruibili anche da utenti che lavorano negli ambienti OT, che non hanno un laptop su cui seguire i corsi e simulazioni, e che hanno bisogno di formazione pratica con use case e frontale, ad esempio associata ai corsi di safety.