Zapisz na liście zakupowej
Stwórz nową listę zakupową
2024-02-15

FBI i CISA ostrzegają przed zagrożeniami związanymi z wykorzystywaniem chińskich dronów

Przedsiębiorstwa i instytucje wykorzystujące drony chińskiej produkcji mogą być narażone na szereg poważnych zagrożeń, ze względu na ambicje Chin i szczególne relacje na linii biznes-państwo w Chinach. FBI i CISA wydały w tej sprawie oficjalne ostrzeżenie. Jest ono skierowane dla amerykańskich operatorów infrastruktury krytycznej, ale zawiera cenne informacje także dla polskich firm i organizacji.

Drony są coraz częściej wykorzystywane w profesjonalnych zastosowaniach: monitoringu, sporządzaniu fotomap, inspekcji obiektów przemysłowych i infrastrukturalnych. O ile znakomicie podnosi to efektywność i zmniejsza koszty takich działań, o tyle drony stają się urządzeniami, które mogą gromadzić dane kluczowe dla bezpieczeństwa cybernetycznego i fizycznego oraz interesów biznesowych organizacji. Dodatkowo, drony mogą mieć pośredni lub bezpośredni dostęp do sieci informatycznych. Może to rodzić szczególne zagrożenia dla firm i instytucji wykorzystujących drony produkcji chińskiej.

Amerykańska rządowa Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oraz FBI przygotowały w tej sprawie oficjalne ostrzeżenie, wraz z zaleceniami dotyczącymi wykorzystania dronów

Chińskie ustawodawstwo źródłem ryzyka

We wstępie znajdziemy informacje dotyczące przyczyn zagrożenia:


„Od 2015 roku Chiny przyjęły lub zaktualizowały szereg ustawy [...] rozszerzając swój nadzór nad krajowymi i zagranicznymi firmami działającymi w Chinach. Jedną z tych ustaw, Ustawa o Wywiadzie Narodowym z 2017 roku, zobowiązuje chińskie firmy do współpracy z państwowymi służbami wywiadowczymi, w tym do udostępniania danych zbieranych w Chinach i na całym świecie.”

Dodatkowo w dokumencie czytamy:

„Ustawa o Zgłaszaniu Podatności Cybernetycznych z 2021 roku wymaga, aby firmy z siedzibą w Chinach ujawniały znalezione w swoich systemach lub oprogramowaniu podatności cybernetyczne władzom chińskim przed jakimkolwiek publicznym ujawnieniem lub udostępnieniem za granicą. Może to dać władzom chińskim możliwość wykorzystania luk w systemie przed publicznym ujawnieniem podatności cybernetycznych.

Tymczasem, Biały Dom w swoich oficjalnych dokumentach uznaje Chiny za najbardziej zaawansowane, aktywne i trwałe zagrożenie cybernetyczne dla Stanów Zjednoczonych. Podobne obawy powinniśmy żywić także w Polsce, jako sojusznik USA w NATO.

Zagrożenia związane z używaniem dronów chińskiej produkcji

Pola ryzyka, jakie identyfikują CISA i FBI, obejmują:

  • transfer i zbieranie danych - kontrolowanie dronów przez urządzenia podłączone do internetu (np. smartfony) tworzy ścieżkę dla transmisji zgromadzonych danych, co umożliwia zbieranie informacji wywiadowczych na temat krytycznej infrastruktury
  • aktualizacje oprogramowania i firmware - aktualizacje kontrolowane przez chińskie podmioty mogą wprowadzać nieznane zdolności do zbierania i przesyłania danych bez wiedzy użytkownika. Dane te mogą być dostępne dla rządu ChRL
  • szeroki zakres zbierania i dostępu do danych - w miarę jak drony i ich urządzenia peryferyjne, takie jak stacje dokujące, są włączane do sieci, potencjał do zbierania i przesyłania danych szerszego typu wzrasta.

W konsekwencji, możemy mieć do czynienia z:

  • ujawnianiem własności intelektualnej chińskim firmom, narażającym na szkodę potencjał konkurencyjny organizacji
  • dostarczaniem szczegółowych informacji o operacjach i podatnościach krytycznej infrastruktury
  • poznaniem i sforsowaniem cyberzabezpieczeń i zabezpieczeń fizycznych prowadzącym do potencjalnych fizycznych skutków, takich jak kradzież lub sabotaż kluczowych zasobów
  • ujawnianiem szczegółów dostępu do wewnętrznych sieci, które zwiększają zdolność ChRL do przeprowadzania ataków cybernetycznych na infrastrukturę krytyczną (i nie tylko)

Jednym z rozwiązań wskazywanych przez CISA i FBI jest ograniczenie stosowania dronów do bezzałogowców produkcji amerykańskiej - najlepiej z tzw. listy Blue UAS - oraz podjęcie szeregu działań związanych z zabezpieczeniem już zakupionych dronów, np. eliminacja ich dostępu do zasobów informatycznych firmy czy uznanie sieci, w których funkcjonują, jako sieci zerowego zaufania.

Więcej informacji znajdą Państwo w oryginalnym dokumencie CISA i FBI, dostępnym na ➡️serwisie internetowym CISA.

pixelpixel