Οδηγίες κυβερνοασφάλειας για τα Κινεζικής κατασκευής drones

Η ραγδαία εξέλιξη της τεχνολογίας έχει οδηγήσει στην εκτεταμένη χρήση συστημάτων μη επανδρωμένων αεροσκαφών (UAS), γνωστά και ως drones, σε πολλούς τομείς όπως η γεωργία, η επιτήρηση και η μεταφορά αγαθών. Ωστόσο, η χρήση αυτών των τεχνολογιών εγείρει σοβαρά ζητήματα ασφάλειας, ειδικά όταν πρόκειται για UAS κατασκευασμένα από κινεζικές εταιρείες. Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) εκπόνησε, τον Ιαν. 2024 την μελέτη " Cybersecurity Guidance: Chinese-Manufactured UAS " για τους κινδύνους και τις συστάσεις για την ασφαλή χρήση αυτών των συστημάτων. 

Η Κινεζική κυβέρνηση έχει θεσπίσει νόμους που επιτρέπουν την πρόσβαση και τον έλεγχο δεδομένων από εταιρείες με έδρα την Κίνα, γεγονός που ενισχύει τους κινδύνους για την εθνική ασφάλεια και τις κρίσιμες υποδομές των ΗΠΑ. Στην συνέχεια, θα εξετάσουμε τους κινδύνους και τις συστάσεις για την ασφαλή χρήση αυτών των συστημάτων.

Απειλή Η στρατηγική της Κίνας για την συλλογή δεδομένων είναι ιδιαίτερα ανεπτυγμένη και αποτελεί βασικό μέσο γεωπολιτικού ανταγωνισμού. Από το 2015, η Κίνα έχει ενισχύσει το νομικό της πλαίσιο για την ασφάλεια και την ιδιωτικότητα δεδομένων, απαιτώντας από τις εταιρείες να συνεργάζονται με τις κρατικές υπηρεσίες πληροφοριών. Ο Νόμος για την Εθνική Ασφάλεια του 2017 και ο Νόμος για την Ασφάλεια Δεδομένων του 2021 είναι χαρακτηριστικά παραδείγματα αυτής της πολιτικής, επιτρέποντας στην κινεζική κυβέρνηση την πρόσβαση σε δεδομένα που συλλέγονται εντός και εκτός Κίνας.
Τρωτά Σημεία 

Τα UAS είναι συσκευές τεχνολογίας πληροφορικής και επικοινωνιών (ICT) που μπορούν να λαμβάνουν και να μεταδίδουν δεδομένα. Κάθε σημείο σύνδεσης αποτελεί δυνητικό στόχο εκμετάλλευσης, όπως:

• Μεταφορά και συλλογή δεδομένων: Τα UAS που ελέγχονται από smartphones μπορούν να συλλέγουν δεδομένα για κρίσιμες υποδομές των ΗΠΑ.
• Ενημερώσεις και patches: Οι ενημερώσεις λογισμικού από κινεζικούς φορείς μπορεί να εισάγουν δυνατότητες συλλογής δεδομένων χωρίς τη γνώση του χρήστη.
• Ευρύτερη επιφάνεια συλλογής δεδομένων: Η ενσωμάτωση των UAS σε δίκτυα μπορεί να επιτρέψει τη συλλογή ευαίσθητων δεδομένων, όπως εικόνες και τοπογραφικά δεδομένα.

Συνέπειες Η συλλογή ευαίσθητων πληροφοριών και η δυνατότητα πρόσβασης σε δίκτυα μέσω κινεζικών UAS μπορεί να έχει σημαντικές επιπτώσεις για την ασφάλεια και την ανθεκτικότητα των κρίσιμων υποδομών. Αυτό μπορεί να ενισχύσει τους στρατηγικούς στόχους της Κίνας και να επηρεάσει αρνητικά την οικονομική και εθνική ασφάλεια των ΗΠΑ.
Ενέργειες Μετριασμού & Προστασίας

Ο δημόσιος και ιδιωτικός τομέας ενθαρρύνεται να προμηθεύεται συστήματα UAS που σχεδιάζονται με βάση την ασφάλεια και να ακολουθούν τις συστάσεις κυβερνοασφάλειας, όπως:

• Σχεδιασμός: Ενσωμάτωση των UAS σε ένα οργανωτικό πλαίσιο κυβερνοασφάλειας για IoT συσκευές, απομόνωση ή διαχωρισμός δικτύων και εφαρμογή ενός πλαισίου Zero Trust.
• Προμήθεια: Επιλογή UAS που ακολουθούν αρχές ασφαλούς σχεδιασμού, αξιολόγηση των προμηθευτών και ενσωμάτωση προγραμμάτων διαχείρισης κινδύνων εφοδιαστικής αλυσίδας.
• Συντήρηση: Τακτική ενημέρωση και διαχείριση ευπαθειών, χρήση sandbox για έλεγχο ενημερώσεων λογισμικού και εκπαίδευση του προσωπικού σε θέματα ασφάλειας.
• Λειτουργία: Εξασφάλιση ότι οι νέες εκδόσεις λογισμικού είναι ενημερωμένες, εφαρμογή ισχυρών μεθόδων κρυπτογράφησης για τη μεταφορά και αποθήκευση δεδομένων και αποφυγή ζωντανών μεταδόσεων για την προστασία ευαίσθητων δεδομένων. 

Η χρήση κινεζικών UAS απαιτεί προσεκτική αξιολόγηση και εφαρμογή αυστηρών μέτρων κυβερνοασφάλειας για την προστασία των κρίσιμων υποδομών και της εθνικής ασφάλειας. Οι οργανισμοί πρέπει να ακολουθούν τις οδηγίες ασφαλείας και να προσαρμόζουν τις πρακτικές τους για να αντιμετωπίσουν τις προκλήσεις που θέτουν οι εξελίξεις στην τεχνολογία και τις διεθνείς σχέσεις.