Il settore manifatturiero è oggi tra i più esposti alle minacce informatiche, complice la crescente interconnessione tra ambienti IT e OT e il valore strategico dei dati e dei processi produttivi. Le conseguenze di un fermo macchina o di una violazione possono essere critiche, con effetti immediati sull’intera catena di fornitura.
Nell’articolo che condividiamo di seguito, Samuele Zaniboni, Manager of Sales Engineering di ESET Italia, analizza l’evoluzione del rischio cyber nel comparto manifatturiero e le strategie più efficaci per ridurre l’esposizione e rafforzare la resilienza, anche attraverso soluzioni come l’MDR (Managed Detection and Response).
Buona lettura!
Manifattura sotto attacco: strategie per ridurre il rischio e aumentare la resilienza
Le aziende manifatturiere operano in uno degli ambienti più ostili in termini di minacce informatiche, caratterizzato da una combinazione di fattori che rendono gli attacchi cyber particolarmente dannosi. Il settore deve gestire un insieme unico di rischi: una tolleranza estremamente bassa ai tempi di inattività, una posizione centrale in filiere produttive ampie e spesso complesse e un vantaggio competitivo basato su proprietà intellettuale (IP) di alto valore, che include progetti proprietari e segreti industriali. Condizioni che dovrebbero far scattare un campanello d’allarme per i responsabili IT e della sicurezza del comparto.
A ciò si aggiunge la natura sempre più complessa, sofisticata e incessante degli attacchi moderni: gli attori delle minacce combinano exploit tecnici, social engineering e furto di credenziali, puntando a restare inosservati per lunghi periodi, durante i quali raccolgono informazioni e mappano i sistemi prima di colpire.
La serie di attacchi ransomware di alto profilo registrati negli ultimi anni conferma quanto sia elevato il livello di rischio: gli estorsori digitali hanno ormai il settore nel mirino. In un comparto che vive di precisione, efficienza e tempistiche produttive serrate, anche poche ore di inattività possono avere effetti a catena sull’organizzazione e sulla rete di partner. Tuttavia, questo non significa che tra un’azienda manifatturiera e una violazione di vasta portata ci siano solo il caso e il tempo: è necessario riflettere sulla crescita del rischio e su come ridurlo, puntando su resilienza e capacità di individuare le minacce con tempestività.
La manifattura nel mirino
Secondo IBM, il settore manifatturiero è stato il più colpito a livello mondiale nell’ultimo anno. Ha rappresentato un quarto (26%) degli incidenti a cui sono stati chiamati a intervenire gli esperti del vendor, percentuale che sale al 40% nell’area APAC. Le tecnologie legacy e, in particolare, le tecnologie operative (OT) connesse – come sistemi di controllo industriale e robotica – hanno ampliato la superficie di attacco di molte aziende manifatturiere, offrendo agli avversari ampie opportunità di intrusione.
Altri dati chiave includono:
- Gli exploit di applicazioni pubblicamente accessibili, account validi e servizi di accesso remoto esterni sono stati i vettori iniziali più comuni, evidenziando come i criminali sfruttino punti di accesso mal configurati o insicuri.
- L’accesso ai server (16%) e il malware – in particolare il ransomware (16%) – sono stati le azioni più frequenti, a conferma che gli obiettivi principali degli attaccanti restano la paralisi operativa e l’estorsione economica.
- Estorsione, furto di dati, furto di credenziali e danno reputazionale sono stati gli impatti più rilevanti per le aziende vittime di violazioni.
Parallelamente, Verizon segnala che nel 2025 le violazioni confermate nel settore manifatturiero sono aumentate dell’89% su base annua, con le PMI sotto i 1.000 dipendenti che rappresentano oltre il 90% delle organizzazioni coinvolte. L’analisi evidenzia inoltre che un quinto delle violazioni aveva finalità di spionaggio, contro appena il 3% dell’anno precedente. I dati più frequentemente sottratti sono stati piani, report e comunicazioni riservate, elemento che evidenzia un rischio per la proprietà intellettuale ben oltre la semplice estorsione e indica il possibile coinvolgimento di attori statali o di concorrenti interessati a ottenere segreti industriali. Va aggiunto che la presenza di malware negli incidenti che hanno colpito il comparto manifatturiero è salita dal 50% al 66% nello stesso periodo, un aumento attribuibile soprattutto al ransomware e alla prevalenza del modello di minaccia definito come “System Intrusion”, che combina malware e tecniche di hacking. È evidente che le aziende manifatturiere continueranno a essere nel mirino di avversari sempre più sofisticati.
Casi da cui imparare
Le aziende del settore manifatturiero non devono guardarsi solo dai cybercriminali mossi da fini economici. Una recente campagna individuata da ESET ha preso di mira aziende manifatturiere e di altri settori, ed è stata attribuita al gruppo RomCom, noto per combinare operazioni di spionaggio con campagne opportunistiche. In questo caso è stata sfruttata una vulnerabilità zero-day in WinRAR per sottrarre informazioni sensibili, a dimostrazione dell’elevato livello tecnico di alcuni attori che prendono di mira il settore.
Un altro esempio arriva dalla violazione subita nel 2023 da Clorox, che è costata al produttore di detergenti decine di milioni di dollari. L’incidente, originato da un singolo attacco di vishing e da un set di credenziali compromesse, ha avuto ripercussioni per settimane, bloccando le operazioni e la catena di approvvigionamento. Il fatto che tutto sia partito da un errore umano da parte di un outsourcer IT evidenzia la natura multilivello del rischio informatico per le aziende manifatturiere.
Il ruolo dell’MDR
Come possono le aziende del settore manifatturiero trarre insegnamento da questi episodi per ridurre al minimo il rischio cyber? Il primo passo consiste nel creare resilienza con buone pratiche come l’autenticazione multifattore (MFA), l’applicazione tempestiva delle patch e la cifratura dei dati. Queste misure sono fondamentali per impedire l’accesso iniziale e limitare i movimenti laterali degli attaccanti, ma non bastano da sole.
Occorre adottare un approccio di rilevamento e risposta continua in tutti gli ambienti – email, cloud, server, rete e sistemi operativi. Le grandi imprese, se dispongono delle risorse necessarie, possono farlo internamente tramite un team di security operations (SecOps) che opera da un security operations center (SOC) con strumenti XDR.
Per molte altre aziende, in particolare per quel 90% di realtà manifatturiere con meno di 1.000 dipendenti, la soluzione più efficace può essere affidarsi a un servizio di managed detection and response (MDR). Un provider MDR qualificato può offrire una gamma di funzionalità in modo più rapido ed economicamente vantaggioso rispetto alla creazione di un SOC interno, tra cui:
- monitoraggio delle minacce 24/7/365 da parte di esperti;
- riduzione dei costi rispetto agli investimenti di capitale e operativi necessari per gestire un SOC;
- threat hunting mirato per individuare anche le minacce più sofisticate;
- rilevamento, risposta e contenimento rapidi per limitare l’impatto economico e reputazionale;
- resilienza operativa e finanziaria, per garantire la continuità produttiva anche dopo un attacco
- informazioni utili per prevenire attacchi futuri.
Creare un SOC interno con copertura continua, threat hunting e competenze forensi richiede anni e investimenti consistenti, mentre un provider MDR dispone già di infrastruttura e team operativi. L’onere economico e le competenze necessarie per monitorare ambienti complessi sono spesso un ostacolo, soprattutto per le PMI. Gli approcci MDR puntano su contenimento e recupero rapido, aspetti fondamentali per ridurre i tempi di fermo produttivo: per molte aziende, rappresentano la via più veloce e conveniente verso una maggiore resilienza operativa.
Questione di tempo
Che si tratti di proteggere la proprietà intellettuale, i dati dei clienti o di evitare interruzioni con finalità estorsive, quando gli attori delle minacce colpiscono ogni secondo conta. L’MDR può accelerare il processo di rilevamento e contenimento, fornendo l’allerta precoce necessaria per attivare tempestivamente i piani di risposta agli incidenti.
Il monitoraggio continuo e la visibilità che offre su endpoint, rete e ambienti cloud si integrano perfettamente con un approccio di sicurezza basato sul principio Zero Trust. Combinando competenze umane e tecnologie avanzate, l’MDR può essere la chiave per proteggere l’intera filiera produttiva.
di Samuele Zaniboni, Manager of Sales Engineering di ESET Italia
