Amerykańskie systemy wojskowe bardzo podatne na ataki hakerskie

Departament Obrony USA planuje w najbliższych latach wydać 1,66 biliona dolarów na rozwój systemów wojskowych, w tym odpowiedzialnych za kontrolę arsenału broni. GAO zauważa, że wraz z rozwojem amerykańskiej wojskowości postępują prace adwersarzy USA nad opracowaniem nowych technik cyberataków, które oprócz konwencjonalnych metod coraz częściej korzystają z wyrafinowanych technik cyberszpiegowskich.

Urząd stwierdził, że departament obrony obecnie stoi przed "piętrzącymi się wyzwaniami" względem ochrony systemów wojskowych przed "coraz bardziej wyszukanymi cyberatakami". Przeprowadzony przez GAO audyt wykazał, że ryzyko polega na "skomputeryzowanej naturze systemów zarządzania bronią", a "departament obrony późno zdał sobie sprawę z konieczności priorytetowego traktowania cyberbezpieczeństwa oraz wplatania go w systemy już na etapie ich budowy". Zdaniem urzędu, systemy wojskowe w USA są obecnie "bardziej niż kiedykolwiek zależne od oprogramowania i o wiele bardziej połączone w ramach sieci".

GAO ocenia, że automatyzacja i usieciowienie to dziś główne czynniki umożliwiające rozwój nowoczesnych zdolności militarnych USA. Instytucja podkreśla jednak, że sprawiają one, iż systemy wojskowe są też bardziej narażone na ryzyko cyberataków.

"Testy operacyjne przeprowadzane w ramach audytu wykazały, że we wciąż rozwijanych przez ministerstwo obrony systemach znajdują się podatności cyberbezpieczeństwa krytyczne dla pomyślnego wykonania misji. Spotkaliśmy się jednak z przedstawicielami resortu, którzy byli przekonani, że systemy te są całkowicie bezpieczne i którzy uważali wyniki testów operacyjnych za nierealistyczne" - napisano w raporcie GAO po zakończeniu audytu w resorcie obrony.

"Używając relatywnie prostych technik testerzy byli w stanie pozyskać kontrolę nad systemami i uniknąć wykrycia, głównie dzięki występowaniu podstawowych błędów, takich jak złe zarządzanie hasłami czy nieszyfrowana komunikacja. Dodatkowo, wykazane w testach podatności stanowią jedynie fragment ryzyka obejmującego całe systemy - nie wszystkie programy ministerstwa zostały objęte audytem, a on sam nie odzwierciedla pełnej skali zagrożeń" - stwierdzono w dokumencie.

Niezależny ekspert ds. cyberbezpieczeństwa Łukasz Olejnik w rozmowie z PAP zauważył, że ryzyko związane z bezpieczeństwem systemów wojskowych nie obejmuje wyłącznie oprogramowania. "W skład tych systemów wchodzi wiele elementów sprzętowych. Dobrze wiadomo, że zdarzają się przypadki dostaw elementów podrobionyc, które nie zostały wyprodukowane przez autoryzowanych dostawców. To obrazuje możliwe zagrożenia istniejące na poziomie samego łańcucha dostaw. Obejmują one m.in. ryzyko podłożenia sfałszowanego komponentu, którego zadaniem będzie celowe osłabianie systemu".

Jak powiedział Olejnik, proces produkcji i nabywania elementów systemów uzbrojenia cechuje duża złożoność i jest on bardzo długi. Chociaż zawiera wiele poziomów kontroli, to jego skala jest na tyle duża, że może zdarzyć się ryzyko przeoczenia czynników ryzyka. "Obecnie stawiane są pytania o to, kto faktycznie sprawuje kontrolę nad systemami" - tłumaczył ekspert. "Używanie systemów obronnych czy bojowych bez absolutnej pewności co do ich niezawodności z pewnością nie jest przez nikogo pożądane. Kontrola nad nimi wciąż jednak stanowi duże wyzwanie strategiczne" - dodał.