Jak ochromit města

Města se stávají stále složitějšími, automatizovanějšími a „chytřejšími“. To ovšem jen zvyšuje jejich náchylnost stát se cílem kyberútoků. Kdy tedy „chytré“ město není tak docela chytré na to, aby odolalo? A kdy ano? Světové metropole dnes závodí při aplikaci technologií, které automatizují služby, jako jsou například řízení dopravy nebo osvětlování ulic. Na druhé straně ale nedělají dost pro ochranu před kyberútoky.

Takové jsou hlavní závěry výzkumníků, kteří se zabývají bezpečnostními aspekty v oblasti kyberútoků. V rámci výzkumu se záměrně „nabourali“ do některých městských infrastruktur s cílem odhalit jejich slabé stránky.

Cílem je bezpečnost moderních technologií

Jedním z nich byl i Cesar Cerrudo, bezpečnostní poradce z organizace IOActive Labs se sídlem v Seattle. Inspiroval ho případ, kdy se počítačovým pirátům podařilo ovládnout dopravní semafory. Pokusil se proto udělat totéž u chytrých dopravních systémů používaných v jednotlivých světových metropolích. Zjistil, že tato zařízení nevyužívala žádné kódy nebo ověřování, a proto mohl jejich senzorům dodávat prostřednictvím dronů, které nad nimi létaly, falešná data. Jeho zjištění ho natolik znepokojila, že se spojil s jinými výzkumníky a založil iniciativu Securing Smart Cities. Jejím cílem je dát dohromady vlády, bezpečnostní firmy a technologické společnosti a získat zdroje, aby města mohla nejen zavádět potřebné technologie, ale také zajišťovat jejich bezpečnost.

Cesar Cerrudo dále zjistil, že se většina městských úřadů při hodnocení technologií zaměřovala především na jejich funkčnost. Na rozdíl od společností, které mají jednotné vedení a politiku, města využívají různorodé veřejné a privátní firmy a je pro ně mnohem obtížnější chránit se proti kyberútokům. Počítačoví piráti se mohou nabourat do mnoha důležitých městských systémů.

Města se ve stupni ochrany před možnými útoky velmi liší. Menší města obvykle nemají dostatek finančních zdrojů, velkoměsta jsou zase z hlediska řízení organizačně příliš složitá.

Cerrudo konstatoval, že nejhorším scénářem by bylo napadení elektrické sítě. Jako příklad uváděl totální výpadek proudu ze srpna 2003 v severovýchodních státech USA, který postihl na deset milionů obyvatel. Příčinou výpadku byla chyba v softwaru (software bug). Dovede si představit i situaci, kdy by chytrá elektrická síť byla ochromena počítačovými piráty, kteří by za obnovení dodávek proudu požadovali výkupné.

Dalším cílem kyberútoků mohou být systémy na dodávku vody. V roce 2014 byla například zadržena skupina čínských hackerů, kteří infiltrovali kontrolní vodárenský systém v jednom americkém městě. Naštěstí to ale nebyl skutečný kontrolní systém, ale jen „hrnec medu“ (honeypot), který posloužil jen jako lákadlo pro hackery. Jak udělat chytrá města bezpečnějšími?

Především je třeba přijmout komplexní přístup ke kyberbezpečnosti. Města by měla vyhledávat velké společnosti se zkušenostmi s kyberochranou a představitelé měst by měli vytvořit hlavní bezpečnostní informační úřad vybavený dostatečnými finančními zdroji. Města by rovněž měla mít vypracované plány, jak reagovat na kyberútoky, obdobně jako plány pro případ zemětřesení nebo jiných přírodních katastrof. Také občané by se měli více angažovat v této oblasti. Vědci mohou sice poukázat na slabá místa, ale občané by se měli o možných rizicích poučit a požadovat od svých představitelů potřebná řešení. Pokud nikdo nebude nic požadovat, pak se nic nestane. Cerrudo je optimista a domnívá se, že v současné době mají vědci před kyberútočníky náskok.

(Sam Wong: How to také out a city. New Scientist, 2015, č. 3033, s. 18-19.)