Problémy kybernetické bezpečnosti ve vojenství

10. 6. 2024

Budoucí elektrická vojenská vozidla budou pravděpodobně obsahovat řadu počítačových palubních systémů a budou závislá na nabíjecí infrastruktuře, která bude pravděpodobně vysoce propojená. Tato revoluce vytváří nové možnosti pro protivníky, kteří se mohou brzy pokusit zasáhnout moderní vozidla, aby získali strategicky citlivé informace nebo podkopali operační efektivitu. Jak by k takovým situacím mohlo dojít? Jaký dopad by mohly mít na obranný aparát státu? A jak mohou být ozbrojené síly lépe připraveny na tuto výzvu? Kybernetické útoky zaměřené na "chytrá vozidla" by v konečném důsledku mohly ohrozit životy nebo destabilizovat energetické sítě, kromě jiných realistických scénářů. Moderní armády již mají k dispozici různá opatření k řešení těchto výzev, mezi něž patří přijetí přístupu "secure-by-design", zabezpečení kybernetického dodavatelského řetězce a zvýšení ochrany datových toků.

Co máme na mysli pod pojmem elektrifikace

Elektřina jako zdroj mobility pro ozbrojené síly se brzy stane realitou. Očekává se, že globální trh s vojenskými elektrickými vozidly v roce 2023 dosáhne hodnoty 5,8 miliardy dolarů a do roku 2027 se zdvojnásobí. V oblasti vojenské mobility lze v současné době pozorovat tři hlavní oblasti inovací, z nichž každá vyvolává odlišné otázky ohledně kybernetické bezpečnosti.

První oblast se týká přijetí plně elektrických vozidel vojenskými organizacemi. V současné době je tento přechod zaměřen na flotily "týlových" vozidel – jinými slovy podpůrných vozidel používaných na základnách a některých lehkých dopravních vozidel. To je to, co některé země, jako je Kanada, v současné době upřednostňují. Malý počet projektů zaměřených na vývoj elektrických bojových vozidel však probíhá i pro konkrétní hmotnostní kategorie. Ve Spojených státech General Motors Defense v současné době vyvíjí plně elektrické vozidlo pěchotního družstva, zatímco americká armáda zvažuje přijetí elektrického lehkého průzkumného vozidla. Kromě snížení uhlíkové stopy armád nabízejí tyto iniciativy také příležitost částečně snížit závislost na globálním trhu s ropou, jehož toky a ceny zůstávají do značné míry vystaveny geopolitickému chaosu.

Druhá oblast inovací se týká progresivní hybridizace těžších bojových vozidel. Prozatím se jedná především o přestavbu stávajících platforem na "plně hybridní" typ hnacího ústrojí (i když se uvažuje i o přijetí plug-in hybridních vozidel). Americká armáda například v současné době pracuje na hybridní verzi obrněného vozidla Stryker a v dlouhodobějším horizontu dokonce i tanku Abrams. Kromě očekávaného zvýšení energetické účinnosti mohou tyto inovace nabídnout řadu taktických výhod: Snížená tepelná a hluková stopa vyvolaná částečně elektrickou motorizací by mohla zvýšit utajení (a tím i přežití) jednotek na bojišti. Vysoce výkonné baterie specifické pro hybridní vozidla by také mohly přispět ke zvýšení odolnosti jednotek určených pro mise "tiché hlídky", které mobilizují sledovací zařízení po dlouhou dobu, ale v klidu.

A konečně třetí významný vývoj, který se částečně překrývá s předchozími dvěma, se týká rostoucí konektivity vojenských vozidel, ať už elektrických, hybridních nebo plně poháněných palivem. To zahrnuje zavedení civilních elektrických vozidel do týlových vozových parků, které jsou ze své podstaty vysoce komputerizované a propojené (zejména s internetem). Současně roste počet programů zaměřených na vývoj "chytrých", volitelně pilotovaných, nebo dokonce autonomních vojenských vozidel, z nichž mnohé jsou předurčeny k tomu, aby zahrnovaly elektrickou motorizaci. Ve Spojených státech bude bojové vozidlo pěchoty, které má nahradit Bradley, údajně jak volitelné s posádkou, tak hybridně-motorizované. Je důležité, aby Spojené státy a spojenci zvážili, jak tyto významné změny ve vojenské mobilitě mohou vyvolat otázky kybernetické bezpečnosti.

Kybernetická vozidla

Zranitelnost vůči kybernetickým hrozbám se netýká pouze elektrických vozidel. Vozidla poháněná spalovacím motorem mohou být také hacknuta – jak ukázala řada experimentů provedených v posledních několika letech – ale to do značné míry závisí na stupni komputerizace a digitalizace. Palubní elektronika a její konektivita podtrhují křehkost vozidla. Vzhledem k tomu, že průměrné silniční vozidlo dnes obsahuje ve svém palubním softwaru až 100 milionů řádků kódu, automobily se stále více podobají čtyřkolovým počítačům.

Expanze palubní elektroniky také zvýšila složitost dodavatelského řetězce v automobilovém průmyslu. Propojená vozidla nyní obsahují velké množství softwaru, který často vyžaduje aktualizace a je navržen různými dodavateli. V roce 2020 Volkswagen odhadoval, že 90 % kódu integrovaného do jeho vozidel bylo vyvinuto až 50 společnostmi třetích stran. Jinými slovy, kybernetický dodavatelský řetězec pro propojená vozidla je rozšířen a představuje možný vektor hrozeb. Útokem na malého dodavatele softwaru by hackeři mohli například nastražit past na aktualizaci, která by měla být vložena do tisíců vozidel. K tomu se přidává neodmyslitelná závislost elektromobilů na nabíjecí infrastruktuře, která je také stále více počítačová a "chytrá", což představuje další vektor infekce.

Tyto různé posuny přijaté automobilovým průmyslem tak vytvářejí "kyberneticky citlivá" vozidla se dvěma typy zranitelností. První zranitelnost je generována celkovým nárůstem palubní elektroniky. Druhou slabinou je závislost elektromobilů na stále propojenější dobíjecí infrastruktuře.

Oběh dat

Existuje řada rizik, která vyplývají z překrývání elektrifikace a konektivity vozidel. Ať už se jedná o elektrická a propojená vozidla v týlu, nebo budoucí "chytré" zbraňové systémy potenciálně nasazené na frontové linii, mnoho vojenských vozidel je povoláno ke sběru a výměně stále většího množství dat. Moderní vozidla jsou vybavena rostoucím počtem senzorů, jejichž přenášené signály, pokud by byly zachyceny, by mohly protivníkovi poskytnout cenné zpravodajské informace. Tyto informace mohou zahrnovat polohu vozidla a vzorce pohybu prostřednictvím geolokace, zprávy vyměňované prostřednictvím palubních zařízení, konverzace vedené prostřednictvím handsfree sady do auta, snímky zaznamenané zadními kamerami a tak dále.

Nabourání se do připojených vojenských vozidel by mohlo být použito ke špehování vyšších důstojníků, sledování pohybu jednotek nebo lokalizaci a monitorování citlivých zařízení. I když se takové hrozby mohou zdát hypotetické, některé armády je berou velmi vážně – od roku 2021 Čínská lidová osvobozenecká armáda zakázala vozidlům Tesla vstup do svých zařízení, protože se obává, že by jejich palubní kamery mohly být hacknuty pro špionážní účely.

Ačkoli se zdá, že tento problém je v současné době omezen na komerčně dostupná vozidla, brzy se může rozšířit i na vozidla vojenské třídy. Ve Spojených státech někteří volali po zavedení elektricky poháněných a vysoce propojených bojových vozidel podobných Tesle. Takový vývoj by vyvolal velké výzvy v oblasti provozní bezpečnosti. Je však důležité poznamenat, že roste zájem o využití senzorů vozidel jako datových farem pro krmení a trénování modelů umělé inteligence pro armádu.

Vetřelci na palubě

Další hrozbou, kterou je třeba vzít v úvahu, je integrita palubních systémů. Kromě generování datových toků plní palubní elektronika také různé úkoly, z nichž některé sahají až k fyzickému ovládání samotného vozidla. Ty mohou zahrnovat zapínání a vypínání světlometů v závislosti na viditelnosti, nouzové brzdění při detekci překážky atd. Není překvapením, že toto rozšíření telematiky vozidel vytváří různé potenciální kanály pro hackery, aby získali přístup. V roce 2015 se američtí hackeři dostali na titulní stránky novin, když se jim podařilo nabourat se do Jeepu Cherokee a dálkově ovládat jeho převodovku, volant a brzdy.

Takové scénáře naznačují, že hackeři by mohli ohrozit životy cestujících nebo způsobit poškození vozidla. Nejsou však nejpravděpodobnější, protože takové operace vyžadují značný čas, odborné znalosti a existenci specifických zranitelností počítače. Jiné varianty tohoto druhu hackování se zdají být snadněji proveditelné, a proto by se mohly ukázat jako pravděpodobnější – například zablokování zapalovacího systému vozidla s cílem snížit dostupnost motorizovaného vojenského vozového parku. Takové scénáře jsou považovány za pravděpodobné, a to do té míry, že na začátku roku 2024 francouzské jednotky simulovaly neutralizaci předsunutého obrněného vozidla Griffon poté, co kybernetický útok vyřadil z provozu jeho palubní systémy, v rámci národního cvičení DEFNET.

Náchylnost vojenských vozidel k těmto hrozbám bude záviset na úrovni jejich digitalizace. V současné době se tyto hrozby týkají především elektrických/propojených vozidel v týlu, jejichž provozní hodnota je méně kritická. Přesto je důležité vzít v úvahu, že kybernetická zranitelnost již existuje v komercializovaných vozidlech a mohla by být zneužita proti armádám vybaveným taktickými vozidly inspirovanými civilními modely (jako je elektrický Hummer vyvinutý společností General Motors Defense pro americkou armádu). Rostoucí zájem armády o "chytrá" a volitelně pilotovaná vozidla tuto hrozbu také nevyhnutelně zvýší. Například v roce 2011 se Írán zmocnil amerického průzkumného dronu tím, že se na dálku naboural do jeho naváděcího systému GPS a oklamal ho, aby přistál na íránské základně. I když existují rozdíly v operacích, taktice a detailech elektronického a kybernetického boje – a my uvádíme mnoho příkladů obojího v kontextu propojených, hybridních a elektrických vojenských vozidel – podstatné je, že budoucí pozemní vozidla založená na podobných technologiích budou zranitelná. Technologie, které jsou ovládány na dálku, jsou obecně propojeny – a to, co je připojeno, je hacknutelné. Podobně nárůst počtu připojených zařízení má za následek více elektromagnetických signatur a rušení. Propojenost a potenciálně zranitelnost není uklidňující koncept pro armády, automobilky ani civilní uživatele.

Přetížení nabíjení

Existují také zranitelná místa spojená s infrastrukturou dobíjení vozidel, ať už elektrických nebo plug-in hybridních. Nabíjecí stanice, které jsou vysoce počítačové a často připojené k internetu, představují další potenciální vektor kybernetických útoků. Například na začátku roku 2022 proukrajinští hackeři zasáhli nabíjecí stanice v Rusku a učinili je nepoužitelnými.

Různé studie ukázaly, že zasažené nabíjecí stanice by mohly být použity k extrakci citlivých dat nebo injektáži malwaru do vozidla při nabíjení. Kromě toho by hackování nabíjecích stanic mohlo být také použito k přerušení nebo zabránění nabíjecímu cyklu, nebo dokonce ke změně napětí nabíječky za účelem poškození vozidla. Aktéři se zlými úmysly by proto mohli nabíjecí infrastrukturu využít ke špionáži nebo k narušení dostupnosti armádního vozového parku.

Jistě, armády se budou snažit přijmout nabíjecí infrastrukturu, která má vysoké bezpečnostní standardy, ale mimo vojenskou základnu tomu tak být nemusí. V roce 2021 výzkumníci zjistili, že civilní nabíjecí systémy na trhu mají významnou zranitelnost informačních technologií. Tato zranitelná místa mohou vyvolávat obavy, kdy a zda bude vojenským vozidlům v určitých kontextech povoleno používat civilní nabíjecí stanice (doma nebo v zahraničí). Přestože jedním z velkých přínosů elektrifikace je možnost zkrátit a odlehčit vojenský logistický řetězec, otázka správné organizace a správy dobíjecí infrastruktury má svůj vlastní podíl složitostí.

Různé studie ukázaly, že kybernetický útok navržený tak, aby koordinovaně náhle aktivoval (nebo deaktivoval) velké množství nabíjecích bodů, by mohl destabilizovat elektrickou síť a případně vést ke katastrofálním následkům. Narušená nabíjecí infrastruktura by tak mohla být také použita k destabilizaci nebo poškození celé elektrické sítě. Kromě rizik pro samotná vozidla by proto kybernetické útoky na nabíjecí systémy mohly protivníkovi umožnit částečně narušit nebo dokonce sabotovat dodávky elektřiny cílových států. Je tedy důležité vzít v úvahu, že vojenské nabíjecí systémy budou stejně citlivé jako výběr samotných elektromobilů.

Zabezpečit, otestovat a šifrovat

Tyto různé hrozby nemusí armády odrazovat od toho, aby v budoucnu zaváděly elektrická vozidla. Měly by však podnítit seriózní úvahy o tom, jak nejlépe zabezpečit budoucí propojená vojenská vozidla a jejich nabíjecí infrastrukturu. Subjekty, které investují do elektrifikace, mají k dispozici nejméně tři hlavní osy prevence rizik.

První se týká "bezpečnosti již od návrhu", což znamená, že je důležité integrovat imperativy a osvědčené postupy kybernetické bezpečnosti do procesu návrhu a vývoje vozidel a nabíjecích systémů. Toho lze dosáhnout proaktivním ukládáním přísných norem a kontrol výrobcům, například vyžadováním přítomnosti palubních systémů určených k detekci kybernetického vniknutí. To byl jeden z hlavních poznatků získaných z experimentu s Jeepem Cherokee v roce 2015, během kterého byli výzkumníci schopni manipulovat a testovat své změny softwarového kódu vozidla, aniž by systém reagoval na vysoce atypickou (a tedy detekovatelnou) aktivitu. Tento přístup může také zahrnovat provádění důkladného posouzení hrozeb v počátečních fázích návrhu vozidla nebo komponent a zajištění toho, aby všechny softwarové komponenty byly před nasazením důkladně testovány na zranitelnosti. Povinné pravidelné audity a aktualizace mohou také pomoci preventivně identifikovat a zmírnit potenciální zranitelnosti softwaru. Přístup "secure-by-design" by měl být začleněn do každé fáze vývoje vozidla a může pomoci zabránit takovému scénáři u budoucích propojených vozidel. Ve spojení se šifrovacími protokoly, přísnými standardy kybernetické bezpečnosti při návrhu a výrobě a doplněné povinnými aktualizačními mechanismy mohou tyto postupy nabídnout ochranu vozidel před hrozbami po celou dobu jejich životního cyklu.

Přístup "od návrhu" zahrnuje také zabezpečení kybernetického dodavatelského řetězce, aby se zajistilo, že komponenty a software pro budoucí vozidla budou nejen spolehlivé, ale také budou pocházet od důvěryhodných dodavatelů. V posledních letech Spojené státy loví technologie vyrobené v Číně, které tajně integrovaly své zbraňové systémy do globalizace dodavatelských řetězců. Rámec pro bezpečné kybernetické dodavatelské řetězce by měl zahrnovat prověřování dodavatelů, nepřetržité monitorování dodavatelského řetězce a podporu spolupráce s důvěryhodnými dodavateli. Potenciální dodavatelé třetích stran a dodavatelé softwarových a hardwarových komponent by měli být prověřeni. To by mohlo zahrnovat kontroly spolehlivosti, systémy certifikace zabezpečení a dodržování mezinárodních standardů kybernetické bezpečnosti. Program Cybersecurity Maturity Model Certification 2.0 amerického ministerstva obrany může poskytnout užitečný rámec pro zlepšení bezpečných kybernetických dodavatelských řetězců pro specifické potřeby obranných vozidel.

Druhou osou prevence je tzv. red teaming – tedy využití "etických" hackerů k aktivnímu testování zranitelností systému, v tomto případě vozidla. Penetrační testování například mobilizuje externí hackery, kteří se již dobře orientují v určitém typu systémů, aby napodobili chování potenciálního útočníka. Cílem je pochopit, jak se nabourat do vozidla a pomoci konstruktérovi napravit zjištěné nedostatky. Aktualizace softwaru nebo úpravy návrhu navíc nabízejí příležitost přehodnotit zabezpečení systému v průběhu jeho životního cyklu. Red teaming může také zahrnovat bug bounty programy, kdy se společnost zavazuje odměnit hackery, kteří vyjdou na veřejnost a odhalí (prostřednictvím formalizovaného procesu) softwarové chyby objevené v jejích produktech. Programy odměn za chyby se rozšířily i do automobilového průmyslu – například v soutěži Pwn2Own Automotive, která se poprvé konala v Japonsku v lednu 2024, představily různé týmy hackerů zranitelnosti objevené v nabíjecích stanicích Tesla nebo Ubiquiti a Emporia (za odměny až do výše 100 000 dolarů). Tyto praktiky červeného týmu, které jsou přizpůsobeny požadavkům obranného průmyslu na důvěrnost, by mohly výrazně pomoci zabezpečit budoucí elektrická vozidla. Zdá se, že na této frontě jsou Spojené státy poněkud napřed. Ačkoli systémy, které jsou zkoumány ve stávajících vojenských programech odměn za chyby (jako je Hack the Army), zatím nezahrnují vozidla, ministerstvo obrany již zaměstnává certifikované výzkumníky v oblasti kybernetické bezpečnosti, kteří provádějí penetrační testy určitých zbraňových systémů. To jsou osvědčené postupy, které určitě stojí za to rozšířit.

A konečně třetí osa prevence zahrnuje zabezpečení masivních datových toků, které mají připojená vozidla přenášet – údajně až 25 GB za hodinu pro civilní vozidlo. Kromě vozidel je zdrojem rizika také celá síťově propojená infrastruktura, včetně připojených objektů, vzdálených aktualizačních systémů a podobně. Zejména v automobilovém průmyslu se stále více používají šifrovací technologie, aby byla zajištěna důvěrnost a integrita údajů vyměňovaných mezi různými uzly, které tvoří síť připojeného vozidla. K řešení těchto problémů souvisejících se šifrováním je důležité, aby státy – a jejich spolupracující spojenci – přijaly pokročilá opatření v oblasti šifrování a ochrany dat. To může zahrnovat například zajištění toho, aby data přenášená mezi vozidly byla chráněna šifrováním mezi koncovými body.

Výzvou je však zachování šifrovacích standardů přizpůsobených neustálému pokroku hackerů v této oblasti. To by se mohlo ukázat jako výzva pro vojenská vozidla, jejichž provozní životnost trvá 20 nebo 30 let. Například F-35 (archetyp vleklého zbraňového programu) nyní čelí kybernetickým zranitelnostem, které si jeho původní konstruktéři nedokázali ani představit. V tomto ohledu by data mohla být chráněna kvantově odolnými algoritmy a dynamickými šifrovacími klíči. Bezpečné prostředí odolné vůči kvantovým technologiím zajistí, že stará i nová data budou chráněna pokročilými šifrovacími technikami. V letošním roce plánuje americký Národní institut pro standardy a technologie vydat nové postkvantové kryptografické algoritmy a federální dodavatelé budou muset posílit šifrování prostřednictvím aktualizovaných kryptografických standardů. Další výzvou bude zajistit kompatibilitu šifrovacích systémů se systémy spojeneckých platforem – nebo jednoduše se systémy jiných služeb – se kterými bude armáda spolupracovat. Standardizace a harmonizace systémů bude všudypřítomnou výzvou v procesu elektrifikace armády. Ochrana dat zahrnuje více než jen samotné šifrování. Sběr, správa a sdílení dat jsou důležitou součástí moderního konfliktu. Proto jsou zapotřebí další ochranná opatření, aby se zajistilo, že lidé za datovými body zůstanou v bezpečí. To může zahrnovat anonymizaci dat nebo minimalizaci shromažďování dat na informace, které jsou přímo relevantní pro úkol nebo poskytování služby. Tato opatření mohou snížit riziko, které představuje zneužití citlivých informací.

Pracujte s, trénujte bez

Další opatření se mohou rovněž zaměřit na zmírňování rizik na lidštější a operativnější úrovni, aby byla zachována určitá kybernetická odolnost ozbrojených sil. To může zahrnovat přípravu pohotovostních plánů pro případ závažných kybernetických útoků na vozový park elektrických/propojených vozidel nebo jejich dobíjecí infrastrukturu. Ozbrojené síly musí předem definovat postup, který je třeba dodržet například v případě, že hackeři neutralizují GPS systémy jednotky. To znamená zajistit, aby byly zachovány zásoby topografických map, aby mohly být rychle dodány jednotkám v první linii a tak dále. V ideálním případě by vojáci měli být minimálně připraveni na to, aby se s takovými situacemi vypořádali. Na základě tohoto příkladu by to znamenalo zajistit, aby vojáci byli stále schopni číst a používat papírovou mapu.

V tomto ohledu americké ozbrojené síly stále častěji provádějí cvičení v digitálně degradovaném prostředí, simulují narušení GPS nebo bezdrátových komunikačních systémů. Tato praxe by však neměla pouze stimulovat reakci mechanického přechodu zpět na "low-tech" metody a zařízení. Jednou z obzvláště zhoubných vlastností kybernetických útoků je jejich psychologický účinek. Pouhým vyvoláním pochybností o integritě systému mohou odradit vojáky od použití širšího spektra schopností, čímž dosáhnou výsledku neúměrného skutečným účinkům hackerského útoku. Cvičení za zhoršených podmínek by měla v ideálním případě usilovat také o výcvik jednotek, aby rychle a s vysokou mírou jistoty identifikovaly a posoudily, které systémy zůstávají spolehlivé a použitelné, které jsou skutečně ohroženy a jak rychle je lze napravit. Ačkoli nebylo zaměřeno na situaci kybernetického útoku, nedávné cvičení vedené americkým centrálním velitelstvím mobilizovalo softwarové inženýry, kteří byli začleněni do operačního personálu s úkolem upravovat kód bojových systémů "za běhu" v průběhu cvičení. Vzhledem k tomu, že specialisté na kybernetickou obranu a "konvenční" jednotky ne vždy sdílejí stejné zázemí a pracovní kulturu, je nanejvýš důležité takovou spolupráci praktikovat.

Nastavujeme laťku vysoko

Snaha o odolnost je v konečném důsledku zakořeněna v nepohodlné, ale nevyhnutelné pravdě – že elektromobily jednoduše nelze učinit digitálně nenapadnutelnými. Kybernetická bezpečnost je ze své podstaty dynamický proces, ve kterém obránci a útočníci neustále vyvíjejí reakce na pohyby toho druhého. Budoucí elektrická/propojená vojenská vozidla, stejně jako jejich nabíjecí infrastruktura, budou proto nevyhnutelně podléhat neustálému procesu aktualizace, aby zůstaly bezpečné.

Výzvou pro obránce je však nastavit laťku od začátku dostatečně vysoko, aby co nejvíce omezil protivníkovu volnost manévrování. Vzhledem k tomu, že se armády nacházejí ve fázi globálního plánování elektrifikace, je nyní čas smysluplně zvážit kybernetickou bezpečnost budoucích vojenských vozidel.

Nejde jen o minimalizaci počtu aktérů schopných představovat hrozbu (včetně nestátních ozbrojených skupin), ale také o donucení nejschopnějších protivníků, aby na potenciální útok vyčlenili značné zdroje – v ideálním případě do takové míry, aby představoval neatraktivní poměr nákladů a přínosů. Jinými slovy, všechny investice, které dnes země učiní, aby zabezpečila svá vojenská vozidla, jsou pravděpodobně všechny investice, které protivník nebude ochoten zítra udělat, aby se je pokusil ohrozit.

Zdroj v angličtině: ZDE