Na łamach „Namiarów na Morze i Handel” (21/2022, 24/2022) już 2-krotnie przedstawiłem możliwości wykorzystania technologii bezzałogowych w wielu branżach. Niestety wiele przypadków wprowadzania nowych technologii uczy, że wraz z ogromem korzyści niekiedy pojawiają się nieznane dotąd zagrożenia. Opierając się na analizach „Cybercrime Magazine”, można dojść do wniosku, że gdyby cyberprzestępczość była państwem, miałaby trzecią gospodarkę świata, ustępując tylko USA i Chinom. Cyberprzestępczość jest ogromnym problemem XXI w., a drony z uwagi na ich niektóre cechy stanowią zarówno świetne narzędzie, jak i obiekt ataków. Mowa tu przede wszystkim o niewielkich rozmiarach i dużej mobilności oraz gromadzeniu przez nie cennych danych, jak informacje o położeniu osób lub obiektów w czasie czy choćby o stanie i sposobach zabezpieczenia infrastruktury krytycznej. Dopiero od niedawna, analizując zagrożenia dla cyberbezpieczeństwa, bierze się pod uwagę drony, które ze względów wskazanych wyżej mogą zostać użyte np. do niezauważonego lądowania na dachu biurowca lub pojawienia się blisko obiektów należących do ofiar cyberataku w celu złamania zabezpieczeń sieci, kradzieży danych czy wprowadzenia szkodliwego oprogramowania w miejscach, do których dostęp człowieka jest utrudniony. Drony nie stanowią jednak tylko zagrożeń w obszarze cyberbezpieczeństwa, jako że mogą być świetnym narzędziem do przeprowadzenia fizycznego ataku lub do bezprawnego gromadzenia różnego rodzaju danych.
Jakie zagrożenia?
Zagrożenia związane z eksploatacją dronów podzieliłbym na 3 podstawowe kategorie. Do pierwszej z nich należy zaliczyć celowe użycie BSP (bezzałogowego statku powietrznego) do popełnienia przestępstwa, zwykle o charakterze terrorystycznym, lub spowodowanie zagrożenia dla osób i mienia przez nieświadomego lub nieostrożnego pilota BSP. W drugiej kategorii ująłbym użycie dronów lub infrastruktury z nimi związanej do bezprawnego gromadzenia danych, w tym danych osobowych, a w trzeciej przejęcie kontroli nad BSP lub innego rodzaju bezprawną ingerencję w jego lot, a także celowe użycie drona do popełnienia cyberprzestępstwa.
W jaki sposób cywilny BSP może stać się przedmiotem aktu terrorystycznego? Pamiętajmy o kilku unikatowych cechach dronów, wspomnianych we wstępie. Mam na myśli przede wszystkim bardzo dużą mobilność oraz ich niewielkie rozmiary, które mogą sięgać tylko kilku centymetrów, utrudniając wykrycie tak małego obiektu przez radar czy sonar. Trudno sobie wyobrazić policyjną barykadę powstrzymującą mikrodrony przed dostępem np. do imprezy masowej. Właśnie dlatego takie działania muszą być podejmowane w obszarze cybernetyki, o czym będzie mowa w kolejnej części artykułu. Niezależnie od zamiaru pilota lot BSP może stworzyć zagrożenie dla osób i mienia oraz dla innych statków powietrznych. Już sam upadek BSP na głowę osoby, w zależności od jego masy i wysokości, z której upada, może być śmiertelny dla tej osoby, przy czym przyjmuje się, że dron o masie 900 g spadający z wysokości 120 m na głowę człowieka wywoła wysokie prawdopodobieństwo śmiertelnego pęknięcia czaszki. Największe ryzyko takiego zdarzenia istnieje w przypadku przelotu BSP nad tłumem, w związku z czym przelot nad zgromadzeniem osób w Europie jest co do zasady zabroniony.
Do drugiej kategorii zagrożeń należy zaliczyć przypadki bezprawnego gromadzenia danych z użyciem dronów. Ich eksploatacja z poszanowaniem prawa do prywatności innych osób jest warunkiem dla społecznej akceptacji dronów i dalszego rozwoju rynków opierających się na tej technologii. W społeczeństwie wciąż istnieją obawy przed inwigilacją, w tym z użyciem BSP. Sam jako pilot wielokrotnie doświadczyłem sytuacji, gdy musiałem tłumaczyć okolicznym mieszkańcom, że na wykonanych przeze mnie zdjęciach lub filmach nie uwieczniłem ich wizerunku. Obawy te często nie mają realnego uzasadnienia, jednak w dobie społeczeństwa informacyjnego, gdzie informacja o naszych codziennych wyborach staje się towarem, takie postawy nie powinny budzić szczególnego zdziwienia. Zwłaszcza że drony są wprost wymarzonym narzędziem do szpiegowania. Dotkliwie przekonali się o tym kalifornijscy celebryci w pierwszych latach popularności dronów, kiedy zaczęli być regularnie nagabywani przez paparazzich śledzących ich za pomocą dronów na terenie prywatnych posesji. Problem zniknął w momencie uchwalenia prawa surowo zakazującego wlatywania nad czyjąś posesję na wysokości niższej niż 350 stóp, co wydaje się prostym, lecz skutecznym narzędziem do zapewnienia prywatności osób ją zamieszkujących. W przypadku prawa obowiązującego w Polsce niestety nie istnieje podobna, sztywno ustalona granica.
Użycie BSP i infrastruktury z nimi związanej do gromadzenia lub kradzieży danych nie musi koniecznie dotyczyć naruszenia prawa do prywatności, ale również naruszeń bezpieczeństwa publicznego. W USA niedawno zakazano używania dronów produkcji zagranicznej, przede wszystkim produkcji chińskiej, przez służby publiczne, które były największym odbiorcą dronów chińskiego producenta DJI. Decyzja zapadła po serii wycieków danych z chińskich serwerów zawierających przede wszystkim informacje o wykonanych operacjach lotniczych. Od tego momentu USA stara się promować rodzimego producenta Autel Robotics, ograniczając dostęp do rynku wewnętrznego zewnętrznym producentom dronów, właśnie z uwagi na zagrożenia dla cyberbezpieczeństwa. Trzeba uznać, że lokalizacja serwerów w Chinach naraża je bardziej na lokalne cyberataki.
Do trzeciej kategorii zagrożeń, dotykających już bezpośrednio ich użytkowników, ale także osoby trzecie, należą wspomniane we wstępie akty bezprawnej ingerencji. Mogą one przybierać zarówno formę fizycznej ingerencji w lot BSP, jak i mieć postać ataku hakerskiego. Akty fizycznej ingerencji najczęściej przybierają postać zestrzelenia lub strącenia BSP. W sieci można znaleźć mnóstwo filmów i historii o dronach strąconych z różnego rodzaju broni, poczynając od broni palnej, na łukach i oszczepach kończąc. Należy przy tym pamiętać, że nawet w przypadku wykonywania bezprawnego lotu BSP nad naszą nieruchomością nie jesteśmy uprawnieni do strącenia czy zestrzelenia BSP, dlatego że takie uprawnienia zostały przyznane wyłącznie służbom określonym w art. 126a ustawy prawo lotnicze.
Z kolei akt bezprawnej ingerencji w formie ataku hakerskiego może przybrać formę przejęcia kontroli nad BSP, przerwania lotu lub zakłócenia łącza sterowania i kontroli. Dużo większe zagrożenie zhakowania istnieje w przypadku dronów używających komunikacji Wi-Fi, gdzie za pomocą fałszowania współrzędnych GPS cyberprzestępcy mogą wymusić lądowanie we wstępnie zdefiniowanym przez nich miejscu umożliwiającym fizyczny dostęp do BSP i jego kradzież. Takie działanie jest możliwe dzięki zainicjowaniu przez cyberprzestępców automatycznej procedury powrotu do punktu startu, która jest inicjowana m.in. na wypadek utraty łączności między dronem a aparaturą sterującą. Z badań ekspertów ds. cyberbezpieczeństwa wynika, że zhakowany BSP może być użyty do hakowania innych dronów znajdujących się w pobliżu, teoretycznie będąc w stanie stworzyć rój dronów zmierzających np. w jednym kierunku. Na szczęście tego typu zagrożenie jest na razie mocno ograniczane przez krótki czas lotu oraz stosunkowo małą liczbę dronów latających w pobliżu. Strach jednak pomyśleć o zagrożeniach takiego scenariusza zrealizowanego w przypadku pokazów dronowych, gdzie w jednym momencie w powietrzu w niewielkiej odległości wznosi się nawet kilka tysięcy dronów.
Atak może też polegać na celowym użyciu BSP do zhakowania urządzeń w konkretnym budynku. Przykładem takiego zdarzenia jest zeszłoroczny atak na firmę inwestycyjną ze Wschodniego Wybrzeża, wyspecjalizowaną w zarządzaniu prywatnymi portfelami inwestycyjnymi. Celem tego ataku było włamanie się do wewnętrznej sieci firmy, by przejąć dane finansowe klientów. Atak udaremniono po odkryciu na dachu siedziby firmy zmodyfikowanych dronów DJI Matrice 600 i Phantoma 4, wyposażonych m.in. w dodatkowe baterie, modem 4G, platformę Raspberry Pi, mini laptop oraz urządzenie Pineapple służące do hakowania sieci Wi-Fi. Atak niekoniecznie musi jednak polegać na wykorzystaniu BSP jako nośnika do zhakowania innych urządzeń w pobliżu. Niektórym włamywaczom wystarczy bowiem przejęcie obrazu przesyłanego z pokładu BSP do pilota w czasie rzeczywistym.
Jak się bronić?
W odniesieniu do pierwszego rodzaju zagrożeń należy pamiętać, że możliwość ingerencji w lot BSP poprzez zniszczenie, unieruchomienie lub przejęcie kontroli nad jego lotem po spełnieniu przesłanek określonych w art. 126a ustawy prawo lotnicze została zarezerwowana dla szerokiego katalogu służb publicznych oraz pracowników specjalistycznych, uzbrojonych formacji ochronnych. W przypadku wykrycia zagrożenia ze strony uporczywie latającego w pobliżu naszej posesji drona radzę taki fakt udokumentować oraz poinformować o tym zdarzeniu odpowiednie służby, najlepiej policję. Próbując zneutralizować intruza na własną rękę, możemy narazić się odpowiedzialność karną.
Pierwszymi pomysłami na neutralizację dronów było używanie… dronów z podwieszoną siatką, która służyła do schwytania BSP używanego do bezprawnej operacji. Rozwiązanie to było testowane m.in. przez chińską policję, ale okazało się mało skuteczne. Z kolei holenderska policja parę lat temu stworzyła program szkolenia orłów do chwytania dronów w szpony. Te były szalenie skuteczne, ale z projektu zrezygnowano pewnie z uwagi na ochronę zwierząt, dlatego że orły łapały w swoje szpony drony ze wciąż kręcącymi się śmigłami.
Najskuteczniejszą metodę neutralizacji dronów stanowią tzw. radary antydronowe. W zależności od stopnia zaawansowania tych urządzeń oraz rodzaju wykorzystywanej technologii dają one możliwość zlokalizowania pozycji BSP oraz jego pilota, a także zakłócenia łącza sterowania i kontroli lub pełnego przejęcia kontroli nad lotem BSP. Niektóre rodzaje radarów antydronowych mogą być jednak używane również przez osoby czy podmioty nienależące do katalogu zawartego w art. 126a ustawy prawo lotnicze. Warunkiem jest brak ingerencji w lot BSP. Takie urządzenia mogą być wykorzystywane przez prywatne przedsiębiorstwa, które chcą monitorować np. swoje powierzchnie magazynowe. W ich wypadku możliwe jest jednak wyłącznie używanie radarów służących do wykrywania pozycji BSP i pilota. Jest to jednak wystarczające dla powiadomienia odpowiednich służb, które przy odpowiednio szybkiej reakcji mogą zatrzymać pilota.
Z kolei w odniesieniu do zagrożeń dla cyberbezpieczeństwa należy pamiętać o podstawowych środkach bezpieczeństwa takich jak szyfrowanie połączenia, odpowiednia zapora sieciowa czy trudne do złamania hasła. Powinniśmy również korzystać wyłącznie z oprogramowania z pewnego źródła, a najlepiej pochodzącego bezpośrednio od producenta BSP. Ponadto nie można zapominać o aktualizacjach oprogramowania, z którego korzystamy. Deweloper aplikacji mógł dostrzec i usunąć pewne luki w ochronie przed cyberatakami właśnie poprzez aktualizację oprogramowania.
Należy również pamiętać, że wskazówka dotycząca siły hasła nie odnosi się tylko do haseł dostępu do aplikacji służących do obsługi dronów, ale w ogóle do haseł używanych na urządzeniach służących do obsługi lotu. Najczęściej są to smartfony, tablety i laptopy. Aby ułatwić sobie zadanie, należy ograniczyć liczbę urządzeń, z których korzystamy w tym celu i nie używać do lotu urządzeń nam nieznanych. Dla zwiększenia ochrony warto na takim urządzeniu zainstalować oprogramowanie antywirusowe oraz skorzystać z ochrony, jaką zapewnia usługa VPN, w celu zaszyfrowania swoich danych oraz aktywności w internecie. W zapewnieniu ochrony nie pomogą natomiast zabiegi mające na celu obejście zabezpieczeń producenta, np. stałe odblokowanie stref „DJI no-fly zones” bez kontaktu z producentem.
Zakończenie
Na koniec pragnę podkreślić, że przypadki opisane wyżej póki co mają charakter raczej incydentalny. Najwięcej uwagi ochronie przed dronami powinni poświęcić operatorzy infrastruktury krytycznej, np. porty morskie, gdzie z uwagi na atrakcyjność filmowanego materiału pilotów dronów pojawia się bardzo wielu. Wykonując nieautoryzowane loty, naruszają oni poufność niektórych informacji oraz utrudniają pracę służbie ochrony. Zagrożenie, szczególnie w postaci użycia BSP do kradzieży danych, jest jednak realne. Podmioty narażone na ataki powinny uwzględnić ten nowy czynnik zagrożenia w swoich wewnętrznych analizach ryzyka. Pamiętajmy również, że drony przynoszą ludzkości nieopisany ogrom korzyści, są wykorzystane w ochronie zdrowia, ochronie środowiska oraz w co najmniej kilkudziesięciu innych obszarach, gdzie ich wykorzystanie nie tylko zwiększa bezpieczeństwo pracy ludzkiej (np. podczas inspekcji turbin wiatrowych), ale wyręcza człowieka w wielu zadaniach, pozwalając przy tym na zachowaniu sporych oszczędności. Na koniec należy również uspokoić czytelnika, ponieważ nad przynajmniej częściowym rozwiązaniem problemu trwają pracę. Od 1 stycznia 2024 r. będą stosowane przepisy wymagające wyposażenia większości dronów w tzw. system zdalnej identyfikacji, którego celem jest emitowanie w czasie rzeczywistym informacji umożliwiających zidentyfikowanie pilota i operatora poprzez udostępnienie numeru rejestracyjnego operatora, lokalizacji geograficznej pilota, pozycji i kursu BSP etc. Wdrożenie tego rozwiązania z pewnością ostudzi zapędy pilotów BSP wykonujących loty w sposób niezgodny z prawem.
Michał Ołowski
UASA sp. z o.o.