Koja je tehnologija pametnih gradova najugroženija kibernetičkim napadima?
Gradovi se povezuju putem inicijativa pametnih gradova usmjerenih na prijevoz, obrasce prometa, vremenske prilike i funkcionalnost javnih komunalnih usluga, poput rasvjete, parkomata, pametnih semafora, zgrada, prijevoza i sakupljanja otpada. Ove inicijative uključuju implementaciju aplikacija velike propusnosti i osjetljivih na kašnjenje koje crpe informacije iz više izvora.
To omogućuje gradovima da uštede novac, smanje neučinkovitost, dobiju vrijedne podatke za pomoć pri planiranju grada, raspodjeli resursa i stvaranju usluga usmjerenih na građane. Međutim, nepravilno raspoređeni, bez odgovarajućih sigurnosnih mjera, također se izlažu riziku kibernetičkih napada državnih agenata ili drugih zlobnih aktera koji ne samo da mogu pristupiti povjerljivim podacima, već i steći kontrolu ili nadjačati funkciju kritične infrastrukture.
Kibernetički napadi mogli bi nanijeti značajnu štetu gradu i njegovim stanovnicima, uključujući gašenje ili kompromitiranje vitalnih usluga, poput električne energije ili vode. U brojnim slučajevima napadi ransomwarea čak su spriječili gradsko osoblje u radu na svojim računalima i mrežama, čime su operacije obustavljene dok se ne izvrše velika plaćanja.
Kibernetički napadi također bi mogli dovesti do dohvata i zlouporabe osjetljivih osobnih podataka građana ili video zapisa njihovih aktivnosti. U siječnju 2021. kibernetički napad omogućio je hakeru da privremeno promijeni koncentracije kemikalija u lokalnom vodoopskrbnom sustavu.
Istraživači su objavili jedno izvješće kako bi kreatorima politike na lokalnoj razini pomogli bolje razumjeti kako se cyber-rizici razlikuju u različitim tehnologijama pametnih gradova. Autor istraživačkog projekta su Karen Trapenberg Frick, izvanredna profesorica na Odjelu za gradsko i regionalno planiranje na UC Berkeley, i Alison E. Post, izvanredna profesorica političkih znanosti i globalnih metropolitanskih studija na UC Berkeley, zajedno s nekoliko doktorskih kandidata.
Izvješće slijedi istraživanje provedeno 2020. godine u kojem je 76 stručnjaka za kibernetičku sigurnost rangiralo različite tehnologije prema temeljnim tehničkim ranjivostima, njihovoj privlačnosti potencijalnim napadačima i potencijalnom utjecaju uspješnog ozbiljnog kibernetičkog napada.
Nalazi istraživanja pokazuju ranjivost gradova na kibernetički napad
Stručnjaci za kibernetičku sigurnost ukazali su da neke tehnologije pametnih gradova predstavljaju veće rizike od drugih. Te se razlike mogu pripisati činjenici da će te tehnologije koje se smatraju ranjivijima u tehničkom smislu također najvjerojatnije generirati najveće utjecaje u slučaju uspješnog napada i privući pozornost učinkovitih aktera prijetnje.
Napadači vole hvalisanje izazivanjem kaosa na način na koji će mediji u najvećoj mjeri izvijestiti o incidentu.
Značajno je da se tehnologije koje ispitanici smatraju najranjivijima od kibernetičkog napada također rangiraju kao one koje će najvjerojatnije generirati značajne utjecaje u slučaju uspješnog napada. Sustavi upozorenja u hitnim slučajevima i sigurnost, ulični video nadzor i pametni semafori rangirani su kao znatno ranjiviji na kibernetičke napade. Štoviše, ispitanici su kibernetičke napade na te tehnologije smatrali vjerojatnijima za uspješan napad.
Insajderi su velika opasnost za sustave
Nasuprot tome, pametne kante za otpad ili recikliranje i satelitsko otkrivanje propuštanja vode rangirani su kao znatno manje ranjivi i s manjim utjecajem u usporedbi s drugim tehnologijama.
Anketirani stručnjaci pokazali su da bi nacionalne države i insajderi bili najučinkovitiji u izvođenju kibernetičkih napada, u usporedbi s onima koji traže uzbuđenje, kibernetičkim kriminalcima, terorističkim skupinama i haktivistima. Odgovori na otvorena pitanja ukazuju na to da stručnjaci smatraju da nacionalne države posjeduju snažne motive za napade na infrastrukturu i da mogu mobilizirati značajna sredstva potrebna za pokretanje napada izvana.
Insajderi imaju jednostavan pristup, vještine i znanje za izvođenje učinkovitih napada. Ono što je najvažnije, anketirani stručnjaci naznačili su da će tri tehnologije koje su rangirane kao najugroženije i najučinkovitije biti od najvećeg interesa za nacionalne države: upozorenja u hitnim slučajevima ili sigurnost, ulični video nadzor i pametni semafori ili signali.
Godine 2018. Havajska agencija za upravljanje hitnim slučajevima pogrešno je poslala hitnu poruku: „BALISTIČKA RAKETNA PRIJETNJA HAVAJIMA. POTRAŽITE ODMAH SKLONIŠTE! OVO NIJE VJEŽBA!”
Ovo je poslano stanovnicima Havaja i turistima. Išlo je i do televizija i radija. Na sreću, ovo je bio lažni alarm, ali agenciji je trebalo 38 minuta da pošalje drugo upozorenje koje potvrđuje da je poruka lažna uzbuna.
Sjecište javne i privatne infrastrukture omiljeno je mjesto cyber hakiranja
Većina će se ljudi sjetiti napada ransomwarea WannaCry na više od 50 000 organizacija i 150 zemalja. U Velikoj Britaniji, napad na Nacionalnu zdravstvenu službu (NHS) onemogućio je osoblje da pristupa evidenciji pacijenata, neki telefoni su pali, a kirurzi su otkazali operacije. U Njemačkoj su digitalne ploče na željezničkim postajama Deutsche Bahn bile neupotrebljive. Napad u Španjolskoj ostavio je kod davatelja telekomunikacijskih usluga Telefonica interna računala isključena.
Javni prijevoz privlačan je prostor za napad kibernetičkih kriminalaca. Napad ransomwarea dogodio se 2016. na tranzitni sustav San Francisca. Na monitorima na stanicama natpisi glase: „Hakirani ste. SVI podaci šifrirani”, a krivac je navodno tražio 100 bitcoina (oko 73.000 dolara).
U priopćenju, SFMTA je navela da je isključila naplatne terminale i otvorila kapije iz predostrožnosti, što znači da je napad, na sreću, bio kratak i obuzdan. Ovo nije prvi napad na javni prijevoz.
U 2008. u poljskom gradu Lodzu četiri tramvaja su izišla iz tračnica, a napad je prisilio druge na hitno zaustavljanje. U napadu je ozlijeđeno dvanaest ljudi. Policija je kasnije otkrila da je tinejdžer hakirao tramvajski sustav korištenjem informacija otvorenog koda i ušao u tramvajske depoe. Na taj je način preuzeo kontrolu nad vozilom i bodovnim sustavom (jedan od rijetkih primjera fizičke kontrole u gradskom kibernetičkom napadu).
Hakeri su 2014. godine ciljali na kineski nacionalni sustav rezervacije vlakova, ukravši osobne podatke korisnika.
Sve ovo ukazuje na to da je javni prijevoz privlačna meta onima koji žele stvoriti niz s pravim znanjem.
No, kibernetičkim napadačima niti ne treba IoT za napad na grad
Lako je uprijeti prstom u IoT kao simptom svega zla što se tiče kibernetičkih napada na gradove. Kibernetički napadi na lokalne gradove sve su veći – a za pristup im čak ni ne treba IoT. Gradovi, pametni ili manje pametni, bili su švedski stol za državne agente koji su htjeli brzo zaraditi. Mnogi gradski dužnosnici odlučili su platiti otkupninu kako bi povratili pristup svojim sustavima i podacima.
U 2019. godini bilo je najmanje 104 napada ransomwarea prema administrativnim sustavima u školama i vladama. To tvrdi tvrtka za kibernetičku sigurnost Recorded Future.
To je problem koji gradovi gradovi još potenciraju s ograničenim proračunom za IT i sigurnost. To rezultira korištenjem zastarjelog softvera i nepridržavanjem pokretanja sigurnosnih ažuriranja. Osoblje je možda nedovoljno educirano o kibernetičkoj sigurnosti, poput krađe identiteta putem e-pošte.
Sve u svemu, to znači da ako haker želi provaliti u gradske baze podataka, vjerojatno će biti nagrade. Na primjer, čin isključivanja CCTV kamera mogao bi zamagliti druge zločine koji se događaju. Napadi također mogu biti ne samo neugodni, već i potencijalno opasni po život. Na primjer, ako napadači preuzmu kontrolu nad semaforima, vratima za naplatu cestarine ili upozorenjima u hitnim slučajevima.
Zaštiti gradova treba pristupiti višeslojno i sa više strana
Američka tajna služba jednom je ugostila virtualnu simulaciju odgovora na cyber incidente. Državni i gradski dužnosnici usredotočili su se na napade ransomwarea i strategije ublažavanja. Rukovoditelji su u ulogama odgovora na cyber incidente koristili simulirani scenarij za poboljšanje planiranja, suradnje i razmjene informacija između državnih i lokalnih vladinih agencija i tajne službe.
Simulacija igranja uloga omogućila je sudionicima da bolje razumiju kako učinkovito i djelotvorno odgovoriti na napad ransomwarea. Na događaju su sudjelovali gostujući govornici iz Federalnog istražnog ureda, Biroa nacionalne garde, Agencije za kibernetičku sigurnost i sigurnost infrastrukture, te drugi čelnici policije.
