Kan du lita på din drönare?
Alla som sett Star Wars vet att man inte ska lita på en främmande drönare, men kan du ens lita på din egen? En av alla de risker som påtalats i studier är att drönaren har komprometterats i samband med uppkopplingar mot nätet för att ladda upp filmer eller hämta uppdateringar. Men verkligheten är mer komplex än så till följd av nya regelverk var och hur flygningar får ske, ökade krav på egen kontroll så att drönaren vet var den normalt inte får vara och slutligen en marknad där kopplingarna mellan tillverkare, hackergrupper och övervakningsaktörer i bästa fall framstår som oklar.
Drönaren i vardagen
Drönare har betraktats med en viss misstro samtidigt som deras möjligheter i exempelvis räddningsinsatser har lyfts fram. Idag håller användningen på att regleras och man slipper förhoppningsvis att störas av drönare i parker och bostadsområden. Men vilka risker finns med tekniken och vilka kopplingar kan dras till exempelvis IT-säkerhet eller fysisk säkerhet?
De risker som brukar diskuteras avser
- Störningar för flygtrafik till följd av flygningar kring flygfält
- Störningar kring större evenemang, konserter eller demonstrationer
- Användning i samband med brott, tex rekognoscering av fastigheter
- Olika former av industrispionage, tex fotografering av anläggningar, lager, prov
- Olika former av trakasserier av civilbefolkning, tex från narkotikakarteller
- Olika former av spioneri, avlyssning, dataintrång och cyberangrepp
För att komma till rätta med de första riskerna byggs det idag upp en reglering med krav på registrering av drönare, krav på kompetensbevis och framtida krav på publik elektronisk identifiering av drönare. Till detta kommer regler för tillåten användning och förbudszoner vid flygplatser och helikopterplattor samt platser där det i vid mening finns risk att skada personer eller egendom.
Tanken är givetvis att de som ser eller störs av en otillåten användning i framtiden själva ska kunna identifiera drönaren och i andra hand kunna kontakta polis om drönaren tex är oregistrerad.
Risken att drönaren ska komprometteras
Det finns redan idag hackersiter för de som vill trimma sin drönare, tex öka hastigheten eller sändareffekten eller ta bort inlagda flygförbudszoner. Denna utveckling är förväntad och innebär i princip att en ny programvara läggs in i drönaren eller dess styrenhet. Man kan också betala licens för att få tillgång till dessa tjänster från piratföretaget.
Ett stort antal drönare för hobbyfilmning och viss kommersiell användning tillverkas i Kina och säljs i allt väsentligt i enlighet med gällande regelverk. Samtidigt finns det möjligheter att via Drone-Hacks att köpa en licens för att ändra i dessa regelverk. Det går att anta att tillverkaren och piratföretaget på något sätt har ett symbiotiskt förhållande där båda parter kan gynnas av den andres ageranden. Eftersom ägare av drönare ofta också publicerar sina filmer på sociala medier så finns det också goda möjligheter att kartlägga användarna.
En främmande underrättelsetjänst skulle exempelvis kunna vara intresserad av
- Vilka personer (namn, ålder, nationalitet) äger en drönare (märke och firmware)
- I vilka geografiska områden flyger de (drönare har normalt GPS)
- Flyger de över hamnar, andra anläggningar eller över skyddsobjekt (enligt GPS koordinater)
- Har personerna registrerat sig för att ta bort restriktioner på sina drönare
- Har personerna laddat upp filmer på sociala medier
- Finns det flygningar som visar militära installationer (master, fordon, anläggningar mm enligt en enklare AI analys)
I de fall en underrättelseaktör har tillgång till både drönare, pirat firmware, mobiler som används, telekommunikationstjänster och sociala medier så underlättas ett angrepp. Aktören kan välja att ta del av de filmer som spelats in, styra inspelningar under flygningar, modifiera flygningar eller rentav kontakta personen för att be denna att utföra andra uppdrag. En statsaktör kan också använda kombinationen av personens bakgrund, villighet att begå regelbrott utifrån sociala medier och inspelade filmer som ett sållningsverktyg för att leta fram lämpliga kandidater. Själva hobbyn i sig är också en möjlig kontaktväg.
Dessa risker kan förefalla osannolika, men graden av utnyttjande kan komma att variera beroende på aktuella konfliktnivåer och samarbeten mellan statsaktörer, enskilda företag och kriminella aktörer är långt ifrån ovanliga. En fråga man bör ställa sig är om man vill övervaka sin egen verksamhet eller egna tester är hur man ska kunna lita på sin egen drönare och att man själv verkligen är ensam om att få resultaten.
Drönare och vanlig brottslighet
När drönare används till brott så finns det egentligen inga begränsningar. Drönare har använts både som hjälpmedel vid inbrott och för att släppa små bomber i villaområden. Organiserad brottslighet har använt drönare för smuggling, både som transportmedel och för bevakning av leder eller platser, tex hamnar där smuggelgodset ska hanteras.
Det finns också vägledningar från Interpol hur man utför en forensisk analys av en beslagtagen eller upphittad drönare och tillhörande utrustning för att tex hitta tidigare rutter eller av tillhörande utrustning som manöverenhet eller mobiltelefon för att koppla dessa till varandra och utläsa mer data. Detta kan bli aktuellt för att exempelvis utreda tidigare brottslighet.
Drönare och industrispionage
Ett antal studier har visat på att drönare kan användas för industrispionage. Detta kan ske genom att anläggningar, lager och uppställningsplatser samt testanläggningar fotograferas. Det har också framhållits att drönare kan användas för att bryta sig in på trådlösa nätverk genom att flyga till en plats, kanske inom ett inhägnat område, där dessa nätverk är åtkomliga. Detta förutsätter givetvis att man tillför en ”nyttolast” i form av trådlös nätutrustning eller en falsk basstation för mobiltelefoni. Även om tiden som är drönaren kan tillbringa i luften är begränsad så går det att parkera den på ett tak i närheten så hotet kan vara relativt långvarigt.
När man omvänt ser på möjligheterna att skydda sig bör man tänka på att en drönare kan flyga utan att operatören är inom synhåll genom att använda den egna kameran, att den kan flyga under hinder och i någon mån även inomhus samt i mörker. Men man behöver inte tänka specifikt på drönare när man ser till att trådlösa nätverk är säkra, fönster stängda och känsliga information inte ska finnas synlig.
Om man får påhälsning av en drönare på sin industrifastighet så kan det vara bra att ha tänkt igenom vilka åtgärder som ska vidtas i förväg. En enkel incidentrapport för internt bruk kan omfatta både observationer rörande flygningen, observation kring den egna organisationens verksamhet vid flygningen och eventuella störningar till följd av flygningen samt åtgärder med anledning av incidenten.
Observationerna kring flygningen bör exempelvis omfatta
- Tidpunkt, väderförhållanden (sikt, vind osv) och eventuell belysning på farkosten
- Bedömd typ av drönare (viktklass) och hastighet
- Bedömd flyghöjd (högre än 120 meter eller 50 meter beroende på typ av luftrum)
- Bedömt minsta avstånd i sidled till människor och byggnader
- Om flygningen kan bedömas utgöra fara för personer eller egendom
- Hur länge överflygningen av det egna industriområdet varade
- Om föraren fanns inom synhåll (hade drönaren under uppsikt) och var möjlig att identifiera
- Eventuella uppgifter om föraren (drönarkort, operatör, hobby/kommersiell flygning osv)
Syftet med att dokumentera observationerna kring själva flygningen är att dessa skulle kunna ligga till grund för en anmälan om brott mot regelverk (luftfartsregler mm) eller för en eventuell kontroll i efterhand om det funnits en registrerad flygning tex genom tillstånd via myndighet eller flygledning.
När kan drönaren bli ett hot
Under vanliga förhållanden är drönare inte ett hot mot vardaglig verksamhet, men de kan på sikt utvecklas till ett hot mot kritisk samhällsinfrastruktur och redan i fredstid även som ett hot mot övningsverksamhet inom totalförsvaret.
I konfliktområden kan drönare används mer aggressivt och även som vapen. Detta sker exempelvis vid konflikter med gerilla eller drogkarteller.
När drönare diskuteras inom cyberkrigföring talar man mycket om att slå ut motpartens drönare för att hindra dem från att utföra övervaknings eller räddningsinsatser eller rentav använda dem som vapen för att orsaka olyckor eller störningar. Angriparen uppnår en större effekt om han kan använda motståndarens utrustning för sina egna ändamål. Han kan då orsaka en skada samtidigt som han kan förvägra en användning och slipper transportera egen utrustning till platsen. Det kan också bli lättare att förneka inblandning i attacken.
Cyberaspekten innebär att behovet av IT-säkerhet ska vara tillgodosedd vid val av drönarsystem och vid hantering av drönare och tillhörande system och anpassat till de faktiska behov av systemen som finns och de skador som skulle kunna uppstå om systemen manipulerats. Detta omfattar också penetrationstester och tester med försök att överta eller störa ut både egna och andras flygningar.
Likaså kan cyberaspekten innebära tester av andra typer av drönare och vilka möjligheter man har att upptäcka och motverka dessa. Men även förmågan att tolerera ett cyberhot kan ingå i hanteringen. Man behöver också komma ihåg att drönare finns inom ett vitt spektrum från hobbydrönare, via räddningstjänst och civil övervakning till rent militära drönare med helt skilda krav på cybersäkerhet.
Proaktiv användning av drönare
Drönare behöver inte bara innebära risker utan kan de kan också användas för att upptäcka och förebygga hot. Exempel på användning kan vara avpatrullering av avlysta områden för att säkerställa att ingen obehörig uppehåller sig där och som ett komplement till ronderade bevakning. Andra exempel kan vara övervakning av större anläggningar som inte kan täckas helt med stationär kamerabevakning.
Vid patrullering ställs normalt högre krav på drönaren vad avser längre flygtid, möjlighet att flyga utanför förarens sikt, möjlighet att läsa av kamerainformation i realtid och möjlighet ha fler sensorer, exempelvis även en värmekamera. Det ställs också högre krav på organisation att planera för olika händelser som kan inträffa.
Vid granskning av fysisk säkerhet kan nyttan av drönare vara mindre, fokus ligger ofta på mer handgripliga kontroller på nära håll. De översiktsbilder som en drönare skulle kunna ge får man normalt via flygfoton och ritningar före granskningen på plats.
För känsliga objekt kan det också vara olämpligt att fotografera med utrustning som är så exponerad som en vanlig drönare. Flygreglerna kräver också att man har drönaren inom uppsikt vilket medför att man måste gå med runt byggnaden och följa med upp på taket samtidigt som uppmärksamheten blir splittrad, man kan inte både flyga och granska den fysiska säkerheten samtidigt. Flygning kring byggnader kräver också större uppmärksamhet kring vindförhållanden, särskilt nära kanter på byggnaden, och på hinder i form av linor, master och stag.
Det går att sätta samman flygfoton från en videofilm, men det kräver viss rutin och kan vara svårt att utföra första gången, särskilt om ursprungsmaterialet har ojämn kvalitet. Men bortsett från detta så kan drönare användas för att ta vanliga flygbilder särskilt från en större flyghöjd.
Referenser
EU regelverk för drönare finns på https://www.easa.europa.eu/newsroom-and-events/news/eu-wide-rules-drones-published (motsvarande svenska regler finns hos Transportstyrelsen)
Interpols vägledning för att utreda drönarbrott FRAMEWORK FOR RESPONDING TO A DRONE INCIDENT For First Responders and Digital Forensics Practitioners finns bland annat på https://www.blueline.ca/wp-content/uploads/2020/05/DFL_DroneIncident_Final_EN-From-Interpol.pdf
Otillåtna uppdateringar för att trimma sin drönare finns på https://drone-hacks.com/hacks
Kommersiell drönardetektering med 50 km räckvidd finns på https://downloads.aaronia.com/datasheets/solutions/drone_detection/Aaronia_AARTOS_Drone_Detection_System.pdf
Drönardetektering för enbart DJI finns på https://www.dji.com/se/aeroscope
Corporate Espionage by Drone: Why Corporations Need Better Physical and Legal Protections finns på https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3772434
UAV Forensic Analysis and Software Tools Assessment: DJIPhantom 4 and Matrice 210 as Case Studies finns på https://www.mdpi.com/2079-9292/10/6/733
How to Analyze the Cyber Threat from Drones, Background, Analysis Frameworks, and Analysis Tools från Rand Corporation finns påhttps://www.rand.org/pubs/research_reports/RR2972.html