Indice dei contenuti
- Cos’è un ICS Risk Assessment
- Framework e standard di riferimento: NIST, ISO e IEC 62443
- Fasi operative dell’ICS Cyber Security Risk Assessment
- Esempi reali di valutazione del rischio
- Integrazione dell’ICS Risk Assessment nel risk management aziendale
La cyber security dei sistemi di controllo industriali non è più un’opzione, ma una necessità.
Gli ICS (Industrial Control Systems), comprendenti tecnologie come SCADA, DCS e PLC, sono diventati bersagli privilegiati di attacchi informatici, capaci di causare danni economici, ambientali e umani.
L’ICS Risk Assessment, ovvero la valutazione dei rischi cyber nei sistemi di produzione, è oggi uno dei pilastri fondamentali della ICS Cyber security.
Questo articolo approfondisce cos’è un ICS Cyber Security Risk Assessment, come viene condotto secondo standard come NIST e IEC 62443, e presenta casi concreti ed esempi operativi per aiutare le imprese a rafforzare la propria resilienza.
Cos’è un ICS Risk Assessment
L’ICS Risk Assessment è il processo sistematico di identificazione, analisi e gestione dei rischi di cyber security associati a un sistema di controllo industriale.
Diversamente dagli ambienti IT tradizionali, gli ICS sono caratterizzati da componenti legacy, cicli produttivi continui, e un’alta sensibilità alla disponibilità dei sistemi. Il risk assessment deve dunque tenere conto delle specificità del contesto operativo (OT), includendo impatti su sicurezza fisica, interruzione dei processi e compromissione dei dati di processo.
Un efficace ICS Cyber Security Risk Assessment consente di:
- Identificare le potenziali minacce (es. malware, attori APT, errori umani)
- Valutare le vulnerabilità esistenti (es. PLC esposti, protocolli non cifrati)
- Stimare il livello di rischio in base a probabilità e impatto
- Definire misure di mitigazione e controllo
- Garantire la conformità a standard di settore come IEC 62443 o NIST SP 800-82
Framework e standard di riferimento: NIST, ISO e IEC 62443
Le principali metodologie per eseguire un ICS Risk Assessment si basano su framework internazionali che guidano le organizzazioni nella gestione del rischio. I più rilevanti sono:
NIST SP 800-82
Il National Institute of Standards and Technology ha elaborato la pubblicazione SP 800-82 Rev. 2, uno dei riferimenti principali per la ICS Cyber security negli Stati Uniti. Questo standard:
- Fornisce un modello di risk assessment specifico per gli ICS
- Include una classificazione delle minacce comuni (es. denial of service, spoofing)
- Suggerisce contromisure tecniche e procedurali
- Integra concetti del NIST Cyber Security Framework (Identify, Protect, Detect, Respond, Recover)
ISO/IEC 27005
La norma ISO/IEC 27005 offre un approccio generico alla gestione del rischio in ambito cyber security, applicabile anche agli ambienti industriali. È spesso utilizzata in combinazione con ISO/IEC 27001 per certificazioni di sicurezza.
IEC 62443
Lo standard IEC 62443 è specificamente pensato per i sistemi di controllo industriale. La serie è suddivisa in più parti:
- 62443-2-1: gestione della sicurezza
- 62443-3-2: risk assessment e zonizzazione
- 62443-4-2: requisiti di sicurezza dei componenti
La parte 62443-3-2, in particolare, propone un processo strutturato di ICS risk assessment basato su:
- Identificazione di zone e conduits
- Classificazione degli asset
- Analisi delle minacce
- Valutazione del rischio
- Prioritizzazione dei controlli di sicurezza
Fasi operative dell’ICS Cyber Security Risk Assessment
1. Identificazione degli asset
Il primo passo è creare un inventario completo dei dispositivi, software, protocolli e utenti presenti nella rete ICS. Gli asset includono:
- PLC (Programmable Logic Controller)
- HMI (Human Machine Interface)
- RTU (Remote Terminal Unit)
- Server SCADA
- Switch di rete industriale
Esempio pratico
In uno stabilimento di produzione alimentare, sono stati identificati 74 PLC, 5 server SCADA e 48 HMI distribuiti tra linea di confezionamento e celle frigorifere. Alcuni di questi dispositivi erano collegati alla reteaziendale senza segmentazione.
2. Analisi delle minacce
Si procede a valutare le potenziali minacce che potrebbero compromettere la sicurezza dei sistemi. Tra le minacce più comuni nei sistemi ICS troviamo:
- Malware specifici per ambienti OT (es. Stuxnet, Industroyer, Triton)
- Attacchi da parte di insider
- Accessi remoti non controllati
- Errori di configurazione nei control system
3. Analisi delle vulnerabilità
Le vulnerabilità possono essere tecniche (es. software obsoleto), architetturali (es. mancanza di firewall tra rete IT e OT) o organizzative (es. formazione insufficiente). L’uso di strumenti come Nessus, OpenVAS o il modulo SCADA di Shodan permette di individuare vulnerabilità note.
4. Valutazione del rischio
Il rischio viene calcolato combinando:
- Probabilità di accadimento
- Impatto su disponibilità, integrità e riservatezza
Un esempio classico di assessment risk
MinacciaVulnerabilitàImpattoProbabilitàRischioAccesso remoto non cifratoAssenza VPN tra sede e impiantoAltoMedioAltoMalware industrialePLC con firmware obsoletoCriticoBassaMedio-alto
5. Definizione e implementazione dei controlli
In base ai risultati, vengono progettate e implementate soluzioni di sicurezza. Possono essere:
- Tecniche: firewall industriali, segmentazione, whitelist applicativa
- Procedurali: piani di backup, gestione degli accessi, aggiornamento firmware
- Organizzative: formazione degli operatori, simulazioni di incidenti

Esempi reali di valutazione del rischio
Caso 1: PLC esposti pubblicamente
Durante un ICS risk assessment condotto in una raffineria italiana, si è scoperto che 12 PLC Siemens erano raggiungibili tramite IP pubblico. L’accesso in telnet era abilitato, senza credenziali. Un attaccante avrebbe potuto modificare i parametri di funzionamento con impatti catastrofici sul sistema.
La soluzione ha richiesto:
- Rimozione immediata dall’Internet
- Implementazione di una rete segregata OT
- Abilitazione dell’autenticazione e aggiornamento del firmware
Caso 2: SCADA senza segmentazione di rete
In un impianto di trattamento acque, il sistema SCADA comunicava con la rete amministrativa senza VLAN o firewall. Un’infezione tramite una email di phishing su un computer d’ufficio ha raggiunto il server SCADA, bloccando la visualizzazione dei dati in tempo reale.
La mitigazione ha incluso:
- Creazione di una DMZ industriale
- Isolamento dei segmenti OT
- Monitoraggio dei flussi di rete con un sistema IDS (Snort + Bro/Zeek)
Integrazione dell’ICS Risk Assessment nel risk management aziendale
Un errore comune è quello di trattare l’ICS Risk Assessment come un esercizio isolato. In realtà, esso deve essere integrato in una visione più ampia di enterprise risk management, in modo da:
- Allineare le priorità tecniche con quelle strategiche
- Pianificare investimenti in base al rischio
- Supportare la compliance normativa (es. GDPR per dati di telemetria)
Le aziende che adottano un approccio integrato ottengono una maggiore maturità di sicurezza, riducendo anche i tempi di risposta agli incidenti.
In sintesi
La valutazione del rischio nei sistemi industriali non è solo una pratica consigliata: è una necessità strategica per qualsiasi impresa che utilizzi sistemi ICS. Attraverso l’adozione di metodologie standardizzate come IEC 62443 o NIST, è possibile identificare threats reali, valutare impatti e probabilità, e costruire un sistema di difesa resiliente ed efficiente. Le soluzioni di sicurezza non devono essere solo tecnologiche, ma anche organizzative e culturali.
Ogni impresa, anche se non ha mai subito un attacco, deve essere preparata. Perché la domanda non è più se accadrà, ma quando.
Domande e risposte
- Cos’è l’ICS Risk Assessment?
È il processo di identificazione e gestione dei rischi cyber associati ai sistemi di controllo industriale. - Che differenza c’è tra risk assessment IT e ICS?
L’ICS riguarda ambienti OT dove la disponibilità e la continuità operativa sono prioritarie rispetto alla riservatezza dei dati. - Quali standard si usano per valutare il rischio ICS?
NIST SP 800-82, IEC 62443 e ISO/IEC 27005 sono i principali riferimenti. - Cosa significa IEC 62443?
È una famiglia di standard internazionali per la sicurezza dei sistemi di automazione industriale. - Quali minacce colpiscono i sistemi ICS?
Malware industriale, accessi non autorizzati, phishing, vulnerabilità non patchate. - Si può usare un antivirus nei sistemi ICS?
Sì, ma con cautela. Gli antivirus devono essere testati per non interferire con i processi in tempo reale. - I PLC possono essere hackerati?
Sì, specialmente se sono esposti pubblicamente o non protetti con password e aggiornamenti. - Serve una VPN per i sistemi SCADA?
Assolutamente sì, per proteggere le comunicazioni remote da intercettazioni e man-in-the-middle. - Che ruolo ha il risk assessment nel GDPR?
Il GDPR impone la valutazione dei rischi anche nei dati raccolti tramite sensori e sistemi di controllo. - Ogni quanto va aggiornato un ICS Risk Assessment?
Almeno ogni anno o in seguito a modifiche rilevanti nei sistemi o nell’infrastruttura.