Riziko zneužití předmětů denní potřeby

Rádiové zařízení explodovalo v Baalbeku v Libanonu 18. září. (Zdroj: Anadolu)

Nedávné útoky v Libanonu pomocí pagerů a vysílaček nabitých výbušninami jsou novou taktikou a představují velkou bezpečnostní výzvu pro všechny země světa .

Unikátní na této taktice je, že se nejedná o technologickou sabotáž zaměřenou na nepřítele. Historicky se taktika trojského koně používala k zneužití komunikací nebo vojenského vybavení k následnému cílení na konkrétní cíle.

Cílení na software

Útoky v Libanonu byly kontroverzní, protože při nich byly použity výbušné systémy, které se široce používají v civilním životě. Při útocích v Libanonu zemřelo 37 lidí, včetně dvou dětí, a několik velitelů Hizballáhu, a téměř 3 000 jich bylo zraněno.

Odborníci na mezinárodní humanitární právo obvinili útok z porušení mezinárodního práva, protože nerozlišoval mezi vojenskými a civilními cíli a v konvenčních zařízeních použil zakázané nástražné pasti, které by mohly ohrozit civilisty. Bezpečnostní analytici mezitím varovali, že by to mohlo signalizovat novou éru „ozbrojení“ předmětů denní potřeby.

Útoky, při kterých jsou zařízení „internetu věcí“ sabotována nebo deaktivována úmyslným poškozením softwaru zařízení, jsou stále častější. Protože výrobci kontrolují software, který produkty shromažďují a zpracovávají data, mají tyto společnosti vestavěné funkce pro upgrade nebo downgrade funkcí. To také umožňuje „preventivní úpravy“, když společnosti záměrně omezí tuto funkčnost strategickým omezením aktualizací softwaru.

Nedávným příkladem na trhu je spor mezi výrobcem vlaků a železniční společností v Polsku, který v roce 2022 způsobil, že některé nedávno opravené vlaky byly po několik měsíců nepoužitelné, protože výrobce používal dálkové digitální zámky.

Tyto příklady ilustrují důležitost kontroly softwaru v době, kdy je stále více produktů a infrastruktur propojeno v síti. Místo sabotáží nebo tajné výroby výbušných zařízení za použití falešných krycích společností se aktéři mohou zaměřit na software. Aktéři se mohou infiltrovat do výrobců, aby manipulovali s dodávkami softwaru, zneužívali zranitelnosti nebo jednoduše útočili na sítě.

Bezpečnostní zpravodajské služby již dlouho zdůrazňují potřebu chránit kritickou infrastrukturu, která se stále více spoléhá na digitální sítě, od inteligentních energetických sítí přes systémy nouzové komunikace až po systémy řízení dopravy.

V roce 2021 Kanadská bezpečnostní zpravodajská služba (CSIS) varovala, že zneužívání systémů kritické infrastruktury nepřátelskými aktéry bude mít v zemi „vážné finanční, sociální, zdravotní a bezpečnostní dopady“.

Zajištění bezpečnosti pro lidi

Abychom pochopili potenciální dopad, je důležité začít s obyčejnými věcmi. Dvoudenní výpadek proudu pro zákazníky společnosti Rogers Communications v červenci 2022 způsobil kvůli chybě při aktualizaci systému výpadek internetu a mobilních služeb pro více než 12 milionů zákazníků v celé Kanadě.

Útoky v Libanonu představují potenciální porušení mezinárodního práva, protože cílí na civilisty a používají nastražené předměty denní potřeby. Použití komunikačního vybavení jako zbraní při útocích je předmětem důkladného vyšetřování. Bývalý ředitel CIA Leon Panetta označil útoky za formu terorismu.

Pokud se na montáži produktu podílí více výrobců a distributorů, musí mít koncový spotřebitel důvěru v integritu dodavatelského řetězce, který daný produkt vyrobil a dodal. V případě útoků v Libanonu jsou ekonomické a politické dopady citelné široce a bude obtížné důvěru znovu získat.

Kromě zohlednění důsledků útoků na globální dodavatelské řetězce existují také politické důsledky pro výrobce zboží „internetu věcí“, které vyžadují posílené postupy správy a řízení společností.

Federální komunikační komise (FCC) nedávno schválila v roce 2024 dobrovolný program označování „internetu věcí“, který výrobcům umožní zobrazovat národní označení „Virtual Network Trustmark“. Cílem je pomoci spotřebitelům činit informovaná rozhodnutí o nákupu a povzbudit výrobce k plnění stále přísnějších standardů kybernetické bezpečnosti.

Útoky v Libanonu zdůrazňují potřebu, aby vlády na všech úrovních stanovily vhodné požadavky na pořizování a provoz digitální infrastruktury. To musí zahrnovat vyjasnění toho, kdo je odpovědný za provoz a opravy infrastruktury, aby se lépe zajistila veřejná bezpečnost v době kybernetických hrozeb.