Le minacce cyber provenienti da nazioni ostili mostrano una crescente integrazione tra operazioni digitali e attacchi fisici, mentre gli Stati Uniti preparano una strategia offensiva per imporre costi agli avversari e il Regno Unito lancia un allarme sullo spionaggio cinese via LinkedIn. Nel primo periodo emergono tre direttrici chiave: il cambio di paradigma annunciato dal direttore nazionale cyber Usa Sean Cairncross, l’allerta Mi5 su operazioni di intelligence cinesi contro parlamentari e staff britannici, e la decisione della Fcc di revocare le regole cyber introdotte dopo gli attacchi Salt Typhoon. In parallelo, leader del settore come Kevin Mandia, Sandra Joyce e Steve Schmidt avvertono che la difesa tradizionale non è più sufficiente di fronte a minacce AI-driven e a modelli operativi che trasformano il cyber in strumento per colpire obiettivi fisici. Queste dinamiche ridisegnano lo scenario della sicurezza, evidenziando rischi crescenti per infrastrutture critiche, reti governative e aziende private.
Cosa leggere
Strategia cyber Usa in fase di evoluzione
Sean Cairncross annuncia la necessità di inviare segnali forti agli avversari, dichiarando che gli Stati Uniti devono passare da un approccio reattivo a una postura proattiva e offensiva. La nuova strategia, descritta come concisa e orientata all’azione, collega il settore governativo a quello privato, riconoscendo che la maggior parte delle infrastrutture critiche è gestita da aziende non federali. Cairncross sottolinea che gli Usa non hanno finora imposto conseguenze credibili agli attori ostili e che la mancanza di una strategia top-cover ha lasciato spazio a operazioni sempre più aggressive da parte di Cina, Russia e Iran. Kevin Mandia osserva che i criminali e gli attori statali adottano nuove tecnologie, incluse soluzioni basate su intelligenza artificiale, più rapidamente dei difensori. Prevede attacchi condotti da agenti AI autonomi, capaci di scalare operazioni su vasta scala. Sandra Joyce critica il modello attuale, basato su un governo che agisce e un’industria che fornisce intelligence: secondo lei, questo schema non funziona più, come dimostrato dalla rapida ripresa di minacce come Lumma dopo la disruption dell’Fbi. Cairncross non fornisce una timeline precisa per il rollout, ma assicura che la strategia sarà accompagnata da un piano operativo dettagliato.
Allarme Mi5 su spionaggio cinese via LinkedIn
Il Mi5 emette un avviso urgente su campagne di spionaggio cinese rivolte a parlamentari, consulenti, economisti e membri dello staff di Westminster. Le operazioni, condotte tramite LinkedIn con profili falsi di headhunter, mirano a costruire relazioni per ottenere accesso a informazioni sensibili. Dan Jarvis spiega alla House of Commons che la Cina possiede una “soglia molto bassa” per i dati ritenuti preziosi e che raccoglie singoli frammenti per costruire un quadro strategico più ampio. Il Regno Unito rimuove progressivamente attrezzature di sorveglianza cinesi da siti governativi sensibili, in seguito alla legge di intelligence nazionale cinese che impone alle aziende di cooperare con strutture di sicurezza dello Stato. La rimozione segue la decisione del 2022 di bandire videocamere e tecnologie di monitoraggio prodotte da aziende soggette alla legislazione cinese. Jarvis annuncia un investimento di 202 milioni di euro in tecnologie criptate e sovrane per proteggere il lavoro dei funzionari pubblici.
Revoca delle regole Fcc post-Salt Typhoon
La Fcc vota per revocare le regole di sicurezza introdotte nel gennaio 2025 a seguito degli attacchi condotti dal gruppo cinese Salt Typhoon. Le misure obbligavano i carrier telecom a implementare controlli accesso, multi-factor authentication e patching vulnerabilità, ma la Commissione le considera inefficaci e oltre il mandato legale. Le associazioni industriali, come Ctia e Ncta, sostengono che il pacchetto trasformava il framework Calea da strumento per intercettazioni legali a mandato di sicurezza prescrittivo e uniforme. L’Electronic Privacy Information Center si oppone alla revoca, avvertendo del rischio di creare una zona di comfort per pratiche non sicure. La Fcc replica che preferisce un approccio collaborativo con l’industria attraverso Comm-Isac, Csric e partnership con Nist e Cisa. Intanto, Salt Typhoon continua a rappresentare una minaccia attiva: dal 2019 il gruppo ha compromesso dati governativi Usa, telecomunicazioni, università e individui in 80 Paesi, sottraendo informazioni sensibili e segreti commerciali.
Minacce cyber-cinetiche da nazioni ostili
Steve Schmidt di Amazon evidenzia una trasformazione radicale: Iran, Russia e Cina sfruttano operazioni cyber per ottenere dati di targeting utili a pianificare attacchi fisici. Questo modello non rientra né nel cyber tradizionale né nella guerra convenzionale, ma in un’ibridazione in cui informazioni raccolte online alimentano decisioni cinetiche. Gruppi come Imperial Kitten e MuddyWater conducono ricognizioni digitali su sistemi marittimi, reti Cctv e strutture civili prima di attacchi missilistici. Imperial Kitten compromette sistemi navali tra 2021 e 2022, connessi successivamente a uno strike Houthi nel 2024. MuddyWater accede a feed Cctv a Gerusalemme prima degli attacchi iraniani del 2024. Schmidt chiarisce che sicurezza fisica e digitale non possono più essere considerate distinte: aziende di spedizioni, produttori di elettronica e gestori di infrastrutture diventano bersagli di alto valore, poiché offrono dati utili alla raccolta di intelligence.
Implicazioni per infrastrutture critiche
L’integrazione tra cyber e warfare fisico rappresenta un amplificatore dei rischi per infrastrutture critiche. Gli Stati Uniti preparano una strategia offensiva per imporre costi agli avversari, mentre il settore privato, custode della maggior parte delle risorse sensibili, deve allinearsi a un nuovo modello operativo. Mandia prevede attacchi AI in scala, Joyce segnala l’insufficienza del modello informativo attuale e la Fcc abbandona regole percepite come poco efficaci. Il Regno Unito, intanto, fronteggia la pressione cinese sul fronte dello spionaggio e investe in infrastrutture sicure. Schmidt avverte che gruppi iraniani e cinesi combinano informazioni raccolte online con azioni fisiche, creando uno scenario in cui la protezione dei dati coincide con la protezione della vita reale. Le organizzazioni iniziano a integrare sicurezza digitale e fisica, migliorando la condivisione di intelligence e rafforzando le difese contro minacce che evolvono rapidamente.
