Voksende kommerciel brug og få indbyggede forsvar gør droner til et attraktivt mål for hackere.
Operatører af kritisk infrastruktur, retshåndhævelse og regeringsorganer har alle travlt med at indarbejde droner i deres daglige drift. Droner bruges til at understøtte en række applikationer til traditionel infrastruktur samt landbrug, forsyningsselskaber, fremstilling, olie og gas, minedrift og tunge industrier.
Droneproducenter og slutbrugere i industrien begynder nu at indse, at alle elementer i deres forbundne virksomheder har, hvad Jono Anderson, rektor, strategi og innovation hos KPMG, kalder “robuste kapaciteter, der omfatter individuelle droner, tilsluttede flåder af droner, cloud / enterprise-kapaciteter og al kommunikation mellem dem.”
Droner er “flyvende computere” og derfor en potentiel angrebsvektor
På trods af deres potentielle sårbarheder bruger mange dronesystemer ikke højere niveauer af sikkerhedsarkitekturer. Ifølge Anderson, “I et forbundet system af droner skaber den voksende malstrøm af kommunikation inden for og omkring droner flere angrebsvektorer, der kan afsløre kritiske systemer for en individuel drone eller hele flåden og potentielt hele skyen og virksomheden.”
Selvom droner tilbyder dokumenterede fordele for operatører, udgør de også alvorlige cybersikkerhedsrisici. En drone er i det væsentlige en flyvende computer, og ligesom computere er de fyldt med potentielle cybertrusler. Joshua Theimer, EY’s senior manager for teknologirådgivning, siger: “Meget af det, organisationer gør, er fokuseret på at sikre, at droner opererer i overensstemmelse med eksterne statslige og føderale regler.” Da mange af de droner, der i øjeblikket anskaffes, er proprietære til producenten, hævder Theimer, at det er afgørende at have en “grundlæggende organisatorisk sikkerhedsstrategi” på plads, der giver den rette sikkerhed omkring det økosystem, hvor dronen bruges.
Cybersikkerhed har historisk set ikke været en stor prioritet for droneproducenter eller for dronebrugere. Theimers vurdering er, at dronesårbarheder forbliver “ganske velkendte for dem, der er vidende i rummet.” For eksempel har de, der er involveret i drone reverse-engineering, en generel bevidsthed om sårbarheder på tværs af en lang række droner og producenter.
Da der var frygt for levering af malware til virksomhedsmiljøet, bemærkede Theimer, at “organisationer implementerer et afbrud ” mellem dronerne og de enheder, der er forbundet med at understøtte disse droner og resten af virksomhedens netværk for at sikre, at enheden aldrig opretter forbindelse til virksomhedens netværk.
“Droner udgør cybersikkerhedstrusler mod en organisation og bærer risikoen for datakompromis,” siger Samuel Rostrow, en specialist i infrastruktursikkerhedsprogram hos US Cybersecurity and Infrastructure Security Agency (CISA).
CISA udsendte i 2019 en brancheadvarsel til det kritiske infrastruktursamfund, der advarede om den trussel, som udenlandsk fremstillede droner kunne udgøre for en organisations følsomme oplysninger. Oplysningerne og vejledningen i advarslen blev bekræftet i juli sidste år af forsvarsministeriets erklæring om DJI-systemer.
Hvordan angribere kompromitterer droner
David Armand, sikkerhedsekspert for indlejrede systemer hos Orange, er bekymret for, at dronesikkerhedsinvesteringerne ud over militære droner “forbliver lave sammenlignet med produktets omkostninger. Droner er saftige mål, da angreb koster meget mindre end værdien af en underholdning eller af en professionel drone. Truslerne falder i to familier: angreb på en drone og angreb udført med en drone.”
Informationsekstraktion fra selve dronen er et sårbarhedspunkt. Systemer er sårbare under kommunikationen mellem droneoperatøren og selve dronen. Theimer peger på “sårbarheder, der gør det muligt at observere, forstyrre eller overtage kommando-til-kontrol-linket.”
Armands forskning viser, at kompromittering af en drones software eller hardware eller endda controlleren (f.eks. En mobiltelefon) kan opnås gennem et forsyningskædeangreb. Han giver to eksempler:
Manipulation af propellerdesignfilen på en 3D-printer gør det muligt for dronen at flyve i store højder, før den trykte propel går i stykker.
Ved at indsamle oplysninger indsamlet på telefonen (mobilnetværks-id og GPS-placering af brugeren og dronen) angribere kan udføre “tvungne opdateringer” og udføre kode uden brugerkontrol.
Theimer bekymrer sig om, at “mange producenter i dag arver og bruger samfundsudviklede softwarepakker, der ikke altid er designet til eller undersøgt med sikkerhed i tankerne.” Efterhånden som droner bliver mere kapable og komplekse, vil muligheden for spredning af sårbarheder kun øges.
Som med de fleste sikkerhedsovervejelser omkring brugen af ny teknologi er en trusselsmodel og risikoanalyse forbundet med brugen af droner i overensstemmelse med organisatorisk risikostilling generelt den bedste tilgang. Theimers mål for branchen er “at sikre, at risikoen forbundet med at bruge droner og cyberberedskab er i overensstemmelse med organisationens sikkerhedsstilling.”
Droneleverandører skal have fokus på sikkerhed
Det kommercielle marked for dronefokuserede cyberløsninger er stadig spirende, da antallet af rapporterede angreb stadig er relativt lille. Efterspørgslen efter at prioritere dronesikkerhed er således lav. “Få organisationer foretager betydelige investeringer i cybersikkerhed. Mens nogle få af de store droneproducenter har foretaget betydelige og forsætlige investeringer, potentielt som følge af offentliggjort amerikansk regeringskontrol, er mange droner fortsat usikre,« siger Theimer.
“Virksomhederne skal have fokus på at forbedre produktsikkerheden, specielt i forhold til platformssoftware ombord på dronen, og kommunikation til/fra dronen for at mindske potentialet for droneovertagelse eller tab af kommando,” siger Rik Parker, principal, cyber security services hos KPMG.
“For eksempel kan potentielle sårbarheder strække sig ind i forsyningskæden, hvor der ofte er forskellige opbevaringssteder og kan stole på open source-kode. Dette kan føre til en afhængighed af en tredjeparts udviklingsproces til sikker kodeudvikling for et kritisk stykke hardware, der, hvis det udnyttes, kan føre til tab af følsomme data og efterretninger eller potentielt tab af liv. ” I betragtning af følsomheden af droneimplementering foreslår han, at leverandører tilføjer et lag af dækning til adgangsovervågning og adfærdsanalyse for at identificere potentielle risici eller trusler. Dette vil give indikatorer for kompromis enten før eller under en overtrædelse.
Orange udførte en sikkerhedsvurdering af et produkt fra Parrot Corp. Armand afslørede, at de “havde en interessant teknisk udveksling med dem gennem Orange Security Expert Community.” Parrot adresserer cybersikkerhed på forskellige niveauer for professionelle droner:
- Beskyttelse mod GPS-spoofing ved hjælp af flere satellitkonstellationer
- Beskyttelse mod fastklemning ved at beregne position gennem afdriftmåling ved hjælp af odometriteknikker
- Brug af mobilforbindelse i stedet for Wi-Fi til en mere sikker radioprotokol til dronestyring
- Dronegodkendelse ved hjælp af et enheds-unikt certifikat, der er gemt sikkert i et sikkert element.
Armand nævner virksomheder som Regulus, InfiniDome og Septentrio, der har kommercielle produkter til rådighed til detektion, afbødning og rapportering af GNSS-spoofingangreb. Han bemærker, at meget større virksomheder, herunder Thales og Intel, også er aktive inden for dronesikkerhed.
Michael Robbins, Executive Vice President for Uncrewed Vehicle Systems International Association, ser både kommerciel og forsvar fokuseret på “at sikre datalagring og overførsel, datalagring og bortskaffelse, sikre datalinket til droneoperationer og overvåge for brud eller malware.” Han påpeger, at forskelle mellem kommerciel og forsvar er i “Den type cyberangreb, de forsvarer sig mod, de data og oplysninger, de sikrer, og juridiske krav omkring sikkerhed, operationer og rapportering.”
Regler, kontrolrammer for dronesikkerhed er nødvendige
Et voksende kor af eksperter mener, at der er behov for bedre regler for at tackle drone-cybersikkerhedsudfordringen. For eksempel mener Parker, at droneprodukter “bør styres af strenge kontroller for cybersikkerhed, der beskytter softwareplatformen til forventede tjenester, der leveres af droneproduktet og kommunikations- og kontrolmekanismerne.” Han ser et behov for nye kontrolrammer.
Der er fremskridt i retning af regler og rammer. Det amerikanske Hvide Hus udstedte Executive Order 13981 i 2021, som pålægger føderale enheder at evaluere og begrænse føderal brug af “dækkede” droner (som defineret i E.O.).
CISA har anbefalet bedste praksis for cybersikkerhed for at afbøde risici og presser industrien til at fokusere på Blue UAS-kompatible droner, som er certificeret af DoD til at opfylde føderale standarder for cybersikkerhed.
De fleste eksperter, der konsulteres til denne artikel, ser en stigning i interessen for cybersikkerhed ved droner. Apropos den bredere verden af cybersikkerhed mener KPMG’s Anderson, at “Det kan ikke længere ses som udelukkende en virksomhedsudfordring. Det er en meget bredere og mere kompleks ingeniør-, produktions- og driftsudfordring. Det kræver nye tilgange, der tager højde for potentielle sårbarheder, herunder infiltration af software og elektronik, ændring af den kommunikation, der sendes til og fra dronen, og dens computerplatform i skyen eller i virksomheden.”
Kilde: CSOonline
Fotokredit: Pexels