5 best practice per proteggere le infrastrutture critiche

Nell’economia digitale di oggi, i data center rappresentano la spina dorsale del commercio globale e delle infrastrutture critiche. Per un numero crescente di aziende, sono il cuore pulsante che elabora dati essenziali, alimenta i servizi cloud e consente il funzionamento delle applicazioni su cui milioni di utenti fanno affidamento ogni giorno.

Anche in Italia, il settore è in forte crescita: da Milano a Roma, si moltiplicano i progetti di nuovi data center, trainati dagli investimenti legati all’intelligenza artificiale e alla transizione digitale. Una rete che, secondo gli analisti, sarà decisiva per la sovranità digitale e per la competitività del Paese.

Tuttavia, dietro le file di server sempre attivi che sostengono gran parte del mondo moderno, si cela un livello meno visibile ma altrettanto cruciale: quello della tecnologia operativa (OT). Questi sistemi gestiscono l’infrastruttura fisica che supporta le funzioni digitali dei data center. In particolare, il livello OT include i Building Management Systems (BMS) che controllano e monitorano climatizzazione, alimentazione elettrica, distribuzione e backup energetico, rilevamento e spegnimento incendi, e molto altro. Un tempo isolati dai rischi informatici, i BMS vengono oggi sempre più spesso connessi alle reti aziendali. Se da un lato ciò offre numerosi vantaggi operativi e gestionali, dall’altro amplia notevolmente la superficie d’attacco a disposizione dei cyber criminali. In caso di violazione della sicurezza, un data center può causare danni reputazionali, perdite economiche, interruzioni operative e persino lunghi periodi di inattività.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente richiamato l’attenzione proprio sul tema, segnalando la crescente vulnerabilità dei sistemi connessi che governano energia, acqua e servizi strategici — spesso gli stessi ecosistemi che ospitano o alimentano i data center.

Perché la cybersecurity OT è fondamentale nei data center

I data center sono ambienti ad alta disponibilità, con esigenze di potenza e raffreddamento enormi e in costante aumento. A seconda delle dimensioni, un tipico data center aziendale può consumare diversi megawatt di elettricità al giorno e richiede controlli ambientali estremamente precisi per garantire la continuità operativa.

Diversamente dagli asset IT, gli ambienti OT vengono progettati principalmente per garantire efficienza operativa, non sicurezza informatica. Per questo motivo, è comune che i sistemi OT utilizzino software e piattaforme legacy, spesso non aggiornabili o che non possono essere messi offline per applicare patch di sicurezza. Al centro di questi sistemi OT si trovano i BMS, che assicurano il corretto funzionamento delle operazioni fisiche del data center. Data la natura critica delle infrastrutture che supportano, una minaccia digitale può tradursi rapidamente in conseguenze fisiche reali.

Ancora più preoccupante è il fatto che molte organizzazioni non siano pronte ad affrontare il complesso panorama di minacce che grava sui BMS nell’era della convergenza IT/OT. Secondo una ricerca condotta da Team82, il 75% delle aziende analizzate utilizza dispositivi BMS affetti da vulnerabilità note e sfruttabili (KEV, Known Exploitable Vulnerabilities), molte delle quali sono collegate a campagne ransomware. Lo studio ha inoltre rilevato che numerosi BMS sono connessi a Internet in modo poco sicuro, spesso senza una soluzione di accesso protetto o una VPN.

Cinque best practice per proteggere l’OT nei data center

I data center rappresentano obiettivi ad alto valore per i cyber criminali. Considerata la complessità e l’evoluzione costante del panorama delle minacce, proteggere l’OT nei data center richiede un approccio mirato, capace di integrare cybersecurity e protezione dei sistemi BMS. Ecco cinque best practice fondamentali:

  1. Inventario degli asset

Se non puoi vederlo, non puoi proteggerlo. È essenziale disporre di un inventario completo di tutti gli asset gestiti dai BMS — dai sistemi HVAC agli impianti di raffreddamento e agli ascensori — includendo anche componenti correlati, connessioni e dipendenze.

  1. Segmentazione della rete

Gli aggressori che riescono ad ottenere l’accesso non autorizzato a una parte della rete possono muoversi lateralmente anche verso altre aree. Segmentare la rete in zone isolate limita i danni e consente di guadagnare tempo prezioso per intervenire. Nei data center, separare la rete BMS da quella IT è una pratica efficace per isolare rapidamente eventuali compromissioni e reagire con maggiore tempestività.

  1. Accesso remoto sicuro

L’accesso di terze parti alle reti aziendali è un tema complesso: utile per fornitori e tecnici, ma anche una delle principali vie d’ingresso per gli attaccanti. Gli ambienti OT richiedono difese specifiche: i tradizionali firewall o jump server IT non sono sufficienti. Una soluzione di accesso sicuro per l’OT deve includere accessi con privilegi minimi, autenticazione a più fattori (MFA) e funzionalità avanzate di monitoraggio e reporting.

  1. Rilevamento delle minacce

Una strategia efficace di rilevamento delle minacce OT deve essere proattiva. È fondamentale identificare le anomalie prima che si trasformino in attacchi, contestualizzare gli allarmi in base all’ambiente OT e garantire un monitoraggio in tempo reale.

  1. Gestione delle esposizioni

Non basta possedere l’elenco delle vulnerabilità: serve una strategia capace di dare priorità alla protezione dei dispositivi più critici, ossia quelli che, se compromessi, avrebbero il maggiore impatto sul business e sulla continuità operativa.

Il futuro della cybersecurity OT nei data center

Man mano che i confini tra IT e OT si fanno sempre più sfumati, i data center più resilienti adottano strategie di protezione integrata, in grado di coprire sia gli ambienti fisici sia quelli digitali. Queste strategie devono includere rilevamento e risposta alle minacce, segmentazione della rete, gestione delle esposizioni, inventario degli asset e accesso remoto sicuro. Inoltre, le soluzioni più efficaci devono garantire anche la protezione dei dispositivi BMS, fondamentali per la sicurezza dell’ambiente OT di un data center. Con la piattaforma Claroty, le aziende possono beneficiare di un’unica soluzione che offre accesso remoto sicuro per proteggere le connessioni di terze parti, funzionalità avanzate di discovery per identificare tutti i dispositivi nella rete, rilevamento delle minacce per individuare anomalie prima che diventino attacchi, e molto altro.