Lo scorso mese, SpaceX è diventato l'operatore della più grande costellazione di satelliti attivi del mondo. Da fine gennaio, la società aveva 242 satelliti in orbita attorno al pianeta con l'intenzione di lanciarne 42, 000 nel prossimo decennio. Questo fa parte del suo ambizioso progetto di fornire accesso a Internet in tutto il mondo. La corsa per mettere i satelliti nello spazio è iniziata, con Amazon, OneWeb, con sede nel Regno Unito, e altre società che cercano di mettere in orbita migliaia di satelliti nei prossimi mesi.

Questi nuovi satelliti hanno il potenziale per rivoluzionare molti aspetti della vita quotidiana, dal portare l'accesso a Internet in angoli remoti del globo al monitoraggio dell'ambiente e al miglioramento dei sistemi di navigazione globali. In mezzo a tutta la fanfara, un pericolo critico è passato sotto il radar:la mancanza di standard e regolamenti di sicurezza informatica per i satelliti commerciali, negli Stati Uniti e a livello internazionale. Come studioso che studia i conflitti cibernetici, Sono profondamente consapevole che questo, insieme alle complesse catene di approvvigionamento dei satelliti e ai livelli di parti interessate, li lascia altamente vulnerabili agli attacchi informatici.

Se gli hacker dovessero prendere il controllo di questi satelliti, le conseguenze potrebbero essere disastrose. Alla fine della scala mondana, gli hacker potrebbero semplicemente spegnere i satelliti, negare l'accesso ai propri servizi. Gli hacker potrebbero anche bloccare o falsificare i segnali dei satelliti, creando scompiglio per le infrastrutture critiche. Ciò include le reti elettriche, reti idriche e sistemi di trasporto.

Alcuni di questi nuovi satelliti hanno propulsori che consentono loro di accelerare, rallentare e cambiare direzione nello spazio. Se gli hacker prendessero il controllo di questi satelliti orientabili, le conseguenze potrebbero essere catastrofiche. Gli hacker potrebbero alterare le orbite dei satelliti e farli schiantare contro altri satelliti o persino contro la Stazione Spaziale Internazionale.

Le parti delle materie prime aprono una porta

Creatori di questi satelliti, CubeSat particolarmente piccoli, utilizzare la tecnologia standard per mantenere bassi i costi. L'ampia disponibilità di questi componenti consente agli hacker di analizzarli alla ricerca di vulnerabilità. Inoltre, molti dei componenti si basano sulla tecnologia open source. Il pericolo qui è che gli hacker possano inserire backdoor e altre vulnerabilità nel software dei satelliti.

La natura altamente tecnica di questi satelliti significa anche che più produttori sono coinvolti nella costruzione dei vari componenti. Anche il processo per portare questi satelliti nello spazio è complicato, coinvolgendo più società. Anche una volta nello spazio, le organizzazioni che possiedono i satelliti spesso affidano la loro gestione quotidiana ad altre società. Con ogni fornitore aggiuntivo, le vulnerabilità aumentano poiché gli hacker hanno molteplici opportunità di infiltrarsi nel sistema.

L'hacking di alcuni di questi CubeSat può essere semplice come aspettare che uno di loro passi sopra la testa e quindi inviare comandi dannosi utilizzando antenne di terra specializzate. Anche l'hacking di satelliti più sofisticati potrebbe non essere così difficile.

I satelliti sono generalmente controllati da stazioni di terra. Queste stazioni eseguono computer con vulnerabilità software che possono essere sfruttate dagli hacker. Se gli hacker dovessero infiltrarsi in questi computer, potrebbero inviare comandi dannosi ai satelliti.

Una storia di hack

Questo scenario si è verificato nel 1998 quando gli hacker hanno preso il controllo del satellite a raggi X ROSAT americano-tedesco. Lo hanno fatto hackerando i computer del Goddard Space Flight Center nel Maryland. Gli hacker hanno quindi ordinato al satellite di puntare i suoi pannelli solari direttamente verso il sole. Questo ha effettivamente fritto le sue batterie e reso inutile il satellite. Il satellite defunto alla fine si è schiantato sulla Terra nel 2011. Gli hacker potrebbero anche tenere i satelliti per un riscatto, come accadde nel 1999 quando gli hacker presero il controllo dei satelliti SkyNet del Regno Unito.

Negli anni, la minaccia di attacchi informatici ai satelliti è diventata più grave. Nel 2008, hacker, possibilmente dalla Cina, secondo quanto riferito ha preso il pieno controllo di due satelliti della NASA, uno per circa due minuti e l'altro per circa nove minuti. Nel 2018, secondo quanto riferito, un altro gruppo di hacker cinesi sostenuti dallo stato ha lanciato una sofisticata campagna di hacking rivolta agli operatori satellitari e agli appaltatori della difesa. Anche i gruppi di hacker iraniani hanno tentato attacchi simili.

Sebbene il Dipartimento della Difesa degli Stati Uniti e l'Agenzia per la sicurezza nazionale abbiano compiuto alcuni sforzi per affrontare la sicurezza informatica spaziale, il ritmo è stato lento. Attualmente non esistono standard di sicurezza informatica per i satelliti e nessun organo di governo per regolamentare e garantire la loro sicurezza informatica. Anche se si potessero sviluppare standard comuni, non ci sono meccanismi in atto per farli rispettare. Ciò significa che la responsabilità della sicurezza informatica dei satelliti ricade sulle singole società che li costruiscono e li gestiscono.

Le forze di mercato lavorano contro la sicurezza informatica spaziale

Poiché competono per essere l'operatore satellitare dominante, SpaceX e le società rivali sono sottoposte a crescenti pressioni per ridurre i costi. C'è anche pressione per accelerare lo sviluppo e la produzione. Ciò rende le aziende tentate di tagliare scorciatoie in aree come la sicurezza informatica che sono secondarie rispetto al portare effettivamente questi satelliti nello spazio.

Anche per le aziende che fanno della sicurezza informatica un'alta priorità, i costi associati alla garanzia della sicurezza di ogni componente potrebbero essere proibitivi. Questo problema è ancora più acuto per le missioni spaziali a basso costo, dove il costo per garantire la sicurezza informatica potrebbe superare il costo del satellite stesso.

Per complicare le cose, la complessa catena di approvvigionamento di questi satelliti e le molteplici parti coinvolte nella loro gestione fanno sì che spesso non sia chiaro chi sia responsabile delle violazioni informatiche. Questa mancanza di chiarezza ha generato autocompiacimento e ostacolato gli sforzi per proteggere questi importanti sistemi.

Il regolamento è obbligatorio

Alcuni analisti hanno iniziato a sostenere un forte coinvolgimento del governo nello sviluppo e nella regolamentazione degli standard di sicurezza informatica per i satelliti e altre risorse spaziali. Il Congresso potrebbe lavorare per adottare un quadro normativo completo per il settore spaziale commerciale. Ad esempio, potrebbero approvare una legislazione che imponga ai produttori di satelliti di sviluppare un'architettura di sicurezza informatica comune.

Potrebbero anche imporre la segnalazione di tutte le violazioni informatiche che coinvolgono i satelliti. Occorre anche fare chiarezza su quali risorse spaziali sono ritenute fondamentali per dare la priorità agli sforzi per la sicurezza informatica. Una guida legale chiara su chi è responsabile degli attacchi informatici ai satelliti farà molto per garantire che le parti responsabili adottino le misure necessarie per proteggere questi sistemi.

Dato il ritmo tradizionalmente lento dell'azione congressuale, può essere giustificato un approccio multi-stakeholder che preveda la cooperazione pubblico-privato per garantire gli standard di cibersicurezza. Qualunque siano i passi che il governo e l'industria intraprendono, è imperativo agire ora. Sarebbe un grave errore aspettare che gli hacker ottengano il controllo di un satellite commerciale e lo utilizzino per minacciare la vita, arto e proprietà, qui sulla Terra o nello spazio, prima di affrontare questo problema.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.