Προστατεύοντας Kρίσιμες Υποδομές – Οι υβριδικές απειλές και ο ρόλος των drone/UAV
Σχεδόν 2500 χρόνια πριν, ο ΗΡΑΚΛΕΙΤΟΣ ανέφερε ότι ο πόλεμος είναι ο «πατέρας και βασιλείας των πάντων». Σήμερα, και παρόλο που η τεχνολογία έχει κάνει κυριολεκτικά άλματα από την εποχή του ΗΡΑΚΛΕΙΤΟΥ, βρισκόμαστε σε μια περίοδο και σε μια περιοχή του πλανήτη, όπου οι πολεμικές επιχειρήσεις δεν θεωρούνται ως «σενάριο επιστημονικής φαντασίας». Η τεχνολογία που μας επέτρεψε να βελτιώσουμε την οικονομική ζωή αλλά και την καθημερινότητά μας, κατέχει τέτοια εμβριθή θέση, που ακόμα και η παραμικρή «αναστάτωση» μπορεί να έχει δραματικές συνέπειες για την προστασία των κρίσιμων υποδομών που θα εξετάσουμε σε αυτό το άρθρο.
του Σώζοντα Α. ΛΕΒΕΝΤΟΠΟΥΛΟΥ, MSc, PhDc, Cyber | Warfare Expert @ ZONOS SYSTEMS, Researcher@InfoSec Lab AUEB,
CISSP, C|EH, CASP+, ISO 27001 LA, NET+, SEC+
Η σημασία της προστασίας των κρίσιμων υποδομών δεν είναι κάτι το καινοφανές. Στην πραγματικότητα έχει αναγνωριστεί ήδη από τους αρχαϊκούς χρόνους, και οι στρατοί εκείνης της εποχής προσπαθούσαν να καταστρέψουν ή διαταράξουν την ομαλή ροή βασικών πρώτων υλών και αγαθών. Για παράδειγμα ήταν συνήθης πρακτική η καταστροφή των υδραγωγείων και των αντίστοιχων αγωγών, ή η συστηματική καταστροφή των καλλιεργειών. Αν και με την πρώτη ματιά δεν γίνεται εύκολα αντιληπτό, ακόμη και σήμερα, ένας αντίπαλος θα «στοχεύσει» τα ίδια βασικά αγαθά, αλλά ο τρόπος με τον οποίο θα το κάνει θα είναι πολύ διαφορετικός.
Δράσεις, Προσεγγίσεις και Οδηγίες
Η σημασία των κρίσιμων υποδομών στην ευημερία (με την ευρεία σημασία του όρου) έχει αναγνωριστεί και στις δυο πλευρές του Ατλαντικού, με τον πλέον επίσημο τρόπο. Επιπρόσθετα, πολλές χώρες που δεν ανήκουν – γεωγραφικά – στον ίδιο χώρο, ακολούθησαν τις σχετικές πρωτοβουλίες. Στις ΗΠΑ, η Cybersecurity & Infrastructure Security Agency (CISA) είναι το επίκεντρο των σχετικών πρωτοβουλιών, ενώ παρέχει και έναν εξαιρετικά χρήσιμο ορισμό, για το ακριβώς θεωρείται κρίσιμη υποδομή. Αντίστοιχα, και η Ευρωπαϊκή Ένωση, ήδη από το 2004, έχει αναγνωρίσει τη σημασία της προστασίας των υποδομών που υποστηρίζουν την ευημερία και την κοινωνική συνοχή των πολιτών της ΕΕ, μέσω του προγράμματος για την προστασία τους (European Programme for Critical Infrastructure Protection).
Στο πλαίσιο αυτού το προγράμματος, μια σειρά από πρωτοβουλίες (τόσο στο νομοθετικό όσο και στο κανονιστικό πλαίσιο) έχουν λάβει χώρα, με τις πλέον πρόσφατες να αφορούν στην έκδοση της Οδηγίας για την Ανθεκτικότητα των Κρίσιμων Οντοτήτων (Critical Entities Resilience Directive – CER Directive) η οποία έχει σαν σκοπό να δημιουργήσει ένα πλαίσιο για να υποστηρίξει τα κράτη μέλη να διασφαλίσουν ότι οι κρίσιμες οντότητες είναι σε θέση να αποτρέψουν, να αντισταθούν, να απορροφήσουν και να ανακάμψουν από ανατρεπτικά συμβάντα, συμπεριλαμβανομένων εκείνων που προκαλούνται από φυσικούς κινδύνους, τρομοκρατία, εσωτερικές απειλές, σαμποτάζ ή δημόσια επείγοντα περιστατικά υγείας, αλλά και την Οδηγία NIS 2, η οποία εισάγει τις έννοιες των essential – ουσιωδών και important – σημαντικών οντοτήτων, ενώ προσεγγίζει τους κινδύνους με ολιστικό τρόπο (all–hazards approach).
Οι Υβριδικές Απειλές
Είναι λοιπόν φανερό, ότι υπάρχει μια «μετατόπιση» σε έναν πιο ολιστικό τρόπο με τον οποίο αντιμετωπίζονται οι απειλές, ειδικά όσες αφορούν στις κρίσιμες υποδομές. Αυτή η μετατόπιση θεωρείται ως αναγκαία, καθώς το σύγχρονο οικοσύστημα των απειλών έχει αλλάξει δραματικά τα τελευταία χρόνια. Το 2007, ο Frank Hoffman ήταν από τους πρώτους (αν όχι ο πρώτος) που αναφέρθηκε και διαμόρφωσε την έννοια των υβριδικών επιχειρήσεων. Από τότε, και ειδικότερα τα τελευταία χρόνια, παρατηρείται ότι ένας δυνητικός αντίπαλος δεν θα περιοριστεί στις «συμβατικές» μεθόδους για να αδρανοποιήσει ή καταστρέψει έναν στόχο.
Η παραπάνω – εν πολλοίς θεωρητική – διαπίστωση, μετουσιώθηκε σε πράξη τον Φεβρουάριο του 2021, οπότε και η Ρωσία εξαπέλυσε πυραυλικές επιθέσεις (μέσω βαλλιστικών πυραύλων και πυραύλων πλεύσης/cruise) εναντίων ουκρανικών κέντρων δεδομένων (data centers) τα οποία δεν είχαν απόλυτο στρατιωτικό προσανατολισμό. Το Σεπτέμβριο του 2022 μια σειρά υποθαλάσσιων εκρήξεων, οι οποίες οδήγησαν και σε διαρροή φυσικού αερίου, έθεσαν εκτός λειτουργίας, τους αγωγούς Nord Stream 1 και 2, διαταράσσοντας δραματικά τη ροή φυσικού αερίου στις χώρες της Βόρειας Ευρώπης, με εξαιρετικά σημαντικό οικονομικό αντίκτυπο (σε μια περιοχή με εκτεταμένη βαρεία βιομηχανία, η οποία είναι εξ’ ορισμού εξαιρετικά εξαρτημένη στην αδιάλειπτη παροχή «φθηνής» ενέργειας).
Είναι εμφανές ότι οι συγκεκριμένες κινήσεις, ακολουθούν πιστά τη βασική αρχή εκμετάλλευσης των υβριδικών επιχειρήσεων, η οποία καλεί στη στοχοποίηση, όχι στρατιωτικών μονάδων και εγκαταστάσεων, αλλά κοινωνιών και κοινοτήτων, προσβάλοντας τον τρόπο ζωής τους.
Μόλις πρόσφατα, οι αντάρτες Χούθι της Υεμένης, προέβησαν στην καταστροφή υποθαλάσσιων καλωδίων οπτικών ινών τα οποία χρησιμοποιούνται στην παγκόσμια διαμεταγωγή δεδομένων. Η σημασία της ενέργειας αυτής δεν έχει αναδειχθεί στο βαθμό που θα έπρεπε, καθώς αν οι αντάρτες Χούθι, με τον εξοπλισμό που μπορεί να διαθέτουν, και ο οποίος δε θεωρείται ως “state of the art” κατάφεραν να προβούν σε μια τέτοια ενέργεια, αναρωτιέται κάποιος τί μπορεί να επιτύχει κάποιος αντίπαλος, ο οποίος έχει πρόσβαση σε εξελιγμένη τεχνολογία.
Παραμένοντας στην περίπτωση των ανταρτών Χούθι μπορούμε να αναδείξουμε και μια άλλη πτυχή των σύγχρονων υβριδικών επιχειρήσεων, αυτή της διατάραξης των εμπορικών οδών, και ως συνέπεια της εφοδιαστικής αλυσίδας. Τις περισσότερες φορές όταν μιλάμε για supply chain security δεν κατανοούμε τη σημασία να υπάρχει η αλυσίδα εφοδιασμού. Το παγκόσμιο εμπόριο βασίζεται στη δια θαλάσσης μεταφορά των προϊόντων, και στην πραγματικότητα άνω του 85% του παγκόσμιου εμπορίου διακινείται δια θαλάσσης. Είναι επίσης σημαντικό να κατανοηθεί ότι – αν και ο πλανήτης αποτελείται κατά 70% από νερό – υπάρχουν συγκεκριμένα σημεία στις θαλάσσιες οδούς, των οποίων ο αποκλεισμός μπορεί να διαταράξει ή να διακόψει τη ροή αγαθών (δεν είναι τυχαίο ότι στα αγγλικά αυτά τα σημεία καλούνται «σημεία πνιγμού» ή choke points).
Το 2021, το πλοίο εμπορευματοκιβωτίων (container ship) Ever Given, προσάραξε στο κανάλι του Σουέζ στην Αίγυπτο. Για να αποκολληθεί απαιτήθηκαν σημαντικές προσπάθειες και έξι μέρες, χρονικό διάστημα το οποίο ήταν αρκετό για να διαταράξει σημαντικά το παγκόσμιο εμπόριο, και φυσικά τις τιμές των προϊόντων, σε μια περίοδο μάλιστα που η παγκόσμια οικονομία προσπαθούσε να συνέλθει από το σοκ της πανδημίας COVID-19.
Οι αντάρτες Χούθι της Υεμένης έχουν κατανοήσει τον ρόλο των θαλάσσιων οδών και με τη χρήση πάμφθηνων και αναλώσιμων από κάθε άποψη μη επανδρωμένων συστημάτων έχουν καταφέρει να διαταράξουν το παγκόσμιο εμπόριο, εν μέσω ενός ρευστού γεωπολιτικού και οικονομικού περιβάλλοντος, εξαιτίας και του πολέμου στην Ουκρανία.
Οι αντάρτες Χούθι ουσιαστικά επαναλαμβάνουν μια επιτυχημένη «συνταγή», την οποία έχουν ακολουθήσει και άλλες χώρες, με καλύτερο παράδειγμα την Ουκρανία και τη Ρωσία, αυτή της χρήση μη επανδρωμένων συστημάτων, Unmanned Aerial Vehicles (UAVs). Για την ακρίβεια ο όρος «μη επανδρωμένο» δεν είναι σωστός, καθώς υποδηλώνει την πλήρη αυτονομία των συστημάτων, κάτι το οποίο δεν έχει επιτευχθεί ακόμη. Στην πραγματικότητα οι απαιτήσεις επάνδρωσης είναι ίσες ή και ξεπερνούν αυτές των «συμβατικών» αεροσκαφών.
Ο ρόλος των drone/UAV
Όσο και αν φαίνεται περίεργο, η λογική των μη-επανδρωμένων (τότε καλούνταν «τηλεχειριζόμενα» ή RPVs – Remotely Piloted Aircrafts, ένα δόκιμος όρος) είναι εξαιρετικά παλιά και μπορεί να αναζητηθεί στις αρχές του προηγούμενου αιώνα και το Βασιλικό Πολεμικό Ναυτικό της Μεγ. Βρετανίας! Η εταιρεία DeHavilland δημιούργησε μια σειρά από τηλεχειριζόμενα αεροσκάφη για την εκπαίδευση των πληρωμάτων των αντι-αεροπορικών συστημάτων των τότε πλοίων, με το πλέον επιτυχημένο να είναι το Queen Bee. Σε αυτήν την εποχή δημιουργήθηκε και ο όρος drone, ο οποίος στα ελληνικά μεταφράζεται ως κηφήνας, καθώς η αποστολή του είναι να βρει τη βασίλισσα (σ.σ. το πλοίο) και μετά να…πεθάνει.
Σε αυτό το σημείο θα πρέπει να ξεκαθαριστεί, αντίθετα με την επικρατούσα και λανθασμένη άποψη, ότι τα οπλικά συστήματα που χρησιμοποιούνται κατά κόρων στην Ουκρανία, στην Ερυθρά θάλασσα και αλλού, και τα οποία έχουν σκοπό να εξουδετερώσουν ή καταστρέψουν έναν στόχο, δεν εντάσσονται στην κατηγορία των drone/UAVs. Ο ορισμός του τί είναι και τί δεν είναι drone είναι καθορισμένος εδώ και δεκαετίες και είναι και εξαιρετικά σαφής. Τα περισσότερα παραδείγματα που έχουμε αυτή τη στιγμή, είτε αφορούν σε πυραύλους πλεύσης (cruise missile), άσχετα αν δεν μοιάζουν με τους Tomahawk των ΗΠΑ, ή σε περιφερόμενα πυρομαχικά (loitering munitions).
Η βασική αποστολή ενός drone/UAV είναι η παρατήρηση/κατόπευση συγκεκριμένης περιοχής ή/και συγκεκριμένων σημείων και προσώπων ενδιαφέροντος. Σχεδόν πάντα δε, η αποστολή τους απαιτεί την επιστροφή στη βάση και επαναχρησιμοποίησή τους. Υπό αυτό το πλαίσιο γίνεται κατανοητό γιατί οι – αρχικές – αποστολές των drone/UAV αποκαλούνταν 4D, δηλαδή, Dumm (χαζές – δεν απαιτείται λήψη απόφασης), Dull (βαρετές – συνεχής επανάληψη των ίδιων ενεργειών με τον ίδιο τρόπο), Dirty (βρώμικες – συλλογή πυρηνικών ή/και βιολογικών δειγμάτων), Dangerous (επικίνδυνες – υψηλό ρίσκο).
Σήμερα, τα drone/UAVs αλλά και όσα μετατρέπονται σε «πυρομαχικά» έχουν βρει το δρόμο τους στα επιχειρησιακά δόγματα και στις επιχειρήσεις υβριδικού πολέμου, όχι μόνο σε επίπεδο κρατών αλλά και σε επίπεδο ομάδων, ακόμα και προσώπων. Η ευκολία με την οποία κάποιος μπορεί να προμηθευτεί ένα drone πολιτικού τύπου και η μετέπειτα «τροποποίησή» του για να εξυπηρετηθεί κάποιος διαφορετικός σκοπός δημιουργεί μια ολόκληρη οικογένεια απειλών και τρωτοτήτων, οι οποίες δεν υπάρχουν στο λεξιλόγιο των επαγγελματιών κυβερνοασφάλειας.
Για την ακρίβεια δεν είναι καθόλου δύσκολο να κατασκευαστεί ένα drone από το μηδέν καθώς τα βασικά συστατικά (υπολογιστής πτήσης, module GPS, αυτόματος πιλότος) είναι ευρέως διαθέσιμα στο internet, ενώ κάποια μπορούν να κατασκευαστούν μέσω τρισδιάστατης εκτύπωσης!
Οι επιχειρήσεις στην Ουκρανία απέδειξαν ότι ακόμα και τα «ταπεινά» drone των μερικών δεκάδων ευρώ, μπορούν να προκαλέσουν ζημίες και απώλειες εκατοντάδων εκατομμυρίων. Το 2019, δύο διυλιστήρια της Saudi Aramco βίωσαν τη νέα πραγματικότητα από «πρώτο χέρι». Τρομοκρατικές οργανώσεις μπορούν να χρησιμοποιήσουν αντίστοιχα συστήματα για να διαταράξουν τις αεροπορικές επιχειρήσεις ενός πολιτικού αεροδρομίου για παράδειγμα, ή για να προκαλέσουν ζημίες σε κρίσιμες εγκαταστάσεις (ένα εργοστάσιο παραγωγής ενέργειας, ή ένα διυλιστήριο πετρελαίου) με σημαντικές επιπτώσεις.
Παραβλέποντας το γεγονός της χρήσης τους ως «ιπτάμενο οπλοστάσιο», τα drone μπορούν να χρησιμοποιηθούν και σε άλλα σενάρια, τα οποία (όπως τα ελικόπτερα στο Βιετνάμ) εισάγουν μια νέα διάσταση στο οικοσύστημα της κυβερνοασφάλειας. Για παράδειγμα drone εξοπλισμένα με μικρόφωνα laser μπορούν πλέον να «φτάσουν» και σημεία τα οποία – από τη θέση τους – θεωρούνταν ως «εγγενώς ασφαλή». Σε ένα διαφορετικό σενάριο, drone εξοπλισμένα με συστήματα διατάραξης επικοινωνιών, μπορούν να δημιουργήσουν σοβαρά προβλήματα σε ασύρματα δίκτυα και αντίστοιχα συστήματα επικοινωνιών.
Δεν θα ήταν υπερβολή δε να πούμε ότι το “dumpster diving” έχει πλέον διαφορετική ερμηνεία!
Η αντιμετώπιση τους δε, ξεφεύγει από τα στενά όρια των τυπικών μέσων προστασίας που περιμένει κάποιος επαγγελματίας κυβερνοασφάλειας, και όροι όπως ηλεκτρονικός πόλεμος, ραντάρ, και counter UAV αρχίζουν και γίνονται όλο και περισσότερο επίκαιροι. Το μεγάλο ύψος πτήσης τους (ακόμα και όσα ανήκουν στη αρχική κατηγορία μπορούν να επιτύχουν ύψη τα οποία ξεπερνούν τα 1000 μέτρα) αλλά και η ικανότητά τους να επιστρέφουν στη βάση τους, ακόμα και όταν χαθεί η επικοινωνία με το «σταθμό εδάφους» (από ένα smartphone μέχρι συστήματα δορυφορικών beyond line of site επικοινωνιών) κάνει την αντιμετώπισή τους εξαιρετικά δύσκολη, ως αδύνατη.
Η επόμενη ημέρα των δυνατοτήτων των drone εδράζεται σε δύο πυλώνες: στην αυτονομία με τη χρήση τεχνητής νοημοσύνης, και στις ασφαλείς ζεύξεις δεδομένων και επικοινωνιών. Ειδικά για το πρώτο πυλώνα, οι σχετικές εξελίξεις στην Τεχνητή Νοημοσύνη (Artificial Intelligence), στην ανάλυση μεγάλων δεδομένων (Big Data Analysis) και στην μηχανική μάθηση (Machine Learning) καταδεικνύουν ότι τα μελλοντικά συστήματα θα μπορούν να απολαμβάνουν μια αρκετά μεγάλη αυτονομία. Για την ακρίβεια, τα περισσότερα θέματα που αντιμετωπίζονται αυτή τη στιγμή δεν αφορούν την τεχνολογία αυτή καθαυτή, αλλά τις επιπτώσεις από την εφαρμογή της. Πόσο ηθικό άραγε είναι να αφήσουμε την «επιλογή» ποιος και αν θα πεθάνει, σε μια μηχανή?
Είναι πλέον κοινή διαπίστωση, ότι κινούμαστε σε ένα εξαιρετικά ρευστό περιβάλλον, από κάθε άποψη, και ο χώρος της κυβερνοασφάλειας μπαίνει σε μια εποχή όπου τα όρια δεν είναι πια ξεκάθαρα. Η εύκολη πρόσβαση σε προϊόντα τεχνολογίας (π.χ., GPS ή δορυφορικό internet) τα οποία μέχρι μερικά χρόνια πριν ήταν προνόμιο μόνο ενός κλειστού club, αλλά και η εύκολη και δωρεάν πρόσβαση στην απαραίτητη τεχνογνωσία (παράγοντας ο οποίος επίσης παραβλέπετε) έχουν δημιουργήσει ένα εκτεταμένο περιβάλλον απειλών, οι οποίες ξεφεύγουν δραματικά από τα στενά όρια του ψηφιακού κόσμου.
Για την ακρίβεια, υπάρχουν σοβαρές ενδείξεις ότι στο μέλλον οι κακόβουλοι δρώντες θα επιλέξουν διαφορετικά «μονοπάτια» επιθέσεων για να επιτύχουν τους σκοπούς τους. Είναι λοιπόν επιτακτική η ανάγκη για μια διαφορετική ματιά στο σύγχρονο περιβάλλον απειλών.