Sulla scia dell’incontro acrimonioso e aggressivo del Presidente Donald Trump con il Presidente dell’Ucraina Zelenskyy, abbiamo appreso che il Segretario alla Difesa Pete Hegseth ha rafforzato l’orientamento degli Stati Uniti verso una posizione più favorevole al Cremlino, sospendendo le operazioni informatiche offensive del Comando Cyber degli Stati Uniti (USCYBERCOM) contro la Russia.
Cosa significa questo per i privati cittadini e le imprese? Il messaggio è in linea con quello militare che la Casa Bianca sta inviando all’Europa e all’Ucraina: è tempo di rafforzare le vostre difese contro la Russia, perché gli Stati Uniti stanno ritirando il supporto militare sia sul campo di battaglia cibernetico che su quello cinetico.
L’impatto della sospensione delle operazioni cyber
L’aspetto unico di questo sviluppo, tuttavia, è l’impatto diretto sul settore privato e sui cittadini comuni, perché la Russia è senza dubbio la fonte più importante di attività criminali informatiche, sponsorizzate o tollerate dal Cremlino. L’USCYBERCOM fornisce un supporto indiretto ma fondamentale alle imprese, interrompendo le operazioni dei criminali informatici russi – in particolare gli attacchi ransomware – e scoraggiando gli attacchi futuri attraverso la minaccia implicita di ritorsioni. Togliere questo importante strumento dal tavolo equivale a un cessate il fuoco parziale ma unilaterale che richiederà una vigilanza ancora maggiore da parte degli attori privati.
La condivisione di informazioni sulla cybersecurity
Almeno fino all’insediamento di Trump, la Cybersecurity Infrastructure and Security Agency (CISA) pubblicava regolarmente avvisi che fornivano informazioni dettagliate sulle minacce russe alla sicurezza informatica per aiutare Paesi e aziende a rafforzare le proprie difese informatiche. Tra questi, nel settembre 2024 è stato pubblicato un importante avviso riguardante l’Unità 29155 della GRU, un gruppo di cyber-attori dell’intelligence russa che ha iniziato a distribuire il malware distruttivo WhisperGate contro le vittime ucraine nel gennaio 2022.
Questo avviso, pubblicato in collaborazione con USCYBERCOM, l’FBI e agenzie di intelligence di Regno Unito, Germania, Ucraina, Canada e altri paesi, rappresenta il meglio della condivisione di informazioni tra pubblico e privato. Il documento contiene informazioni dettagliate su vulnerabilità ed esposizioni comuni (CVE), informazioni informatiche preziose e concrete che possono essere integrate nei sistemi di difesa informatica delle aziende per proteggerle meglio da questi aggressori. L’avviso include una narrativa passo-passo di come WhisperGate conduce i suoi attacchi.
Possiamo solo sperare che la CISA non abbassi la guardia contro le minacce informatiche russe e continui a condividere questo tipo di informazioni sulle minacce russe nonostante l’ordine di Hegseth. Ma togliere dal tavolo le operazioni offensive priva non solo le aziende americane, ma anche quelle di tutto il mondo, di una linea di difesa indiretta ma importante: la capacità dell’esercito statunitense di disattivare gli attacchi russi prima che abbiano un impatto sul settore privato e sui cittadini, e la loro capacità di dissuaderli attraverso la minaccia implicita di ritorsioni.
Le regole di ingaggio nel cyber warfare
Cosa significa questo in termini concreti? Gli Stati Uniti non lanciano attacchi offensivi contro infrastrutture civili o critiche russe con l’obiettivo di infliggere danni economici o umanitari. Queste regole di ingaggio sono molto diverse da quelle della Russia, che attacca regolarmente le infrastrutture civili, compresi gli ospedali, mettendo in pericolo vite umane e causando danni economici per miliardi di euro all’anno.
Le operazioni offensive di USCYBERCOM, invece, prevedono la disattivazione dei server di malware, la prevenzione della diffusione di ransomware o l’interruzione dei sistemi di comando e controllo dei criminali informatici russi, rendendo loro più difficile operare e danneggiare le imprese. USCYBERCOM interrompe anche gli attacchi informatici russi alle infrastrutture critiche come le reti energetiche, i sistemi finanziari e le reti di trasporto. In questo modo, USCYBERCOM contribuisce a proteggere il più ampio ambiente economico in cui operano tutte le imprese. Se le infrastrutture critiche vengono compromesse, gli effetti a catena si ripercuotono su tutti noi, sia a livello economico che umano.
L’Italia nel mirino dei cyberattacchi
L’Italia è al centro dell’attenzione indesiderata della Russia. Il gruppo di hacker filo-russo NoName ha rivendicato la responsabilità dei cyberattacchi che hanno colpito i siti web del governo italiano, tra cui ministeri, servizi pubblici e piattaforme di trasporto in città come Roma e Palermo. Lo hanno fatto esplicitamente per vendicare l’incontro del primo ministro Giorgia Meloni con il presidente ucraino Volodymyr Zelenskyy, in cui ha ribadito il sostegno all’Ucraina. Anche a prescindere da questi attacchi di alto profilo, tuttavia, le aziende italiane sono regolarmente vittime di attacchi ransomware basati o a vantaggio di bande di criminali informatici russi.
Finora, il Cremlino non ha dato alcuna indicazione della sua intenzione di ricambiare la generosissima offerta di Hegseth, rinunciando alle operazioni informatiche offensive. Non c’è assolutamente alcun motivo di credere che il ritiro dell’USCYBERCOM dalle operazioni informatiche offensive possa aiutare la sicurezza informatica di chiunque, Italia, Stati Uniti o Ucraina. La Casa Bianca sta inviando un messaggio molto chiaro: È tempo che le imprese europee rafforzino le proprie difese informatiche, così come i governi in Europa sono chiamati a rafforzare le proprie difese militari nei confronti della Russia.
Strategie di difesa e incentivi per la cybersecurity
Fortunatamente, l’Italia offre importanti incentivi fiscali alle aziende di tutte le dimensioni, in particolare alle PMI, per migliorare le loro difese informatiche, tra cui l’implementazione di piattaforme di cyber intelligence per concentrare le difese sulle minacce più rilevanti; la conduzione di valutazioni di vulnerabilità esterne e interne per identificare e mitigare qualsiasi rischio importante; lo sviluppo e l’implementazione di strategie anti-ransomware. È il momento di approfittare di questi programmi, perché la perdita dell’offesa dell’USCYBERCOM significa che tutti noi dobbiamo migliorare la nostra difesa.
