Ogni giorno, negli ospedali italiani, decine di dispositivi medicali si connettono alla rete: ecografi, monitor multiparametrici, analizzatori point-of-care. Ogni giorno, nelle cabine di controllo degli acquedotti, PLC (Programmable Logic Controller) e sensori di campo dialogano con sistemi SCADA per regolare il trattamento e la distribuzione dell’acqua potabile. Questi apparati — progettati per durare decenni e ottimizzati per l’affidabilità operativa — sono oggi esposti a minacce cyber per le quali spesso non sono stati ingegnerizzati.
I numeri parlano chiaro. Secondo i principali rapporti di settore, il comparto sanitario è uno dei più colpiti a livello globale da attacchi ransomware, con interruzioni di servizio che si traducono direttamente in rischi per la vita dei pazienti. Le infrastrutture idriche, dall’altro lato, sono bersagli sempre più appetibili per attori ostili che puntano a compromettere i parametri di trattamento chimico dell’acqua o a bloccare l’operatività degli impianti. Non si tratta di scenari ipotetici: sono incidenti già accaduti, documentati, replicabili.
La radice del problema è strutturale: i dispositivi OT (Operational Technology) — PLC, sensori, attuatori, sistemi SCADA (Supervisory Control And Data Acquisition), apparecchi elettromedicali — operano spesso su reti prive di segmentazione, con firmware che non ricevono aggiornamenti da anni, credenziali di fabbrica mai cambiate, protocolli di comunicazione industriali completamente privi di meccanismi di autenticazione. Quando gli ambiti OT si fondono con le reti IT (convergenza IT/OT) le vulnerabilità di un singolo device possono diventare l’ingresso per un attacco che si propaga all’intera infrastruttura.
L’ambito IT/OT è un ecosistema tecnologico integrato dove il mondo dei dati digitali (Information Technology) si fonde con quello hardware e dei processi fisici (Operational Technology). In questo scenario, i sistemi informatici tipici dell’ufficio, come server e software di analisi, smettono di essere isolati e iniziano a interagire direttamente con sensori, robot e linee di produzione. L’obiettivo di questa convergenza è trasformare gli ambiti industriali in un’entità unica nella quale i dati raccolti dai macchinari in tempo reale permettono di ottimizzare i consumi, prevedere guasti prima che avvengano e rendere la produzione flessibile e soprattutto sicura, monitorandone costantemente l’andamento.
Indice degli argomenti
OT Cybersecurity LAB, un laboratorio reale per un problema reale
È in questo contesto che nasce l’OT Cybersecurity LAB: un laboratorio fisico dedicato alla cybersecurity degli ambienti convergenti IT/OT, con particolare focalizzazione sui settori sanitario e idrico.
Il progetto “OT Cybersecurity Lab — Laboratorio Integrato per la Cybersecurity di Apparati Elettromedicali e Reti Idriche”, è stato inserito tra i progetti strategici di potenziamento di Cyber 4.0 e realizzato in collaborazione e co-investimento di Infoteam S.r.l., associato del Centro di Competenza con risorse PNRR (Missione 4, Componente 2, Investimento 2.3), di cui Cyber 4.0 è stato Soggetto Attuatore per conto del Ministero delle Imprese e Made in Italy con l’ambizione di inserirsi a pieno titolo nella più ampia strategia nazionale di rafforzamento della resilienza cyber delle infrastrutture critiche italiane.
La logica del Laboratorio è tanto semplice quanto concreta: trasformare la teoria in esperienza diretta. Non limitarsi a spiegare i rischi della convergenza IT/OT, ma riprodurli in un ambiente realistico, mostrando cosa accade quando un attaccante compromette una rete ospedaliera e riesce a raggiungere dispositivi critici, come un monitor multiparametrico o un sistema di telecontrollo idrico.
Allo stesso modo, invece di presentare le soluzioni in modo teorico, queste vengono attivate, integrate e testate in scenari operativi reali, così da evidenziarne in modo tangibile l’efficacia, i limiti e il valore concreto.
L’OT Cybersecurity LAB replica fedelmente l’architettura di rete di un ente sanitario o di un gestore idrico: dispositivi elettromedicali reali, un PLC fisico che controlla un impianto idrico simulato, soluzioni di sicurezza enterprise operative e scenari di attacco eseguibili dal vivo.
Cosa c’è dentro il laboratorio
Il Laboratorio non è un modello in scala: è un ambiente operativo reale. Al suo interno si trovano apparati elettromedicali quotidianamente in uso nelle strutture sanitarie — un ecografo portatile, un monitor multiparametrico, un analizzatore point-of-care per emogasanalisi — connessi alla stessa rete su cui opera un PLC che controlla due serbatoi idrici con elettrovalvole e sensori di livello. Il tutto è sorretto da un’infrastruttura server di livello enterprise, da switch configurati con SPAN port per il monitoraggio del traffico e da una workstation dedicata alle attività di Intelligenza Artificiale e Machine Learning.
Sull’ambiente fisico operano sei soluzioni di sicurezza enterprise, ciascuna focalizzata su una specifica tematica di protezione OT:
• Piattaforma di sicurezza per il monitoraggio degli asset: per l’inventario agentless di tutti gli asset IT, OT e IoMT, con risk scoring e identificazione delle vulnerabilità note, senza alcun intervento diretto sui dispositivi;
• Piattaforma di protezione del network: per la microsegmentazione automatica della rete, che apprende i flussi di comunicazione legittimi e applica regole di isolamento selettivo dei dispositivi compromessi;
• Piattaforma per il controllo accessi: per il Network Access Control e l’architettura Zero Trust, con profiling dei dispositivi OT/IoT e contenimento automatico delle minacce;
• Piattaforma per il Vulnerability Assessment degli asset: per la gestione delle vulnerabilità e il penetration testing guidato, con simulazione di attacchi reali e ransomware;
• Piattaforma di honeypot: soluzione di Deception con honeypot che replicano dispositivi OT industriali reali (PLC Siemens, switch Hirschmann) simulandoli digitalmente;
• Piattaforma per la rilevazione delle intrusioni: appliance fisica di Network Security Monitoring in modalità IDS, con rilevamento degli attacchi in transito e supporto nativo ai protocolli OT.
Nessuna delle soluzioni adottate richiede l’installazione di agenti o software sui dispositivi OT monitorati. Il principio fondante del Laboratorio è che i device fragili e che non è possibile aggiornare (non “patchabili”) devono essere protetti agendo sulla rete in cui operano, esattamente come avviene o dovrebbe avvenire, negli ambienti reali.
Scenari di attacco IT/OT, quando la simulazione diventa reale
La parte più incisiva dell’esperienza offerta dal Laboratorio è la live demo degli scenari di attacco. Il visitatore, che sia un CISO, un responsabile tecnico di un presidio ospedaliero o un ingegnere di un gestore idrico, può osservare in tempo reale l’intera kill chain di un attacco su un ambiente convergente IT/OT: la ricognizione iniziale della rete con strumenti standard (nmap), l’identificazione delle vulnerabilità di un endpoint IT, il movimento laterale verso i dispositivi OT, l’interazione con il PLC per forzare l’apertura o la chiusura delle valvole dell’impianto idrico simulato, fino all’attivazione degli honeypot.
Accanto a ogni passo dell’attacco, si osserva in parallelo la risposta delle soluzioni di sicurezza operative: la piattaforma di sicurezza per il monitoraggio degli asset che rileva l’anomalia nel traffico, la piattaforma per la rilevazione delle intrusioni che genera l’alert sull’intrusione, la piattaforma di protezione del network che blocca il movimento laterale non autorizzato. Il messaggio è chiaro e immediato: con la visibilità e gli strumenti giusti, questi attacchi sono rilevabili e bloccabili. Senza, il dispositivo OT è indifeso.
Un elemento particolarmente apprezzato nelle sessioni di Proof of Concept è lo scenario PLC: il sistema SCADA, sviluppato internamente da Infoteam, visualizza in tempo reale il livello dei serbatoi idrici e lo stato delle valvole. Quando, durante la demo, un attaccante invia un comando di override direttamente al PLC bypassando il sistema di supervisione, i serbatoi iniziano a riempirsi oltre i limiti previsti — o a svuotarsi in modo incontrollato — mentre il pannello di controllo non registra nulla di anomalo. Non servono spiegazioni tecniche aggiuntive: la criticità del rischio diventa visibile e comprensibile a chiunque.
Cyber 4.0, PNRR e infrastrutture critiche
Il co-investimento di Cyber 4.0 non è solo un elemento di valore economico: rappresenta un riconoscimento istituzionale della rilevanza strategica del progetto. Cyber 4.0 è il Centro di Competenza Nazionale ad alta specializzazione per la Cybersecurity, promosso e co-finanziato dal MIMIT – Ministero delle Imprese e del Made in Italy, con il mandato di supportare imprese e pubblica amministrazione nel percorso di digitalizzazione sicura, attraverso la ricerca applicata, il trasferimento tecnologico e la formazione su tecnologie avanzate. Il focus tematico del Centro su Health e Cybersecurity Core si allinea perfettamente con gli obiettivi dell’OT Cybersecurity LAB, che opera proprio all’intersezione tra sicurezza informatica e infrastrutture critiche in ambito sanitario.
Il progetto si inserisce nel quadro del PNRR — Missione 4, Componente 2, Investimento 2.3 che destina risorse Next Generation EU al potenziamento delle infrastrutture di ricerca e al trasferimento tecnologico verso il sistema produttivo. In questo senso, il Laboratorio rappresenta un esempio concreto di come i fondi del Piano Nazionale di Ripresa e Resilienza possano tradursi in asset permanenti a disposizione delle imprese e degli enti pubblici: non un progetto che si esaurisce a rendiconto chiuso, ma un’infrastruttura operativa destinata a erogare servizi nel medio-lungo termine.
NIS2, CRA e la pressione regolatoria sulla sicurezza OT
Il contesto normativo europeo rende il tema affrontato dal Laboratorio ancora più urgente. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, estende significativamente il perimetro dei soggetti obbligati a adottare misure di gestione del rischio cyber: ospedali, aziende sanitarie, gestori di reti idriche rientrano nella categoria delle entità essenziali, soggette ai requisiti più stringenti in materia di sicurezza, notifica degli incidenti e responsabilità del management. Il Cyber Resilience Act (CRA), in fase di applicazione progressiva, estende i requisiti di cybersecurity ai prodotti con elementi digitali — inclusi i dispositivi OT — lungo tutto il loro ciclo di vita.
Il Centro di competenza Cyber 4.0, con il progetto SECURE (https://www.secure4sme.eu) di cui è partner con capofila ACN – Agenzia di Cybersicurezza Nazionale, sta contribuendo allo sforzo di adeguamento al CRA da parte delle imprese: sono disponibili finanziamenti per sovvenzionare proposte finalizzate all’adeguamento di processi e soluzioni di Piccole e Medie Imprese (PMI) al Cyber Resilience Act.
Molte delle organizzazioni oggi esposte agli obblighi NIS2 non hanno ancora una chiara fotografia della propria superficie di attacco OT, non sanno quanti dispositivi operativi sono connessi alla loro rete né quali vulnerabilità presentano. Il Laboratorio risponde esattamente a questa esigenza: prima ancora di selezionare una soluzione, bisogna capire concretamente il problema.
Dalla sensibilizzazione all’azione
Il Laboratorio non si esaurisce nella dimostrazione tecnologica: è il punto di ingresso di un percorso strutturato che Infoteam e Cyber 4.0 propongono alle organizzazioni interessate. Dopo la visita e la sessione di demo, il Laboratorio offre un servizio di Cybersecurity Assessment Organizzativo e Operativo che fotografa la postura di sicurezza attuale dell’organizzazione, identifica i gap prioritari e definisce un piano di intervento concreto. Sulla base dell’assessment, si procede alla selezione delle soluzioni più adeguate al contesto specifico, al loro deployment e alla formazione del personale. Il percorso si completa con l’attivazione di servizi continuativi: OT SOC, Dark Web Monitoring, CSIRT e supporto specialistico su chiamata per le soluzioni implementate.
Un aspetto particolarmente rilevante è l’attenzione che l’iniziativa dedica alle piccole e medie imprese. Consapevole che l’insieme di soluzioni enterprise presente nel Laboratorio è pensato per soddisfare complessità sistemiche piuttosto elevate, ci si è dedicati anche all’individuazione di soluzioni più semplici e più adatte ai contesti delle piccole e medie imprese.
L’obiettivo è garantire che anche una piccola impresa o un piccolo ente pubblico possa avere visibilità sulla propria rete OT e un livello di protezione di base adeguato al rischio.
InrimaONE e il modulo OT LAB
Nell’ambito del Laboratorio è stato progettato e sviluppato un modulo SW denominato OT LAB in grado di integrarsi con la soluzione InrimaONE (piattaforma per la gestione integrata della sicurezza informatica): una dashboard dedicata che aggrega in un’unica interfaccia i dati provenienti dalle differenti piattaforme, offrendo al responsabile della sicurezza una visione operativa unificata dell’ambiente OT monitorato. Dal punto di vista strategico, integrare OT LAB in inrimaONE consente di collocare il monitoraggio della sicurezza operativa all’interno dello stesso contesto in cui l’organizzazione gestisce la propria conformità normativa. Questo crea le condizioni per una visione unificata del rischio — normativo e operativo — e per una futura correlazione tra le evidenze dei diversi moduli.
Il modulo è organizzato in quattro sezioni operative: Panoramica (KPI aggregati sulla postura di sicurezza OT), Asset (inventario completo dei dispositivi con risk score e dettaglio tecnico), Vulnerabilità (elenco delle vulnerabilità rilevate con possibilità di drill-down per asset) e Sicurezza (log degli eventi di sicurezza rilevati, filtrabili per severità e tipologia). La dashboard consente quindi di colmare il divario tra la dimensione tecnica della sicurezza OT e la dimensione decisionale del Management, fornendo un linguaggio comune basato su indicatori sintetici e visualizzazioni immediatamente comprensibili.
L’integrazione si è tradotta in uno strumento operativo concreto, testato su dati reali provenienti dagli apparati del Laboratorio e validato con un piano di test funzionale completo.
Perché la cybersecurity OT conta per il sistema
La realizzazione dell’OT Cybersecurity LAB si inserisce nello sforzo collettivo nazionale per colmare un ritardo strutturale nella protezione delle infrastrutture critiche OT, sollecitati da un contesto di minacce in rapido aumento, da obblighi normativi sempre più stringenti e da una digitalizzazione che ha accelerato la convergenza IT/OT, senza riuscire a dotarsi di strumenti per una gestione sicura degli asset.
Laboratori come quello proposto, fisici, operativi, accessibili alle imprese e alle Pubbliche Amministrazioni, sono uno degli strumenti più efficaci per tradurre la consapevolezza del rischio in azione concreta. Non sostituiscono la formazione, la consulenza, le soluzioni tecnologiche, ma le rendono possibili partendo da una comprensione diretta e tangibile del problema.
L’OT Cybersecurity LAB è aperto a visite, sessioni dedicate a Proof of Concept e percorsi di assessment per imprese ed enti pubblici legati al settore sanitario, idrico e alle infrastrutture critiche in generale.
