Złudzenie absolutnej kontroli to największa pułapka współczesnej technologii. Budujemy metropolie, które same zarządzają ruchem ulicznym, optymalizują zużycie prądu i na bieżąco monitorują jakość powietrza. Entuzjazm wokół koncepcji smart city jest ogromny, a wizja miast pozbawionych korków i przerw w dostawach energii wydaje się niemal na wyciągnięcie ręki. Jednak pod warstwą tych błyszczących, futurystycznych innowacji tyka potężna, cyfrowa bomba. Każdy nowy czujnik na skrzyżowaniu, każda zintegrowana z siecią latarnia i każda kamera miejskiego monitoringu to nie tylko skok w przyszłość, ale również kolejne potencjalne drzwi, przez które mogą wejść hakerzy.
Dyskusja o inteligentnych miastach zbyt długo skupiała się wyłącznie na wygodzie mieszkańców i oszczędnościach w budżetach samorządów. Tymczasem eksperci ds. cyberbezpieczeństwa od lat biją na alarm. Połączenie krytycznej infrastruktury miejskiej z ogólnodostępnym internetem to stąpanie po kruchym lodzie. Kiedy aglomeracja staje się gigantycznym organizmem sterowanym przez algorytmy, atak na jej centralny układ nerwowy może mieć katastrofalne, w pełni fizyczne skutki. W tym wyścigu zbrojeń nie chodzi już o kradzież danych z kart kredytowych, ale o utrzymanie w ruchu całego społeczeństwa.
Kiedy metropolia staje się jednym wielkim komputerem
Aby w pełni zrozumieć skalę zagrożenia, musimy najpierw pojąć, jak gigantyczną powierzchnię ataku tworzy inteligentne miasto. Standardowa infrastruktura IT w korporacji to zaledwie ułamek tego, z czym mamy do czynienia w nowoczesnej aglomeracji. Ekosystem smart city opiera się na koncepcji Internetu Rzeczy (IoT). Oznacza to miliony małych, często tanich i słabo zabezpieczonych urządzeń końcowych, które nieustannie wymieniają się danymi. Zdalnie sterowane pompy wodociągowe, biletomaty, elektroniczne tablice informacyjne na przystankach czy nawet inteligentne kosze na śmieci zgłaszające konieczność opróżnienia – wszystko to posiada własny adres IP.
Problem polega na tym, że te niewielkie węzły komunikacyjne często pracują na przestarzałym oprogramowaniu, którego nikt regularnie nie aktualizuje. Miasta z wielką pompą inwestują w instalację nowoczesnych systemów, ale rzadko planują odpowiednio wysokie budżety na ich wieloletnie, bezpieczne utrzymanie. Dla wprawnego hakera taki niezabezpieczony, zapomniany przez administratorów czujnik jakości powietrza może stać się swoistym koniem trojańskim. Przejmując nad nim kontrolę, cyberprzestępca zyskuje punkt zaczepienia w rozległej sieci miejskiej, skąd może próbować eskalować swoje uprawnienia i przenikać do znacznie bardziej kluczowych systemów.
Atak na wodę i prąd, czyli cyfrowy terroryzm w praktyce
Ktoś mógłby zapytać: co z tego, że ktoś zhakuje tablicę na przystanku i wyświetli na niej wulgarne hasło? Z perspektywy wizerunkowej to oczywiście problem, ale z punktu widzenia funkcjonowania państwa – to jedynie irytujący incydent. Niestety, ambicje współczesnych grup hakerskich, często wspieranych przez wrogie reżimy państwowe, sięgają znacznie głębiej. Celem staje się infrastruktura krytyczna, od której zależy życie i zdrowie tysięcy, a nawet milionów obywateli.
W lutym 2021 roku świat wstrzymał oddech, gdy hakerzy włamali się do systemu sterowania stacją uzdatniania wody w niewielkim mieście Oldsmar na Florydzie. Napastnik uzyskał zdalny dostęp do oprogramowania i na oczach przerażonego operatora zaczął drastycznie zwiększać stężenie wodorotlenku sodu w wodzie pitnej. Gdyby nie błyskawiczna, manualna interwencja pracownika, do kranów mieszkańców popłynęłaby silnie żrąca substancja. Ten mrożący krew w żyłach incydent dobitnie udowodnił, że cyberataki wyszły z wirtualnej przestrzeni i zaczęły bezpośrednio zagrażać naszemu fizycznemu bezpieczeństwu.
Ransomware paraliżuje administrację samorządową
Innym, znacznie częstszym scenariuszem jest atak z użyciem oprogramowania ransomware, które szyfruje kluczowe dane i żąda okupu za ich odblokowanie. Przypadek Atlanty z 2018 roku czy Baltimore z 2019 roku to podręcznikowe przykłady tego zjawiska. Hakerzy sparaliżowali tam niemal całkowicie pracę urzędów, uniemożliwili płacenie rachunków za wodę, a nawet zakłócili funkcjonowanie policji i sądów. Koszty przywrócenia systemów do życia wyniosły dziesiątki milionów dolarów. Z punktu widzenia cyberprzestępców władze miejskie są ofiarą idealną – presja społeczna na szybkie przywrócenie podstawowych usług jest tak wielka, że włodarze są znacznie bardziej skłonni zapłacić wielomilionowy okup.
Pięta achillesowa inteligentnych aglomeracji
Dlaczego zatem systemy sterujące tak wielkimi i ważnymi miastami są tak dziurawe? Głównym winowajcą jest tzw. technologiczny dług oraz fatalna integracja starych i nowych technologii. W wielu miejscach na świecie systemy zarządzania siecią energetyczną czy wodociągową (tzw. systemy SCADA) projektowano w latach 80. i 90. XX wieku. Tworzono je z myślą o pracy w zamkniętym, izolowanym środowisku, gdzie fizyczny dostęp do serwerowni był jedynym wejściem do systemu. Nie posiadały one żadnych wbudowanych mechanizmów szyfrowania czy autoryzacji z zewnątrz, bo nikt nie zakładał, że kiedykolwiek zostaną podłączone do internetu.
W dobie transformacji cyfrowej, by obniżyć koszty obsługi i ułatwić zarządzanie, do tych przestarzałych rdzeni podłączono nowoczesne interfejsy i moduły komunikacji bezprzewodowej. Stworzono tym samym architektonicznego potwora Frankensteina. Mamy nowoczesny, lśniący pulpit w przeglądarce, pod którym działa trzydziestoletni, dziurawy jak sito protokół sterujący ciśnieniem gazu w rurach. Połączenie tak skrajnych technologii bez gruntownej przebudowy rdzenia systemu jest proszeniem się o kłopoty.
Czy Twój smartfon to klucz do infrastruktury?
Nie możemy również zapominać o najsłabszym ogniwie każdego systemu bezpieczeństwa – o człowieku. Mieszkańcy inteligentnych miast chętnie korzystają z darmowych, publicznych sieci Wi-Fi i instalują oficjalne aplikacje miejskie służące do opłacania parkingu, komunikacji miejskiej czy zgłaszania usterek. Te miliony urządzeń prywatnych tworzą potężną chmurę interakcji z miejskim systemem informatycznym. Wystarczy jedna źle zabezpieczona furtka w miejskim API (interfejsie programowania aplikacji), by haker, wykorzystując zhakowany telefon zwykłego Kowalskiego, mógł przeniknąć do głównych baz danych magistratu. Bezpieczeństwo miasta zależy w dużej mierze od tego, jak hermetycznie oddzielone są systemy publiczne od systemów krytycznych.
E-E-A-T & Fakty: Kto nas chroni i dlaczego to takie trudne?
Walka o bezpieczeństwo smart city nie toczy się w próżni. Renomowane organizacje, takie jak amerykański National Institute of Standards and Technology (NIST) czy europejska agencja ENISA, nieustannie publikują wytyczne i ramy architektoniczne dla cyfrowych aglomeracji. Problem polega na tym, że są to w dużej mierze tylko rekomendacje, a nie twarde, egzekwowalne prawem wymogi dla deweloperów oprogramowania miejskiego. Wdrożenie rygorystycznych norm zależy w dużej mierze od świadomości samych włodarzy miast.
Rzeczywistość budżetowa jest jednak bezlitosna. Gdy władze mają do wyboru wydać milion dolarów na budowę nowego, widocznego dla wyborców placu zabaw i rewitalizację parku, albo na niewidoczną modernizację zapór sieciowych (firewalli) w systemach miejskich wodociągów, wybór polityczny bywa niestety prosty. Eksperci z branży cybersecurity zwracają uwagę, że cyberprzestępcy dysponują nierzadko większymi budżetami i nowoczesnymi technologiami wspieranymi przez sztuczną inteligencję, podczas gdy działy IT w samorządach borykają się z brakiem kadry z powodu niskich, niekonkurencyjnych zarobków.
Ciemna strona wygody, czyli prywatność na sprzedaż
Zagrożenia dla infrastruktury fizycznej to tylko jeden wymiar problemu. Inteligentne miasto jest przede wszystkim nieskończonym źródłem danych o swoich mieszkańcach. Systemy rozpoznawania twarzy, czujniki geolokalizacyjne w rowerach miejskich, historia przejazdów komunikacją zbiorową czy dane o zużyciu prądu w poszczególnych gospodarstwach domowych – to wszystko buduje niezwykle dokładny profil zachowań całego społeczeństwa. W niepowołanych rękach to narzędzie masowej inwigilacji, którego pozazdrościłby sam George Orwell.
Cyberatak na te zasoby nie musi kończyć się spektakularną awarią prądu. Może być to cicha, metodyczna kradzież danych wrażliwych (tzw. data breach). Informacje te trafiają następnie na czarny rynek, gdzie są sprzedawane w Dark Webie innym przestępcom, brokerom danych, a nawet obcym służbom wywiadowczym. Wyciek informacji z miejskich baz danych może ułatwić kradzieże tożsamości, oszustwa finansowe, a nawet włamania do mieszkań, ponieważ zhakowany system zarządzania ruchem potrafi precyzyjnie określić, w jakich godzinach domownicy przebywają w pracy.
Cyberodporność: Jak budować miasta, których nie da się „wyłączyć”
Czy zatem powinniśmy zrezygnować z innowacji i powrócić do czasów analogowych? Absolutnie nie. Kluczem do sukcesu nie jest paraliż strachem, ale zmiana paradygmatu z projektowania „skoncentrowanego na wydajności” na architekturę opartą na cyberodporności (cyber resilience). Oznacza to akceptację faktu, że ataki się zdarzą i niektóre systemy zostaną sforsowane. Celem nowoczesnej obrony jest sprawienie, by taka infekcja nie rozprzestrzeniła się na całe miasto.
Podstawą takiej architektury jest podejście Zero Trust (Zero Zaufania). W tym modelu żadne urządzenie, nawet wewnętrzna kamera miejska w siedzibie prezydenta miasta, nie jest domyślnie obdarzone zaufaniem. Każda próba wymiany informacji wymaga ścisłej autoryzacji. Równie istotna jest segmentacja sieci. Jeśli hakerzy przejmą kontrolę nad inteligentnym systemem oświetlenia ulicznego, ta część sieci musi być fizycznie i logicznie odizolowana od podsieci zarządzającej ruchem karetek pogotowia czy dystrybucją energii. To jak tworzenie grodzi wodoszczelnych na statku – jedno pęknięcie kadłuba nie powinno zatopić całego okrętu.
„Nie możemy już pytać, czy nasze inteligentne miasto zostanie zaatakowane. Musimy pytać: jak szybko potrafimy to wykryć, wyizolować zagrożenie i przywrócić działanie usług, zanim mieszkańcy zauważą, że cokolwiek się stało.” – to słowa często powtarzane na branżowych konferencjach przez czołowych analityków cyberbezpieczeństwa.
Z pomocą obrońcom przychodzi tu uczenie maszynowe. Zaawansowane algorytmy sztucznej inteligencji potrafią na żywo analizować terabajty logów z całej sieci miejskiej. Są w stanie wyłapać anomalie, których ludzkie oko nigdy by nie dostrzegło – na przykład fakt, że czujnik poziomu wody w kanale miejskim niespodziewanie próbuje nawiązać szyfrowane połączenie z serwerem znajdującym się na innym kontynencie. Taka błyskawiczna identyfikacja to podstawa powstrzymania ataku w zarodku.
Zwykły mieszkaniec na linii frontu. Co możesz zrobić?
W dyskusjach o obronie przed cyberatakami często sprowadzamy naszą rolę do biernych widzów, oczekujących, że rządy i potężne korporacje technologiczne rozwiążą problem za nas. W rzeczywistości to cyfrowa higiena każdego obywatela składa się na tarcze ochronną inteligentnego miasta. Nie musisz być ekspertem od szyfrowania, aby realnie zmniejszyć wektory ataków na systemy miejskie. Zaczyna się to od podstaw – silnych haseł i uwierzytelniania dwuskładnikowego we wszystkich profilach zaufanych, aplikacjach samorządowych i platformach do obsługi podatków.
Niezwykle ważne jest także krytyczne podejście do uprawnień, jakich żądają aplikacje miejskie w naszych telefonach. Ograniczanie dostępu do lokalizacji, aparatu czy kontaktów tylko na czas aktywnego używania programu, zmniejsza ryzyko stworzenia luki. Kiedy systemy miejskie zaczynają wchodzić do naszych domów, np. poprzez inteligentne liczniki prądu (tzw. smart meters), musimy pamiętać o zabezpieczaniu naszych własnych, domowych routerów Wi-Fi. Łańcuch jest bowiem tak silny, jak jego najsłabsze ogniwo.
Żyjemy w epoce przełomu, w którym beton i stal zastępowane są kodem i danymi jako fundamentem funkcjonowania metropolii. Bezpieczeństwo inteligentnych miast przed cyberatakami to już nie jest kwestia informatyczna – to fundamentalna racja stanu i warunek przetrwania w dobie technologicznego wyścigu zbrojeń. Jeśli samorządy, eksperci IT i my sami jako obywatele nie podejdziemy do tego z odpowiednią powagą, utopijne smart city może błyskawicznie przeobrazić się w naszą największą pułapkę.
