Živimo v svetu, ki ga na vsakem koraku poganja elektronika. Od pametnih telefonov v naših žepih do kompleksnih sistemov, ki upravljajo kritično infrastrukturo, kot so energetska omrežja in promet – digitalne tehnologije so postale hrbtenica sodobne družbe.
A koliko nadzora sploh imamo nad temi elektronskimi možgani, ki vse bolj krojijo naša življenja? Kdo ima do njih uraden dostop in kdo si utira pot skozi prikrite kanale? In zakaj se zdi, da javni diskurz o tveganjih pogosto kaže s prstom le v eno smer, medtem ko potencialne nevarnosti z drugih koncev sveta ostajajo v senci?
Nedavni članek Forbes Slovenija, ki poroča o najdbi prikritih komunikacijskih naprav v kitajskih inverterjih za sončne elektrarne, ponovno odpira ta pereča vprašanja in služi kot nazoren primer kompleksnosti sodobnih tehnoloških odvisnosti.
Iluzija nadzora in skriti kanali
Večina uporabnikov elektronskih naprav živi v prepričanju, da imajo nad njimi popoln nadzor. A resnica je pogosto bolj zapletena. Proizvajalci in ponudniki storitev imajo praviloma uraden dostop za namene posodobitev, vzdrževanja in diagnostike. Vendar pa, kot opozarja primer z inverterji, obstaja tudi možnost prikritega dostopa.
Ameriški strokovnjaki so, tako trdijo, v nekaterih kitajskih razsmernikih, ključnih komponentah sončnih elektrarn, ki jih najdemo tudi v baterijah, toplotnih črpalkah in polnilnicah za električna vozila, odkrili nedokumentirane komunikacijske naprave, po domače: modeme, ki se znajo nekam povezati. Te “slepe” naprave bi lahko omogočale obvod požarnih zidov in vzpostavitev dodatnega komunikacijskega kanala neposredno s proizvajalcem ali drugimi akterji. Povedano bolj preprosto: četudi vaš razsmernik izklopite z interneta, bo slednji še vedno morda znal komunicirati, brez vaše vednosti.
Posledice takšnega prikritega dostopa so lahko, kot navajajo ameriški sogovorniki za Reuters, “katastrofalne”. Zakaj? Ker omogoča prevzem nadzora nad napravo!
Daljinsko izklapljanje razsmernikov ali spreminjanje njihovih nastavitev bi lahko destabiliziralo električna omrežja, poškodovalo energetsko infrastrukturo in sprožilo obsežne izpade električne energije. To ni zgolj tehnično vprašanje, temveč postaja prvovrstna varnostna skrb. Mimogrede, Španija se lahko ponovi. Pri tem pa ne špekuliramo, da ima njihov problem temelje v prikritih dejanjih enega ali drugega ali tretjega tabora velesil.
Zakaj le Kitajska?
Poročila o varnostnih tveganjih, povezanih s tehnologijo, se pogosto osredotočajo na Kitajsko. Mike Rogers, nekdanji direktor ameriške agencije za nacionalno varnost (NSA), je za Reuters dejal: “Vemo, da Kitajska verjame, da je smiselno vsaj nekatere elemente naše osrednje infrastrukture izpostaviti tveganju uničenja ali motenj.”
Ob tem se upravičeno postavlja vprašanje, zakaj se molči o tem, da lahko enaka tveganja pridejo tudi z Zahoda. Spomnimo se razkritij o globalnem nadzoru s strani ameriške NSA (programi kot PRISM), ki so pokazala, da tudi zahodne države in njihove tehnološke korporacije zbirajo ogromne količine podatkov in imajo lahko vzpostavljene mehanizme za dostop do sistemov po svetu.
Osredotočenost na enega samega akterja lahko zaslepi pred širšo sliko kibernetskih groženj, ki so globalne in ne poznajo meja. Razlogi za takšno selektivno izpostavljanje so lahko geopolitične napetosti, trgovinske vojne in želja po ohranitvi tehnološke prevlade.
Vprašanje kompetenc: Ali smo sposobni samozaščite?
V kolikšni meri smo države, še posebej manjše, sploh sposobne same analizirati kompleksne elektronske sisteme, izvajati varnostne preglede in stati za njihovimi ugotovitvami? Najdba nedokumentiranih komunikacijskih naprav v inverterjih kaže na sofisticiranost teh potencialnih “stranskih vrat”. Za njihovo odkritje so potrebni specializirano znanje, napredna tehnologija in znatna sredstva.
Ameriško ministrstvo za energijo (DOE) priznava, da obstajajo “znatni izzivi pri razkrivanju in dokumentiranju funkcionalnosti s strani proizvajalcev.” To pomeni, da se lahko zanašamo le na zagotovila proizvajalcev, ki pa, kot kaže primer, niso vedno popolna ali iskrena. Države morajo zato krepiti lastne kibernetske varnostne kapacitete, vlagati v izobraževanje strokovnjakov in spodbujati neodvisne varnostne preglede. Vendar je to dolgotrajen in drag proces, ki si ga vse države ne morejo privoščiti v enaki meri.
Še enkrat: kako naj v varnost verjamejo tisti, ki so nekje vmes. Premajhni, da bi bili velesila in hkrati gospodarsko odvisni od obeh strani. Tisti, ki so na sredini. Sem sodi večina Evrope, tudi Slovenija. Dejansko se lahko previdno oziramo tako v ZDA, kot na Kitajsko. Tveganje prihaja z obeh strani in hkrati ni vedno alternative za sisteme, ki prihajajo bodisi iz enega ali drugega tabora. Lahko le verjamemo, da vemo, da smo varni. V kolikšni meri smo pa bo pokazal prvi resen globalni konflikt.
Obramba infrastrukture in past odvisnosti
Kako se torej lahko ubranimo posegov v kritično infrastrukturo? Popolne varnosti ni, a tveganja je mogoče zmanjšati. To vključuje diverzifikacijo dobaviteljev, krepitev nacionalnih standardov kibernetske varnosti, redne varnostne preglede in morda celo razvoj lastnih tehnoloških rešitev na ključnih področjih. Evropsko cehovsko združenje proizvajalcev sončnih elektrarn je na primer pozvalo Evropsko komisijo, naj oceni tveganja dobaviteljev razsmernikov in zahteva, da dobavitelji iz visoko tveganih držav nimajo spletne povezave z evropskim elektroenergetskim sistemom.
Problem pa postane še bolj zapleten, ko gre za države, ki so tehnološko odvisne od velesil, ki so med seboj v napetih odnosih. Kakšne tarče postanejo “dovoljene”, če pride do kinetičnih ali kibernetskih spopadov med njimi?
Kritična infrastruktura, kot so energetski sistemi, komunikacijska omrežja in transport, je očitna tarča, saj lahko njeno onesposobljenje povzroči kaos in oslabi nasprotnika. Manjše države, ujete vmes, tvegajo, da postanejo kolateralna škoda ali celo poligon za preizkušanje novih oblik kibernetskega vojskovanja.
Primer skritih naprav v kitajskih inverterjih je le simptom veliko širšega problema. V svetu, prepletenem s tehnologijo, postaja vprašanje zaupanja, transparentnosti in nadzora ključnega pomena. Namesto da se osredotočamo le na tveganja iz ene smeri, potrebujemo bolj celosten in uravnotežen pogled na kibernetske grožnje. Nujno je krepiti nacionalne in mednarodne mehanizme za odkrivanje, preprečevanje in odzivanje na kibernetske napade, ne glede na njihov izvor.
In še nekaj: morda je čas, da se začne vlagati tudi v lasten in ekskluzivni visokotehnološki razvoj na ravni posameznih EU držav ali EU kot takšne. Vlagati izven klasičnih mehanizmov tržnega gospodarstva. Vlagati kot v strateško tehnologijo, ki ni podvržena ekonomiki daljnevzhodne proizvodnje in zahodnega know howa. Nekaj, kar bomo imeli pod kontrolo, četudi se svet postavi na glavo. Seveda pa mora pred tem marsikomu v Evropi zrasti nekaj novega. Jajca in samospoštovanje.
