Illustrasjonsfoto.
Illustrasjonsfoto. (Bilde: Eirik Helland Urke)

Spionerer dronen din på deg?

  • Sikkerhet
Nils Roald, sikkerhetsekspert i Cisco.
Nils Roald, sikkerhetsekspert i Cisco. Foto: Cisco

Analysebyrået Opinion har gjort en undersøkelse som gir det første estimatet på hvor mange nordmenn som eier en drone. Omtrent 230.000 nordmenn oppgir at de eier en drone, og 843.000 nordmenn oppgir at de vurderer å kjøpe en drone. For meg er dette ekstremt høye tall, og langt over det jeg forventet av «markedspenetrasjon».

En kan se for seg at det blir mange flygende objekter under julegranen i år, der svært få av mottagerne er registrerte og trenede dronepiloter. Dette har potensial for en større utfordring for Avinor, Luftfartstilsynet og Samferdselsdepartementet. I tillegg til privatpersoner har vi et profesjonelt marked for droner som nå brukes til blant annet transport av varer og inspeksjon av infrastruktur i vanskelig tilgjengelige områder, samt at helikopter blir byttet ut med droner i blant annet filminnspillinger og overvåkning. I Norge utvikles det større og tyngre droner for «tungtrafikk» og vi har egne norske miljøer som utvikler mikro-droner for bruk til blant annet overvåkning for militær og politi. 

Utover den fysiske trusselen disse dronene kan utgjøre for flytrafikk og ved eventuelle havari over mennesker og dyr, så utgjør dronene en stor utfordring rundt personvern. Dronene er ofte utstyrt med en rekke sensorer som videokamera, mikrofon og GPS som i kombinasjon med dronenes fremkommelighet gir piloten mulighet til å overvåke mennesker på steder og i situasjoner vi ikke har vært vant til.

Kan sende sensitiv informasjon 

En av de store mega-trendene i samfunnet er at de fleste enheter som går på strøm, nå også kobles opp mot internett. Internet of Things (IoT). Videokamera, pacemakere, kjøleanlegg, kaffemaskiner, gatelys, treningsklokker, lyspærer og husalarmer er eksempel på enheter som nå kobles opp mot internett for å gi oss en bedre og mer effektiv brukeropplevelse.

Samtidig gir denne internettilgangen nye sikkerhetsutfordringer med eksponentiell vekst av antall enheter, operativsystem som er vanskelig å beskytte og deling av innsamlede data i skytjenester. Dette gjelder også droner, og nå dukker det opp indikasjoner om at dronene selv kan spionere på oss.

Department of Homeland Security i USA har nylig anklaget Da-Jiang Innovations (DJI), en av de største droneprodusentene i verden, for å sende sensitiv informasjon om amerikansk infrastruktur til Kina gjennom sine kommersielle droner og tilhørende software.

En kopi av et notat fra Immigration and Customs Enforcement bureau (ICE) har nylig begynt å sirkulere på nettet.  Der hevder ICE at det er «moderat sannsynlig» at DJI-droner kan sende data om kritisk infrastruktur og sensitiv informasjon tilbake til Kina.

Om disse påstandene medfører riktighet er dette et godt bilde på hvordan IoT-enheter og de inkluderte tjenestene kan øke sikkerhetsrisikoen vi utsetter oss for

Imidlertid mener ICE at det er «stor sannsynlighet» for at disse sensitive data innsamlet av DJI-systemene, kan brukes av den kinesiske regjeringen til å gjennomføre fysiske angrep eller cyberangrep mot kritisk infrastruktur og befolkningen.

Om disse påstandene medfører riktighet er dette et godt bilde på hvordan IoT-enheter og de inkluderte tjenestene kan øke sikkerhetsrisikoen vi utsetter oss for.

Notatet fortsetter med å spesifisere målene som den kinesiske regjeringen har forsøkt å spionere på, som omfatter jernbanesystemer, vannverk, håndteringsanlegg for farlig avfall og bygging av motorveier, broer og jernbaner. I følge ICE betjenes DJI-dronene med to forskjellige smarttelefon-applikasjoner, DJI GO og Sky Pixels. Disse applikasjonene merker automatisk bilder og videoopptak med GPS-data, får tilgang til brukerens telefondata og registrerer ansiktsgjenkjenningsdata, selv når systemet er slått av. Dessuten mener ICE at appene også registrerer brukeridentifikasjon og personlig informasjon som deres fulle navn, e-postadresser, telefonnumre, datamaskinens ID, bilder og videoer. 

«Much of the information collected includes proprietary and sensitive critical infrastructure data, such as detailed imagery of power control panels, security measures for critical infrastructure sites, or materials used in bridge construction.»

Hevder data overføres til Kina

ICE skriver at en ikke-navngitt kilde påstår at DJI automatisk laster opp denne innsamlede informasjonen til sine skylagringstjenester i Kina, Taiwan og Hong Kong, som den kinesiske regjeringen sannsynligvis har tilgang til.

Droneprodusenten på sin side har nektet for påstandene, og uttaler at notatet fra det amerikanske regjeringskontoret er basert på klart falske og misvisende påstander

«The allegations in the bulletin are so profoundly wrong as a factual matter that ICE should consider withdrawing it, or at least correcting its unsupportable assertions», sa DJI i en uttalelse sitert i The New York Times.

Hadde kartverket hatt tilgang til slike data fra 800.000 norske droner hadde vi raskt kunne kartlagt landet i svært stor detalj, langt bedre enn Google Maps

Ifølge en DJI-talsmann har brukerne full kontroll over hvor mye data de kan dele med den kinesiske drone-produsenten, og den automatiske funksjonen som DJI-appene tilbyr for å lagre flylogger kan slås av. Dessuten har DJI nylig lagt til en ny funksjon som gjør det mulig for piloter å kutte ut alle eksterne internettforbindelser mens dronen flyr.

I følge analysefirmaet Skylogic Research, dominerer DJI det nye og voksende dronemarkedet, med nesten 2/3 markedsandel i USA og Canada. Ikke bare hobbypiloter, men DJI-droner brukes også av kommersielle kunder som entreprenører, politi, energiverk og eiendomsmeglere. Om påstandene fra DHS er korrekte eller ikke skal jeg ikke spekulere i, men at vi står foran en stor utfordring fremover med IoT-enheter som deler data til offentlige skytjenester, er helt klart. Enheter som kan utgjøre en fare når de kobles opp mot intern-nettverk som brohode for hackere, eller at sensordata med overlegg eller i hemmelighet sendes til produsentenes skytjenester. 

Hadde kartverket hatt tilgang til slike data fra 800.000 norske droner hadde vi raskt kunne kartlagt landet i svært stor detalj, langt bedre enn Google Maps.

Kommentarer (10)

Kommentarer (10)
Til toppen