Risikoen ved å bevæpne hverdagsgjenstander

En radioenhet eksploderer i Baalbek, Libanon, 18. september. (Kilde: Anadolu)

De nylige angrepene i Libanon med eksplosive personsøkere og walkie-talkier er en ny taktikk og utgjør en stor sikkerhetsutfordring for alle land rundt om i verden .

Det unike med denne taktikken er at den ikke handler om teknologisk sabotasje rettet mot fienden. Historisk sett har trojanerhest-taktikken blitt brukt ved å utnytte kommunikasjons- eller militært utstyr for deretter å angripe spesifikke mål.

Programvaremålretting

Angrepene i Libanon har vært kontroversielle fordi de brukte eksplosive innretninger som er mye brukt i sivilt liv. Angrepene i Libanon har drept 37 mennesker, inkludert to barn, og flere Hizbollah-kommandører, og skadet nesten 3000.

Eksperter på internasjonal humanitærrett har anklaget angrepet for å bryte med internasjonal lov fordi det ikke skilte mellom militære og sivile mål og brukte forbudte feller i konvensjonelle anordninger som kunne sette sivile i fare. Sikkerhetsanalytikere har i mellomtiden advart om at det kan signalisere en ny æra med «bevæpning» av hverdagsgjenstander.

Angrep der «tingenes internett»-enheter saboteres eller deaktiveres ved bevisst å ødelegge enhetens programvare, blir stadig vanligere. Fordi produsenter kontrollerer programvaren som produktene samler inn og behandler data om, har disse selskapene innebygde muligheter for å oppgradere eller nedgradere funksjonalitet. Dette gir også mulighet for «forebyggende justeringer» når selskaper bevisst reduserer denne funksjonaliteten ved strategisk å begrense programvareoppdateringer.

Et nylig eksempel på markedet er en tvist mellom en togprodusent og et jernbaneselskap i Polen som gjorde noen nylig reparerte tog ubrukelige i flere måneder i 2022 fordi produsenten brukte digitale fjernlåser.

Disse eksemplene illustrerer viktigheten av å kontrollere programvare i en tid der stadig flere produkter og infrastruktur er nettverkskoblet. I stedet for å bruke sabotasje eller i hemmelighet produsere eksplosive enheter ved hjelp av falske dekkselskaper, kan aktører målrette programvare. Aktører kan infiltrere produsenter for å manipulere programvareproduksjonsforsyninger, utnytte sårbarheter eller rett og slett angripe nettverk.

Sikkerhetsetterretningstjenester har lenge understreket behovet for å beskytte kritisk infrastruktur som i økende grad er avhengig av digitale nettverk, fra smarte strømnett til nødkommunikasjonssystemer og trafikkontrollsystemer.

I 2021 advarte den kanadiske sikkerhetsetterretningstjenesten (CSIS) om at utnyttelse av kritiske infrastruktursystemer av fiendtlige aktører ville ha «alvorlige økonomiske, sosiale, helsemessige og sikkerhetsmessige konsekvenser» i landet.

Sikre sikkerheten til folk

For å forstå den potensielle effekten er det viktig å starte med det trivielle. Et to dager langt strømbrudd for Rogers Communications-kunder i juli 2022 slo ut internett- og mobiltjenestene for mer enn 12 millioner kunder over hele Canada på grunn av en systemoppgraderingsfeil.

Angrepene i Libanon utgjør et potensielt brudd på folkeretten ved at de er rettet mot sivile og bruker hverdagsgjenstander med feller. Våpngjøringen av kommunikasjonsutstyr i angrepene er under nøye etterforskning. Tidligere CIA-direktør Leon Panetta har beskrevet angrepene som en form for terrorisme.

Når flere produsenter og distributører er involvert i monteringen av et produkt, må sluttforbrukeren kunne stole på integriteten til forsyningskjeden som produserte og leverte produktet. I tilfellet med angrepene i Libanon merkes de økonomiske og politiske konsekvensene i stor grad, og det vil være vanskelig å gjenoppbygge tilliten.

I tillegg til å vurdere konsekvensene av angrep på globale forsyningskjeder, er det også politiske implikasjoner for produsenter av «tingenes internett»-varer, noe som krever forbedrede praksiser for selskapsstyring.

Den føderale kommunikasjonskommisjonen (FCC) godkjente nylig et frivillig merkeprogram for «tingenes internett» i 2024 som vil tillate produsenter å vise landets «Virtual Network Trustmark». Målet er å hjelpe forbrukere med å ta informerte kjøpsbeslutninger og oppmuntre produsenter til å oppfylle stadig strengere standarder for nettsikkerhet.

Angrepene i Libanon understreker behovet for at myndigheter på alle nivåer setter passende krav til anskaffelse og drift av digital infrastruktur. Dette må inkludere å avklare hvem som er ansvarlig for drift og reparasjon av infrastrukturen for å bedre sikre offentlig sikkerhet i en tid med cybertrusler.