Ryzyko wykorzystywania przedmiotów codziennego użytku jako broni

18 września w Baalbeku w Libanie doszło do eksplozji urządzenia radiowego. (Źródło: Anadolu)

Ostatnie ataki w Libanie za pomocą pagerów i krótkofalówek wypełnionych materiałami wybuchowymi to nowa taktyka i poważne wyzwanie dla bezpieczeństwa wszystkich krajów na świecie .

Unikalność tej taktyki polega na tym, że nie polega ona na sabotażu technologicznym wymierzonym we wroga. Historycznie taktyka konia trojańskiego była stosowana poprzez wykorzystywanie łączności lub sprzętu wojskowego do atakowania konkretnych celów.

Targetowanie oprogramowania

Ataki w Libanie wzbudziły kontrowersje, ponieważ użyto w nich ładunków wybuchowych powszechnie stosowanych w cywilach. W wyniku ataków zginęło 37 osób, w tym dwoje dzieci, oraz kilku dowódców Hezbollahu, a prawie 3000 zostało rannych.

Eksperci międzynarodowego prawa humanitarnego oskarżyli atak o naruszenie prawa międzynarodowego, ponieważ nie rozróżniono celów wojskowych od cywilnych oraz wykorzystano zakazane pułapki w konwencjonalnych urządzeniach, które mogłyby zagrozić ludności cywilnej. Analitycy bezpieczeństwa ostrzegają natomiast, że może to zwiastować nową erę „uzbrajania” przedmiotów codziennego użytku.

Ataki, w których urządzenia „internetu rzeczy” są sabotowane lub wyłączane poprzez celowe uszkodzenie oprogramowania, stają się coraz powszechniejsze. Ponieważ producenci kontrolują oprogramowanie, za pomocą którego produkty zbierają i przetwarzają dane, firmy te dysponują wbudowanymi możliwościami aktualizacji lub obniżenia wersji funkcjonalności. Pozwala to również na „korekty prewencyjne”, gdy firmy celowo ograniczają tę funkcjonalność poprzez strategiczne ograniczanie aktualizacji oprogramowania.

Niedawnym przykładem na rynku jest spór między producentem pociągów a polską spółką kolejową, w wyniku którego niektóre niedawno naprawione pociągi w 2022 r. stały się bezużyteczne przez kilka miesięcy, ponieważ producent zastosował zdalne zamki cyfrowe.

Te przykłady ilustrują wagę kontrolowania oprogramowania w erze, w której coraz więcej produktów i infrastruktury jest połączonych w sieć. Zamiast stosować sabotaż lub potajemnie produkować ładunki wybuchowe za pośrednictwem fałszywych firm-przykrywek, aktorzy mogą atakować oprogramowanie. Mogą infiltrować producentów, aby manipulować materiałami do produkcji oprogramowania, wykorzystywać luki w zabezpieczeniach lub po prostu atakować sieci.

Agencje wywiadowcze od dawna podkreślają potrzebę ochrony krytycznej infrastruktury, która w coraz większym stopniu opiera się na sieciach cyfrowych – od inteligentnych sieci energetycznych po systemy łączności alarmowej i systemy sterowania ruchem drogowym.

W 2021 roku Kanadyjska Służba Wywiadu Bezpieczeństwa (CSIS) ostrzegła, że ​​eksploatacja systemów infrastruktury krytycznej przez wrogie podmioty będzie miała „poważne konsekwencje finansowe, społeczne, zdrowotne i dotyczące bezpieczeństwa” w kraju.

Zapewnienie bezpieczeństwa ludziom

Aby zrozumieć potencjalny wpływ, ważne jest, aby zacząć od przyziemnych spraw. Dwudniowa przerwa w dostawie prądu dla klientów Rogers Communications w lipcu 2022 roku spowodowała przerwę w dostępie do internetu i usług mobilnych dla ponad 12 milionów klientów w całej Kanadzie z powodu błędu aktualizacji systemu.

Ataki w Libanie stanowią potencjalne naruszenie prawa międzynarodowego ze względu na celowe wykorzystanie ludności cywilnej i przedmiotów codziennego użytku w postaci pułapek. Użycie sprzętu komunikacyjnego w atakach jest przedmiotem szczegółowego śledztwa. Były dyrektor CIA Leon Panetta określił te ataki jako formę terroryzmu.

Gdy w montaż produktu zaangażowanych jest wielu producentów i dystrybutorów, konsument końcowy musi mieć zaufanie do integralności łańcucha dostaw, który wyprodukował i dostarczył ten produkt. W przypadku ataków w Libanie skutki gospodarcze i polityczne są szeroko odczuwalne, a odbudowanie zaufania będzie trudne.

Oprócz rozważań nad konsekwencjami ataków na globalne łańcuchy dostaw, należy również wziąć pod uwagę implikacje polityczne dla producentów towarów „internetu rzeczy”, wymagające stosowania bardziej rygorystycznych praktyk ładu korporacyjnego.

Federalna Komisja Łączności (FCC) niedawno zatwierdziła dobrowolny program etykietowania „Internetu Rzeczy” w 2024 roku, który umożliwi producentom umieszczanie na etykietach krajowego „Virtual Network Trustmark”. Celem programu jest pomoc konsumentom w podejmowaniu świadomych decyzji zakupowych i zachęcenie producentów do spełniania coraz surowszych standardów cyberbezpieczeństwa.

Ataki w Libanie uwypuklają potrzebę ustanowienia przez rządy wszystkich szczebli odpowiednich wymogów dotyczących zakupu i eksploatacji infrastruktury cyfrowej. Konieczne jest wyjaśnienie, kto odpowiada za eksploatację i naprawę infrastruktury, aby lepiej zapewnić bezpieczeństwo publiczne w dobie cyberzagrożeń.