פצחנים יכולים להשבית לוויינים – או להפוך אותם לכלי נשק
וויליאם אקוטו, עמית מחקר פוסט דוקטורט, האוניברסיטה של דנוור
בחודש שעבר ספייס אקס הפכה למפעילה של המערך הגדול ביותר בעולם של לוויינים פעילים. נכון לסוף ינואר, היו לחברה 242 לוויינים במסלול סביב כדור הארץ עם תוכניות לשגר 42,000 בעשור הבא. זה חלק מהפרויקט השאפתני שלה לספק גישה לאינטרנט ברחבי העולם. המרוץ לשים לוויינים בחלל נמשך, כשאמזון, OneWeb הבריטית וחברות אחרות להוטות לשים אלפי לוויינים במסלול בחודשים הבאים.
ללוויינים החדשים האלה יש פוטנציאל לחולל מהפכה בהיבטים רבים של חיי היומיום – מהבאת גישה לאינטרנט לפינות המרוחקות של העולם ועד לניטור הסביבה ושיפור מערכות הניווט הגלובליות. בתוך כל ההתלהבות, סכנה קריטית חמקה מבלי שהבחינו בה: היעדר תקנים ותקנות של אבטחת סייבר ללוויינים מסחריים, בארה"ב ובעולם. כאיש אקדמיה שחוקר עימותי סייבר, אני מאוד מודע לכך שבגלל עניין זה, יחד עם שרשראות האספקה המורכבות של לוויינים והרמות של בעלי העניין, הם מאוד פגיעים להתקפות סייבר.
אם פצחנים ישתלטו על הלוויינים האלה, התוצאות יכולות להיות חמורות. בצד הקל של הסקאלה, הפצחנים יכולים פשוט להשבית לוויינים ולמנוע גישה לשירותים שלהם. פצחנים יכולים גם לשבש או לזייף את האותות מהלוויינים וליצור אנדרלמוסיה בתשתיות חיוניות. זה כולל רשתות חשמל, רשתות מים ומערכות תחבורה.
לחלק מהלוויינים החדשים האלה יש אמצעי דחף שמאפשרים להם להאיץ, להאט ולשנות כיוון בחלל. אם פצחנים ישתלטו על הלוויינים הניתנים להיגוי האלה, התוצאות יכולות להיות נוראיות. הפצחנים יוכלו לשנות את המסלול של הלוויין ולרסק אותו לתוך לוויינים אחרים או אפילו לתוך תחנת החלל הבינ"ל.
חלקים מהמדף פותחים דלת
היצרנים של הלוויינים האלה, במיוחד הקיובסאטים (לווייני קובייה) הקטנים, משתמשים בטכנולוגיות מוכנות מהמדף כדי להפחית עלויות. הזמינות הנרחבת של הרכיבים האלה משמעה שפצחנים יכולים לנתח אותם כדי למצוא נקודות תורפה. בנוסף, רכיבים רבים מתבססים על טכנולוגיית קוד פתוח. הסכנה כאן היא שפצחנים יכולים להכניס דלתות אחוריות ונקודות תורפה אחרות לתוך התוכנה של הלוויינים.
האופי המאוד הטכני של הלוויינים האלה משמעו גם שיצרנים רבים מעורבים בייצור הרכיבים השונים. גם תהליך הבאת הלוויינים האלה לחלל מורכב, ומעורבות בו חברות רבות. גם כשהם כבר בחלל, הארגונים שהם בעלי הלוויינים לעיתים תכופות מעבירים את הניהול היומיומי שלהם במיקור חוץ לחברות אחרות. עם כל ספק נוסף, נקודות התורפה מתרבות כי לפצחנים יש הרבה הזדמנויות לחדור למערכת.
פריצה לחלק מהקיובסאטים האלה יכולה להיות לא יותר מסובכת מהמתנה עד שאחד מהם יעבור למעלה ואז שליחת פקודות זדוניות באמצעות אנטנות קרקעיות מיוחדות. גם פריצה ללוויינים יותר מתוחכמים עשויה להיות לא כל כך קשה.
לוויינים נשלטים בדרך כלל מתחנות קרקעיות. בתחנות האלה פועלים מחשבים עם נקודות תורפה בתוכנה שפצחנים יכולים לנצל. אם פצחנים יחדרו למחשבים האלה, הם יוכלו לשלוח פקודות זדוניות ללוויינים.
היסטוריה של פריצות
התרחיש הזה התרחש ב-1998 כשפצחנים השתלטו על לוויין קרני הרנטגן האמריקני- גרמני ROSAT. הם עשו זאת על ידי פריצה למחשבים במרכז טיסות החלל גודארד במרילנד. הפצחנים הורו לאחר מכן ללוויין לכוון את הלוחות הסולריים שלו ישירות לשמש. זה למעשה טיגן את הסוללות שלו והפך את הלוויין לחסר תועלת. הלוויין הפגום בסופו של דבר התרסק על כדור הארץ ב-2011. פצחנים יכולים גם לחטוף לוויינים עבור כופר, כפי שקרה ב-1999 כשפצחנים השתלטו על הלוויינים של SkyNet הבריטית.
במשך השנים האיום של התקפות סייבר על לוויינים החמיר. ב-2008 פצחנים, אולי מסין, השתלטו כנראה באופן מלא על שני לוויינים של נאס"א, אחד למשך כשתי דקות והשני למשך כתשע דקות. ב-2018 קבוצה אחרת של פצחנים סיניים בתמיכת המדינה התחילה במתקפת פריצה מתוחכמת שכוונה אל מפעילי לוויינים וקבלנים של משרד ההגנה. גם קבוצות של פצחנים איראנים ניסו לבצע התקפות דומות.
למרות שמשרד ההגנה האמריקני והסוכנות לביטחון לאומי (NSA) פעלו כדי לטפל באבטחת סייבר בחלל, הקצב איטי. אין כיום תקנים של אבטחת סייבר ללוויינים ואין גוף מפקח שמאסדר ומבטיח את אבטחת הסייבר שלהם. אפילו אם אפשר יהיה לפתח תקנים משותפים, לא קיימים מנגנונים לאכוף אותם. זה אומר שהאחריות לאבטחת סייבר של לוויינים מוטלת על כל אחת מהחברות שמייצרת ומפעילה אותם.
כוחות השוק פועלים נגד אבטחת סייבר בחלל
כשהן מתחרות כדי להיות מפעילת הלוויינים הדומיננטית, ספייס אקס והחברות המתחרות נתונות ללחץ גדל והולך להפחית עלויות. יש גם לחץ להאיץ את הפיתוח והייצור. המצב הזה מפתה את החברות לעגל פינות בתחומים כמו אבטחת סייבר שמשניים לעצם הבאת הלוויינים האלה לחלל.
אפילו אצל החברות שנותנות עדיפות גבוהה לאבטחת סייבר, העלויות שקשורות להבטחת האבטחה של כל אחד מהרכיבים יכולות להיות גורם מונע. הבעיה הזאת אפילו יותר חריפה במשימות חלל זולות, שבהן העלות של הבטחת אבטחת הסייבר יכולה לעלות על העלות של הלוויין עצמו.
כדי לסבך את העניינים, שרשרת האספקה המורכבת של הלוויינים האלה והגורמים הרבים שמעורבים בניהול שלהם משמעם שלעיתים קרובות לא ברור מי נושא באחריות ובחבות לפריצות סייבר. חוסר הבהירות הזה גרם לשאננות והפריע למאמצים לאבטח את המערכות החשובות האלה.
דרושה אסדרה
אנליסטים החלו לקרוא למעורבות ממשלתית חזקה בפיתוח והאסדרה של תקני אבטחת סייבר ללוויינים ונכסים אחרים בחלל. הקונגרס יכול לפעול לאימוץ מסגרת אסדרה מקיפה למגזר החלל המסחרי. לדוגמה, יכולים לקבל שם חוקים שמחייבים יצרני לוויינים לפתח ארכיטקטורת אבטחת סייבר משותפת.
הקונגרס גם יכול לחייב לדווח על כל פריצות הסייבר שמעורבים בהן לוויינים. צריכה גם להיות בהירות לגבי איזה נכסים בחלל נחשבים לקריטיים כדי לתעדף את פעילות אבטחת הסייבר. גם הנחיות משפטיות ברורות מי נושא באחריות להתקפות סייבר על לוויינים יועילו מאוד כדי להבטיח שהגורמים שאחראים ינקטו באמצעים הנחוצים כדי לאבטח את המערכות האלה.
לאור הקצב האיטי באופן מסורתי של החקיקה בקונגרס, ייתכן שיש הצדקה לגישה של בעלי עניין מרובים שכוללת שיתוף פעולה ציבורי- פרטי כדי להבטיח תקני אבטחת סייבר. מה שלא יהיו הצעדים שממשלות והתעשייה ינקטו, הכרחי לפעול עכשיו. זאת תהיה טעות גדולה לחכות עד שפצחנים ישתלטו על לוויין מסחרי וישתמשו בו כדי לאיים על חיי אדם ועל רכוש — כאן על הארץ או בחלל — לפני שנטפל בבעיה הזאת.