No mês passado, a SpaceX se tornou a operadora da maior constelação de satélites ativos do mundo . No final de janeiro, a empresa tinha 242 satélites em órbita no planeta, com planos de lançar 42.000 na próxima década. Isso faz parte de seu ambicioso projeto de fornecer acesso à Internet em todo o mundo. A corrida para colocar os satélites no espaço está em andamento, com a Amazon, a OneWeb, sediada no Reino Unido, e outras empresas que estão concorrendo para colocar milhares de satélites em órbita nos próximos meses.
Esses novos satélites têm o potencial de revolucionar muitos aspectos da vida cotidiana – desde o acesso à Internet a cantos remotos do mundo até o monitoramento do meio ambiente e a melhoria dos sistemas de navegação global.
Em meio a toda a alarde, um perigo crítico surgiu sob o radar: a falta de normas e regulamentos de segurança cibernética para satélites comerciais, nos EUA e internacionalmente. Como estudioso que estuda conflitos cibernéticos, tenho plena consciência de que isso, juntamente com as complexas cadeias de suprimentos dos satélites e as camadas de partes interessadas, os deixa altamente vulneráveis a ataques cibernéticos.
Se os hackers controlassem esses satélites, as consequências poderiam ser terríveis. No extremo mundano da escala, os hackers poderiam simplesmente desligar os satélites, negando o acesso aos seus serviços. Os hackers também podem bloquear ou falsificar os sinais dos satélites, criando estragos na infraestrutura crítica. Isso inclui redes elétricas, redes de água e sistemas de transporte.
Alguns desses novos satélites têm propulsores que lhes permitem acelerar, desacelerar e mudar de direção no espaço. Se os hackers controlassem esses satélites direcionáveis, as consequências poderiam ser catastróficas. Os hackers podem alterar as órbitas dos satélites e colidi-los com outros satélites ou até com a Estação Espacial Internacional.
Commoditização de equipamentos expõe vulnerabilidades
Os fabricantes desses satélites, especialmente os pequenos CubeSats, usam tecnologia pronta para manter os custos baixos. A ampla disponibilidade desses componentes significa que os hackers podem analisá-los em busca de vulnerabilidades. Além disso, muitos dos componentes utilizam tecnologia de código aberto. O perigo aqui é que os hackers podem inserir portas traseiras e outras vulnerabilidades no software dos satélites.
A natureza altamente técnica desses satélites também significa que vários fabricantes estão envolvidos na construção dos vários componentes. O processo de inserção desses satélites no espaço também é complicado, envolvendo várias empresas. Mesmo quando estão no espaço, as organizações que possuem os satélites geralmente terceirizam sua administração diária para outras empresas. Com cada fornecedor adicional, as vulnerabilidades aumentam à medida que os hackers têm várias oportunidades de se infiltrar no sistema.
Hackear alguns desses CubeSats pode ser tão simples quanto esperar um deles passar por cima e enviar comandos maliciosos usando antenas terrestres especializadas. Hackear satélites mais sofisticados também pode não ser tão difícil.
Os satélites são normalmente controlados a partir de estações terrestres. Essas estações rodam computadores com vulnerabilidades de software que podem ser exploradas por hackers. Se os hackers se infiltrassem nesses computadores, eles poderiam enviar comandos maliciosos para os satélites.
Uma Breve historia de ataques cibernéticos em estruturas aeroespaciais
Esse cenário ocorreu em 1998, quando hackers assumiram o controle do satélite de raios-X ROSAT, alemão-americano. Eles fizeram isso invadindo computadores no Goddard Space Flight Center, em Maryland. Os hackers então instruíram o satélite a apontar seus painéis solares diretamente para o sol. Isso efetivamente fritou suas baterias e tornou o satélite inútil. O satélite extinto finalmente caiu de volta à Terra em 2011. Os hackers também podiam manter satélites em troca de resgate, como aconteceu em 1999, quando hackers assumiram o controle dos satélites SkyNet do Reino Unido.
Ao longo dos anos, a ameaça de ataques cibernéticos em satélites se tornou mais terrível. Em 2008, hackers, possivelmente da China, teriam assumido o controle total de dois satélites da NASA, um por cerca de dois minutos e o outro por cerca de nove minutos. Em 2018, outro grupo de hackers chineses apoiados pelo Estado lançou uma sofisticada campanha de hackers direcionada a operadores de satélite e empreiteiros de defesa. Grupos hackers iranianos também tentaram ataques semelhantes .
Embora o Departamento de Defesa dos EUA e a Agência de Segurança Nacional tenham se esforçado para lidar com a cibersegurança espacial, o ritmo tem sido lento. Atualmente, não há padrões de segurança cibernética para satélites e nenhum órgão regulador para regular e garantir sua segurança cibernética. Mesmo que padrões comuns possam ser desenvolvidos, não existem mecanismos para implementá-los. Isso significa que a responsabilidade pela cibersegurança por satélite recai sobre as empresas individuais que as constroem e operam.
Indústria aeroespacial por redução de custos, não dão atenção para cibersegurança
Enquanto competem para ser a operadora de satélite dominante, a SpaceX e as empresas rivais estão sob crescente pressão para cortar custos . Também há pressão para acelerar o desenvolvimento e a produção. Isso torna tentador para as empresas reduzirem custos em áreas como a cibersegurança, secundárias à obtenção desses satélites no espaço.
Mesmo para empresas que priorizam a segurança cibernética, os custos associados à garantia da segurança de cada componente podem ser proibitivos. Esse problema é ainda mais grave para missões espaciais de baixo custo, onde o custo de garantir a segurança cibernética pode exceder o custo do próprio satélite.
Para complicar, a complexa cadeia de suprimentos desses satélites e as várias partes envolvidas em seu gerenciamento significa que muitas vezes não está claro quem é o responsável por violações cibernéticas . Essa falta de clareza gerou complacência e dificultou os esforços para garantir esses importantes sistemas.
Sem regulamentação fica difícil
Alguns analistas começaram a advogar um forte envolvimento do governo no desenvolvimento e regulamentação de padrões de segurança cibernética para satélites e outros ativos espaciais. O Congresso poderia trabalhar para adotar uma estrutura regulatória abrangente para o setor espacial comercial. Por exemplo, eles poderiam aprovar legislação que exige que os fabricantes de satélites desenvolvam uma arquitetura comum de segurança cibernética.
Eles também podem exigir a denúncia de todas as violações cibernéticas envolvendo satélites. Também é preciso haver clareza sobre quais ativos baseados em espaço são considerados críticos para priorizar os esforços de segurança cibernética. Uma orientação legal clara sobre quem é responsável por ataques cibernéticos em satélites também ajudará bastante a garantir que as partes responsáveis tomem as medidas necessárias para proteger esses sistemas.
Dado o ritmo tradicionalmente lento da ação do Congresso, pode ser necessária uma abordagem de várias partes interessadas envolvendo cooperação público-privada para garantir padrões de segurança cibernética. Quaisquer que sejam as medidas tomadas pelo governo e pela indústria, é imperativo agir agora. Seria um erro profundo esperar que os hackers adquirissem o controle de um satélite comercial e usá-lo para ameaçar vidas, membros e propriedades – aqui na Terra ou no espaço – antes de abordar esta questão.
