Ризик використання предметів повсякденного вжитку як озброєння

18 вересня в Баальбеку, Ліван, вибухнув радіопристрій. (Джерело: Anadolu)

Нещодавні напади в Лівані з використанням пейджерів та рацій, начинених вибухівкою, є новою тактикою та створюють серйозну загрозу безпеці для всіх країн світу .

Унікальність цієї тактики полягає в тому, що вона не стосується технологічного саботажу, спрямованого проти ворога. Історично тактика «троянського коня» використовувалася шляхом використання засобів зв'язку або військового обладнання для подальшого ураження конкретних цілей.

Таргетинг програмного забезпечення

Напади в Лівані викликали суперечки, оскільки в них використовувалися вибухові пристрої, які широко використовуються в цивільному житті. Внаслідок нападів у Лівані загинуло 37 людей, включаючи двох дітей, та кілька командирів "Хезболли", а також майже 3000 отримали поранення.

Експерти з міжнародного гуманітарного права звинуватили цей напад у порушенні міжнародного права, оскільки під час нього не було розрізнено військові та цивільні цілі, а також використовувалися заборонені пастки у звичайних пристроях, які могли б загрожувати цивільному населенню. Тим часом аналітики з безпеки попереджають, що це може сигналізувати про нову еру «озброєння» предметів повсякденного вжитку.

Атаки, під час яких пристрої «інтернету речей» саботуються або виводять з ладу шляхом навмисного пошкодження програмного забезпечення пристрою, стають дедалі поширенішими. Оскільки виробники контролюють програмне забезпечення, яке продукти збирають та обробляють дані, ці компанії мають вбудовані можливості для оновлення або зниження функціональності. Це також дозволяє «профілактичні коригування», коли компанії навмисно зменшують цю функціональність, стратегічно обмежуючи оновлення програмного забезпечення.

Нещодавнім прикладом на ринку є суперечка між виробником поїздів та залізничною компанією в Польщі, в результаті якої деякі нещодавно відремонтовані поїзди були непридатними для використання протягом місяців у 2022 році, оскільки виробник використовував дистанційні цифрові замки.

Ці приклади ілюструють важливість контролю програмного забезпечення в епоху, коли все більше продуктів та інфраструктури об'єднані в мережу. Замість того, щоб використовувати саботаж або таємне виробництво вибухових пристроїв за допомогою фальшивих підставних компаній, суб'єкти можуть атакувати програмне забезпечення. Суб'єкти можуть проникати до виробників, щоб маніпулювати витратними матеріалами для виробництва програмного забезпечення, використовувати вразливості або просто атакувати мережі.

Служби безпеки та розвідки давно наголошують на необхідності захисту критично важливої ​​інфраструктури, яка дедалі більше залежить від цифрових мереж, від інтелектуальних енергомереж до систем екстреного зв'язку та систем управління дорожнім рухом.

У 2021 році Канадська служба безпеки та розвідки (CSIS) попередила, що експлуатація систем критичної інфраструктури ворожими суб'єктами матиме «серйозні фінансові, соціальні, медичні та безпекові наслідки» в країні.

Забезпечення безпеки для людей

Щоб зрозуміти потенційний вплив, важливо почати з буденних речей. Дводенне відключення електроенергії для клієнтів Rogers Communications у липні 2022 року призвело до відключення інтернету та мобільного зв'язку для понад 12 мільйонів клієнтів по всій Канаді через помилку оновлення системи.

Напади в Лівані представляють собою потенційне порушення міжнародного права, оскільки вони спрямовані проти цивільного населення та використовують міновані предмети повсякденного вжитку. Використання засобів зв'язку під час нападів як озброєння ретельно розслідується. Колишній директор ЦРУ Леон Панетта назвав ці напади формою тероризму.

Коли у складанні продукту беруть участь кілька виробників та дистриб'юторів, кінцевий споживач повинен мати змогу довіряти цілісності ланцюга поставок, який виробив та доставив цей продукт. У випадку з нападами в Лівані економічні та політичні наслідки відчуваються дуже широко, і відновити довіру буде важко.

Окрім розгляду наслідків атак на глобальні ланцюги поставок, існують також політичні наслідки для виробників товарів «інтернету речей», що вимагають посиленої практики корпоративного управління.

Федеральна комісія зв'язку (FCC) нещодавно схвалила добровільну програму маркування «інтернету речей» у 2024 році, яка дозволить виробникам використовувати національний «марку довіри до віртуальної мережі». Мета полягає в тому, щоб допомогти споживачам приймати обґрунтовані рішення щодо покупок і заохотити виробників дотримуватися дедалі суворіших стандартів кібербезпеки.

Напади в Лівані підкреслюють необхідність для урядів усіх рівнів встановити відповідні вимоги щодо закупівлі та експлуатації цифрової інфраструктури. Це має включати уточнення того, хто відповідає за експлуатацію та ремонт інфраструктури, щоб краще забезпечити громадську безпеку в епоху кіберзагроз.