A mindennapi tárgyak fegyverként való felhasználásának kockázata

Rádiókészülék robbant fel Baalbekben, Libanonban, szeptember 18-án. (Forrás: Anadolu)

A robbanóanyaggal megrakott személyhívók és walkie-talkie-k segítségével elkövetett közelmúltbeli libanoni támadások új taktikát képviselnek, és komoly biztonsági kihívást jelentenek a világ minden országa számára.

Ennek a taktikának az az egyedülálló tulajdonsága, hogy nem az ellenség elleni technológiai szabotázsról van szó. Történelmileg a trójai faló taktikáját kommunikációs vagy katonai felszerelések kihasználásával alkalmazták konkrét célpontok megcélzására.

Szoftveres célzás

A libanoni támadások ellentmondásosak, mivel olyan robbanószerkezeteket használtak, amelyeket széles körben használnak a civil életben. A libanoni támadásokban 37 ember, köztük két gyermek, és több Hezbollah-parancsnok halt meg, és közel 3000 ember megsebesült.

A nemzetközi humanitárius jogi szakértők azzal vádolják a támadást, hogy megsértette a nemzetközi jogot, mivel nem tett különbséget a katonai és a polgári célpontok között, és tiltott csapdákat használt a hagyományos eszközökben, amelyek veszélyeztethetik a civileket. Biztonsági elemzők eközben arra figyelmeztetnek, hogy a támadás a mindennapi tárgyak „fegyverkezésének” új korszakát jelezheti.

Egyre gyakoribbak azok a támadások, amelyek során a „dolgok internete” eszközeit szabotálják vagy letiltják az eszköz szoftverének szándékos megrongálásával. Mivel a gyártók ellenőrzik a szoftvereket, amelyekkel a termékek adatokat gyűjtenek és dolgoznak fel, ezek a vállalatok beépített képességekkel rendelkeznek a funkciók frissítésére vagy visszaminősítésére. Ez lehetővé teszi a „megelőzési módosításokat” is, amikor a vállalatok szándékosan csökkentik ezt a funkciót a szoftverfrissítések stratégiai korlátozásával.

Egy friss piaci példa egy vonatgyártó és egy vasúttársaság között kialakult vita Lengyelországban, amely során 2022-ben néhány nemrégiben javított vonat hónapokig használhatatlanná vált, mivel a gyártó távirányítású digitális zárakat használt.

Ezek a példák jól illusztrálják a szoftverek ellenőrzésének fontosságát egy olyan korban, amikor egyre több termék és infrastruktúra hálózatba van kötve. A szabotázs vagy a titokban gyártott robbanószerkezetek helyett, hamis fedőcégek segítségével, a szereplők célba vehetik a szoftvereket. A szereplők beépülhetnek a gyártókhoz, hogy manipulálják a szoftvergyártási kellékeket, kihasználják a sebezhetőségeket, vagy egyszerűen megtámadják a hálózatokat.

A biztonsági hírszerző ügynökségek régóta hangsúlyozzák a kritikus infrastruktúra védelmének szükségességét, amely egyre inkább a digitális hálózatokra támaszkodik, az intelligens energiahálózatoktól kezdve a vészhelyzeti kommunikációs rendszereken át a forgalomirányító rendszerekig.

2021-ben a kanadai Biztonsági Hírszerző Szolgálat (CSIS) figyelmeztetett, hogy a kritikus infrastrukturális rendszerek ellenséges szereplők általi kiaknázása „súlyos pénzügyi, társadalmi, egészségügyi és biztonsági következményekkel” járna az országban.

Az emberek biztonságának garantálása

A lehetséges hatások megértéséhez fontos a hétköznapi dolgokkal kezdeni. A Rogers Communications ügyfeleinél 2022 júliusában bekövetkezett kétnapos áramszünet több mint 12 millió kanadai ügyfél internet- és mobilszolgáltatását szüntette meg egy rendszerfrissítési hiba miatt.

A libanoni támadások a nemzetközi jog potenciális megsértését jelentik, mivel civileket céloznak meg és csapdákkal felszerelt mindennapi tárgyakat használnak. A támadásokban használt kommunikációs berendezések fegyverként való felhasználását szoros vizsgálat alatt tartják. Leon Panetta, a CIA volt igazgatója a terrorizmus egyik formájának minősítette a támadásokat.

Amikor egy termék összeszerelésében több gyártó és forgalmazó vesz részt, a végfelhasználónak megbíznia kell a terméket előállító és szállító ellátási lánc integritásában. A libanoni támadások esetében a gazdasági és politikai hatások széles körben érezhetők, és nehéz lesz újjáépíteni a bizalmat.

A globális ellátási láncok elleni támadások következményeinek mérlegelése mellett a „dolgok internete” termékeinek gyártóira vonatkozó politikai vonatkozások is vannak, amelyek fokozott vállalatirányítási gyakorlatokat igényelnek.

A Szövetségi Kommunikációs Bizottság (FCC) nemrégiben jóváhagyta a 2024-re induló önkéntes „dolgok internete” címkézési programot, amely lehetővé teszi a gyártók számára, hogy megjelenítsék az ország „Virtuális Hálózati Megbízhatósági Jelzését”. A cél az, hogy segítsen a fogyasztóknak megalapozott vásárlási döntéseket hozni, és ösztönözze a gyártókat az egyre szigorúbb kiberbiztonsági szabványoknak való megfelelésre.

A libanoni támadások rávilágítanak arra, hogy a kormányoknak minden szinten megfelelő követelményeket kell meghatározniuk a digitális infrastruktúra beszerzésére és üzemeltetésére vonatkozóan. Ennek magában kell foglalnia annak tisztázását is, hogy ki a felelős az infrastruktúra üzemeltetéséért és javításáért, hogy jobban garantálható legyen a közbiztonság a kiberfenyegetések korában.