Budget mirato e sinergia con IT per difendersi dalle nuove minacce

SANS Institute – leader mondiale nella formazione e nella ricerca sulla sicurezza informatica – in collaborazione con OPSWAT – leader mondiale nelle soluzioni di protezione delle infrastrutture critiche – ha pubblicato ad inizio marzo il “2025 ICS/OT Cybersecurity Budget Report”, che rivela lacune significative nei budget per la cyber security e un aumento considerevole degli attacchi rivolti ai ICS/OT, oltre ad evidenziare priorità non allineate e difese frammentate che espongono le infrastrutture critiche a minacce sempre più sofisticate.

Il report è scaturito dalle interviste a 180 professionisti in diversi settori delle infrastrutture critiche in tutto il mondo come si evince dalla figura sotto riportata.

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

Il proposito del report è far comprendere le caratteristiche degli ambienti ICS/OT – che sono il pilastro dei settori delle infrastrutture critiche – e quanto sia fondamentale garantirne la cyber security, l’affidabilità e la continuità operativa.

È doveroso sottolineare che, a differenza dei sistemi IT tradizionali, gli ICS/OT interagiscono direttamente con il mondo fisico, rendendoli particolarmente vulnerabili a minacce cyber che potrebbero causare interruzioni operative, danni ambientali o persino perdite di vite umane.

Pertanto, una protezione efficace di questi sistemi non solo previene incidenti potenzialmente catastrofici, ma salvaguarda anche la fiducia pubblica, la stabilità economica e la sicurezza nazionale.

Le strategie di sicurezza per gli ICS/OT devono quindi tener conto delle loro specificità, poiché l’applicazione indiscriminata di pratiche IT convenzionali – i.e. la cosiddetta itizzazione – può compromettere le operazioni di carattere ingegneristico e generare rischi per la sicurezza.

Allocazione del budget

Il report evidenzia che, mentre i budget per l’information security sono aumentati, gran parte degli investimenti rimane focalizzata solo sui tradizionali sistemi di supporto aziendale come l’IT, lasciando gli ambienti ICS/OT e l’azienda stessa estremamente esposti agli attacchi.

Inoltre, il report rivela che il 34% degli intervistati non è sicuro delle allocazioni complessive del budget per la sicurezza della propria organizzazione, evidenziando potenziali lacune nelle pratiche di bilancio che potrebbero avere un impatto sulla sicurezza delle infrastrutture critiche.

Interessante notare che una piccola percentuale di organizzazioni ha segnalato budget inferiori a 10.000 $ USA, il che suggerisce che le entità più piccole o quelle meno consapevoli delle minacce informatiche potrebbero avere difficoltà a finanziare adeguatamente le proprie misure di cyber security.

Inoltre, il 21% delle organizzazioni ha segnalato budget compresi tra 10.001 $ e 100.000 $ e il 37% ha superato i 100.000 $, in linea con il budget di organizzazioni più grandi e mature o operanti in settori ad alto rischio.

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

Dal report si evince altresì che l’allocazione dei budget per la sicurezza ICS/OT mostra un approccio generalmente moderato, ovvero:

• 41% delle organizzazioni destina solo fino al 25% del budget complessivo
• 40% investe tra il 26% e il 50%
• 10% assegna tra il 51% e il 75%
• Solo il 9% supera il 75%, segnalando una bassa priorità agli investimenti elevati

È importante essere consapevoli che la scarsità di fondi destinati alla sicurezza ICS/OT può aumentare il rischio operativo e di sicurezza. Pertanto, sarebbe consigliabile rivalutare i budget, oltre a riconoscere il ruolo critico degli ambienti ICS/OT per la continuità aziendale.

Per quanto riguarda i dati sulla variazione di budget negli ultimi due anni, il report riporta che:

• 23% ha registrato un aumento significativo del budget OT.
• 31% ha segnalato un aumento minore, evidenziando un riconoscimento crescente dell’importanza della sicurezza OT.
• 21% non ha visto alcun cambiamento, suggerendo una strategia di bilancio stabile o soddisfazione per le misure attuali.
• 5% ha riportato una lieve riduzione del budget.
• 5% non aveva un budget OT prima degli ultimi due anni, segnalando un recente riallineamento finanziario.
• 15% non era certo delle variazioni di budget, indicando possibili lacune nella supervisione finanziaria.

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

Aree prioritarie di investimento per la sicurezza informatica ICS/OT

Il report riporta che i budget si concentrano sulla sicurezza di base, oltre a concentrarsi su alcune priorità, come indicato nella seguente tabella.

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

Gli Stati Uniti (44,1%), il Canada (55%), l’Europa (48%) e il Medio Oriente (54%) hanno dato priorità alle architetture di difesa delle reti. Mentre i finanziamenti per la risposta agli incidenti sono cresciuti negli Stati Uniti (36%), in Africa (36%) e in Medio Oriente (32%), enfatizzando la mitigazione degli attacchi.

L’accesso remoto sicuro è un obiettivo chiave di molte infrastrutture critiche, con importanti incrementi in Asia (52%), Australia/Nuova Zelanda (42%), Europa (46%), America Latina (44%) e Medio Oriente (47%).

I budget per la raccolta dei log, l’applicazione delle comunicazioni di processo e il controllo degli accessi agli endpoint rimangono stabili; mentre la sicurezza dei dati ha registrato lievi cali in Africa (12%), Asia (8%) e Medio Oriente (8%). Inoltre, gli investimenti in visibilità ICS/OT sono aumentati negli Stati Uniti (42%) e in Canada (44%).

Allocazione di budget: situazione a diverse latitudini

L’indagine OPSWAT-SANS ha evidenziato, altresì, significative differenze regionali nell’allocazione del budget per la sicurezza informatica ICS/OT.

Gli Stati Uniti (40%) e l’Europa (38%) assegnano il 26-50% dei loro budget per la sicurezza informatica a ICS/OT, dimostrando un forte riconoscimento della sua importanza. Anche il Canada (30%) rientra in questo intervallo, ma con il 30% delle organizzazioni che spendono solo lo 0-10%, il che suggerisce un cambiamento nella definizione delle priorità.

In Africa il 35% degli intervistati assegna il 26-50% del budget per la sicurezza informatica a ICS/OT e il 37% un 11-25%, dimostrando una crescente consapevolezza delle esigenze di sicurezza ICS/OT.

Anche Asia, Australia/Nuova Zelanda ed Europa (38%) assegnano il 26-50% dei loro budget per la sicurezza informatica a ICS/OT, rafforzando un approccio di investimento moderato in termini di cybersecurity.

L’America Latina e il Medio Oriente hanno concentrazioni più elevate di organizzazioni (29-30%) che spendono solo lo 0-10%, riflettendo una crescita meno rapida degli investimenti nella sicurezza informatica ICS/OT.

Il rapporto ha rilevato che stanziamenti di budget più elevati (51-100%) restano rari, con gli Stati Uniti in testa al 12%, seguiti dall’Africa (17%) e dall’Australia/Nuova Zelanda (17%), suggerendo che, sebbene la sicurezza ICS/OT sia riconosciuta, alcune organizzazioni e regioni stanziano ancora una quota moderata del loro budget per queste protezioni.

Nel complesso, i dati del report indicano che molte organizzazioni riconoscono l’importanza della sicurezza informatica ICS/OT, ma relativamente poche vi stanziano più del 50% del loro budget.

Driver per l’implementazione della tecnologia ICS/OT

L’analisi del rapporto OPSWAT-SANS rivela una dinamica complessa nell’implementazione della sicurezza ICS/OT, delineando i principali fattori che guidano le decisioni attuali e future delle organizzazioni e, precisamente:

Oggi

• Requisiti organizzativi (primo posto) – Le politiche interne, la gestione del rischio e le decisioni esecutive guidano l’implementazione dei controlli di sicurezza ICS/OT.
• Evoluzione del panorama delle minacce (secondo posto) – Incidenti ransomware, malware mirati e rischi geopolitici spingono le aziende a rafforzare le difese.
• Requisiti di conformità (terzo posto) – Framework come NERC CIP, IEC 62443, NIS2 Directive e NIST CSF rimangono influenti.
• Raccomandazioni dei fornitori (quarto posto) – Hanno un ruolo minore rispetto alle politiche interne e alle normative, influenzando decisioni specifiche sui prodotti.

In futuro

• Evoluzione del panorama delle minacce (primo posto) – Diventerà il principale fattore trainante, con le aziende che daranno priorità alla mitigazione delle minacce.
• Allineamento con gli obiettivi aziendali (secondo posto) – Le strategie di sicurezza dovranno supportare gli obiettivi aziendali più ampi.
• Conformità normativa (terzo posto) – Diminuirà come fattore primario, con un passaggio verso una gestione proattiva del rischio.
• Raccomandazioni dei fornitori (quarto posto previsto): La dipendenza diminuirà, con le aziende che si concentreranno sulle proprie valutazioni del rischio.

In sostanza, le aziende passeranno da un approccio guidato dalla conformità e dalle raccomandazioni dei fornitori a uno più proattivo, incentrato sulla mitigazione delle minacce e sull’allineamento con gli obiettivi aziendali.

Trend incidenti ICS/OT

Il report fornisce una panoramiche degli incidenti di sicurezza nei sistemi di controllo (ICS/OT) negli ultimi 12 mesi e, precisamente:

• Il 27% degli intervistati ha segnalato di aver subito almeno un incidente di sicurezza che ha coinvolto i propri sistemi di controllo. Tali incidenti includono: accesso non autorizzato, violazioni della sicurezza, perdita di dati OT e interruzioni operative.
• Il 43% ha dichiarato di non aver subito incidenti.
• l’11% era incerto.
• Il 20% non ha potuto rispondere a causa delle politiche aziendali.

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

La maggior parte degli incidenti segnalati (44%) è stata inferiore a cinque. Tuttavia, il 15% degli intervistati ha subito da 6 a 15 incidenti, mentre il 3% ha riportato da 26 a 50 incidenti.

Vettori di attacco più comuni

Dal report si evince che:

• Il vettore di attacco iniziale più frequente è stato la compromissione dell’IT, che ha permesso alle minacce di entrare nelle reti OT/IT (58%). Ciò sottolinea la necessità di una sicurezza integrata tra IT e OT.
• Altri vettori di attacco significativi includono:
  • Dispositivi accessibili da Internet (33%).
  • Compromissioni di workstation di progettazione (30%).
  • Exploit di applicazioni rivolte al pubblico (27%).
  • Risorse informatiche transitorie, inclusi i laptop dei fornitori, tablet, unità USB e altri strumenti portatili (27%).

Fonte immagine: OPSWAT-SANS – “2025 ICS/OT Cybersecurity Budget Report”.

Raccomandazioni per migliorare la cyber security negli ambienti ICS/OT

Il report fornisce le seguenti raccomandazioni:

Rivalutazione del budget per la sicurezza ICS/OT – Si tratta di:

• Rivedere i budget di cyber security per proteggere adeguatamente le reti e i processi ICS/OT, che sono fondamentali per le operazioni.
• Concentrarsi sui controlli critici di cyber security ICS/OT, inclusi:
  • Architetture di rete difendibili con strumenti di visibilità della rete passiva.
  • Protezione di vettori ad alto rischio come la connettività IT/OT e i dispositivi transitori.
• Basare le decisioni di budget sui rischi specifici e relative conseguenze, sulla sicurezza e sulle minacce in evoluzione degli ambienti ICS/OT, evitando strategie IT generiche.

Implementazione di controlli specifici dei sistemi ICS/OT – Le organizzazioni, per proteggere efficacemente le infrastrutture critiche, dovrebbero implementare controlli di sicurezza specifici per i sistemi ICS/OT. Ciò comporta la progettazione di piani di risposta agli incidenti personalizzati, che mettano al primo posto la sicurezza operativa. Inoltre, è fondamentale utilizzare strumenti di gestione delle vulnerabilità passivi, per evitare scansioni attive e interruzioni dei processi.

Infine, è necessario impiegare soluzioni di sicurezza avanzate, come firewall compatibili con ICS e sistemi di rilevamento delle intrusioni industriali, per difendersi dalle minacce informatiche che possono avere impatti fisici.

Formazione e collaborazione tra i team IT e ICS/OT – È essenziale implementare programmi di formazione incrociata tra i team IT e ICS/OT per favorire una comprensione reciproca. Ciò consentirebbe ai professionisti IT di approfondire le dinamiche operative del core business, mentre il personale ICS/OT acquisirebbe maggiore consapevolezza sulla sicurezza informatica, contribuendo così alla protezione complessiva dell’organizzazione.

Parallelamente, la creazione di team misti dedicati alla risposta agli incidenti e all’ingegneria, con ruoli ben definiti, favorirebbe una cultura collaborativa basata sul rispetto, evitando che le metodologie IT vengano applicate indiscriminatamente agli ambienti ICS/OT, preservandone le specificità e la sicurezza.

Conclusione

Le infrastrutture critiche operano in un contesto sempre più digitalizzato e interconnesso che richiede un cambio di paradigma in termini di cyber security. Ovvero, le organizzazioni devono abbandonare approcci reattivi e adottare strategie di cyber security preventive, proattive e olistiche.

Ciò implica non solo una rivalutazione dei budget per dare priorità alla sicurezza dei sistemi ICS/OT, ma anche un investimento significativo in talenti specializzati e nella collaborazione tra i team IT e ICS/OT.

In conclusione, solo un approccio integrato, che unisca controlli di sicurezza specializzati, consapevolezza diffusa e una cultura condivisa della cyber security, permetterà alle organizzazioni di mitigare efficacemente le minacce in continua evoluzione.

Inoltre, tale strategia sarà fondamentale per garantire la conformità al quadro normativo europeo, sempre più orientato a un modello risk-based e resilience-based, basato sui principi di risk management, business continuity e cyber security.