飞机会不会被黑客攻击(普通人会被黑客攻击吗)

无人机系统为公司提供了一种更好的方式来收集可以供他们改善操作的信息。除了部署无人机的公司之外，还有人想偷走这些数据，大家早就意识到数据的重要性。

Department 13 的高级软件工程师 Kevin Finisterre 说，虽然许多运营商在飞行过程中可能不会考虑数据盗窃，但无人机其实很容易受到攻击。不仅在空中的时候会受到损害，它们收集的数据和从这些数据中产生的衍生品也会被窃取。黑客或者是公司的竞争对手都能够从无人机的飞行中获取遥测数据，以及它收集到的任何敏感信息。

Finisterre 现在看到的是 10 年前或者更早的 101 个初级安全漏洞。基本上，目前最大的问题是无人机公司正在考虑如何让物体飞起来，以及如何让传感器工作。他们关注的是市场差异，而目前安全并未被考虑在内。

目前还不清楚网络安全问题在无人机和它们收集的信息方面到底有多普遍。不是每个行业都需要报告和调查违规行为，所以很多公司都没有意识到他们已经被黑客攻击了。但网络盗窃是一种威胁，无人机运营商和服务提供商应该意识到，他们可以采取适当的措施来保护有价值的数据。

展开全文

「无人机的数据收集能力使它成为恶意行为者的一个很有吸引力的目标，就像那些使用无人机的个人和公司一样，他们试图利用无人机存储或收集的数据的价值，」Hogan Lovells 律师事务所的助理 Brian Kennedy 说，同时数据链的复杂性提供了几个潜在的漏洞来源，每个漏洞都可能被精明的黑客利用。

威胁

公司需要保护的无人机相关数据有三种：遥测数据，比如无人机在哪里发射，以及它的飞行路线；无人机在飞行中收集的实际信息以及由此信息产生的后续产品；管理数据，比如谁购买了无人机，谁驾驶的无人机，以及最后一次在无人机上的维护。那些负责保护这些数据的人需要了解它的价值、它所在的位置以及它的移动方式。

数据和网络取证公司 Kovar & Associates 开发了软件无人和机器人系统分析(URSA)，CEO Kovar 说，从摄像机和传感器收集的数据，以及管理数据，通常与收集商业运营的其他信息一样存储和保护。大多数企业可能已经有了识别、跟踪和获取敏感信息的过程。这些相同的过程应该用于与无人机相关的数据。遥测数据则有点棘手。虽然这些信息可以通过典型的过程得到保护，但许多企业并没有意识到它的价值，甚至不知道它的存在。

大多数无人机都有一个内置的黑匣子，就像商用飞机一样，它包含了很多遥测数据。公司需要做出决定，是否要保留这些信息，如果是，他们将如何保存这些信息。这可能意味着提取它并将其放入存档，就像其他形式的数据一样。这也意味着要决定是否把数据留在飞机上，还是把数据从飞机上取下来。

我们必须了解数据的位置，数据对公司的价值，以及数据对攻击者或商业竞争对手的价值，或恶意的人。这将帮助企业在如何管理数据方面做出明智的决定。

黑客攻击如何发生

Kennedy 说，无人机收集的数据，无论是高清图像、视频、红外热数据、音频记录还是精确的 GPS 坐标，都需要通过数据链中的几个「链接」。通过无人机的摄像头或传感器收集数据后，数据可以存储在 UAS 的硬盘上，或者可以无线传输到基于云的数据存储系统，到一个或多个远程地面站，或数据处理或存储设施。

由于这些系统没有内置的安全控制，为黑客提供了机会，使运营商对集成到无人机数据链中的任何软件或硬件进行谨慎的尽职调查非常重要。

还有许多其他因素导致了攻击，包括未加密的过渡链接和不定期修补以防止安全威胁的软件应用。使用多用途的指挥和控制平台，如智能手机和平板电脑，存储从无人机收集的数据和其他数据，也可以为黑客打开大门，从而引发问题。

使用平板电脑、Android 和 iPhone 设备来控制这些无人机的使用非常多，在 Finisterre 看来，需要回顾过去 5 年的手机漏洞和爆炸的演示，并考虑到这一事实，用来控制无人机的设备可能会受到手机操作系统的其他细微差别的影响。

许多适用于物联网设备的网络安全威胁通常适用于无人机。例如，发送到或从无人机发送的信息可能是「欺骗」，这意味着黑客可能会发送不正确的 GPS 信号，操作数据或命令到 UAS。黑客可能会欺骗信号，使系统崩溃或侵犯敏感空域。

无人机也可能被「信息包嗅探」的过程所伤害，在这个过程中，软件程序被用来访问、拦截或记录没有 UAS 操作员知道的数据。医疗机构的主要威胁也可能被用于加密无人机收集的有价值的数据。唯利是图的黑客经常收取加密货币的赎金以换取解密密钥。

保护内部数据

运营商应该考虑通过无人机收集的数据的安全性，这是他们风险管理计划的关键部分。这意味着要实现框架，以降低运营商收集、存储或传输数据的风险。

Kovar 说，许多公司已经有了保护敏感数据的安全措施，所以可能不需要从头开始。重要的是要确保现有的做法是充分的，了解公司如何处理网络安全。如果数据被简单地扔到每个人都可以访问的标准文件服务器上，那么可能是时候进行一些更改了。

那么应该从哪里开始呢？审查现有的数据保护和网络安全标准。Kovar 建议遵循 SANS、NIST 或 ISO 标准，只是要记住这些文档中的标准并不是一刀切的。每个公司都是不同的，有独特的需求，确保流程符合公司的环境。

另外还应该有一个文件化的组织结构，具体描述在数据保护和网络安全方面想要实现的目标，以及谁来对此负责。很多时候，公司会记录他们计划做的事情，但从不执行这些计划，让他们的数据变得脆弱。这一步能帮助计划实现。

Kovar 建议雇佣一个人，并给予他或她所需的预算和资源，以保持消息灵通。这个人应该深入了解网络安全威胁，以及开发和实施有效项目的权力。在组织中，网络安全专家也应该有权去无人机小组，有权限说「停止使用这个产品」或「我们必须采取措施来确保漏洞在发现问题时减轻」。这可能意味着要改变无人机的操作方式，或者更换一个软件。

网络安全项目最重要的是人、流程和技术。首先应该是人，但不幸的是，很多公司首先会解决技术问题。Kovar 说，他们花了 100 万美元在一些非常酷的网络安全技术上，然后因为他们没有在人员和流程上投资，技术在架子上或被部署，但没有得到妥善管理或使用。

同样重要的是，要确保安装的程序正常工作，最好的方法之一就是通过审计。安全审计是网络安全风险评估项目的基石，因为它评估安全控制，识别敏感数据的风险和漏洞，并提供管理风险的结构。审计或评估通常被映射到一个公认的框架，例如 NIST 标准，它使操作员能够在一个行业中验证他们对其他人的安全性行为。

Finisterre 建议引入一个外部的主题专家，不仅要执行这些审计，而且要帮助开发网络安全计划，如果没有一个专家的话。这些安全专家还可以帮助制造商开发和实施更多的安全措施。

关于服务提供者

知道如何在内部保护数据将有助于减少漏洞，但是如果选择雇佣一个无人机服务提供商来执行这些飞行呢？如何确保他们的信息安全？

Kennedy 说，在雇佣第三方之前，无论它是一个收集数据并存储数据的公司，还是一个数据分析公司，都将提供有价值的见解，确保计划与之合作的公司有适当的安全措施。审查合同，以确保它们代表和保证供应商已经实施了适当的信息安全计划。卖方还应承诺披露任何安全漏洞，并遵守相关法律法规。

对使用的供应商持批评态度，让他们公开他们的数据政策，他们如何处理数据，或者公开发表声明，他们不会使用你的数据为他们自己的目的。

Kovar 说，问问这些公司，它们会如何保护你的数据。如果它在云上，那么是微软？亚马逊？是公司自己制造的东西吗？服务器在美国，中国，俄罗斯还是其他地方？如果数据存储在另一个国家的服务器上，那就必须弄清楚谁的法律适用于访问该数据，如果数据被非法访问，可以如何得到通知，以及对数据的权限。

找出如果公司被黑客攻击的通知要求是什么，以及他们多久会更新，因为他们工作的时候决定谁攻击和数据被拿走。在签字之前，你可能想让律师审查一下数据保护协议。

如果购买的是不安全的设备，而不是采取措施保护设备，它会让整个组织处于危险之中。软件也是一种服务。如果正在使用一个外部站点来处理图像数据，而公司的服务器不安全，你的数据可能被盗窃而供应商却不知道。

从一开始就要注意安全问题

随着技术的发展，制造商们急于获得最新的最伟大的产品，大多数人虽然有良好的意图，但并没有像他们应该的那样投入大量的时间和精力，无论是硬件、软件还是操作产品。

必须从一开始就设计好安全，如果正在尝试建立一种新的无人机业务，而匆忙地将代码放在那里，并提供新的功能，那么可能不会对良好的安全性行为付出太多的关注。安全不是利润中心，这是一个成本中心，很难说服股东或控制预算的人投资在安全上。

但安全漏洞可能代价高昂。为了开发网络安全计划，在公司里公开讨论保护数据方面所做的事情，并愿意使用已有的、真正的解决方案。做研究以确保网络安全程序尽可能的健壮。阅读文章，参加关注网络安全的会议。对公司和使用的任何服务提供商进行审计。确保实施网络安全政策，并遵循专家建议。

底线是了解你的无人机向你的公司和其他公司收集的数据的价值，识别威胁的来源，以及窃贼如何获得访问权限，然后采取必要的步骤来保护你的宝贵财产。

Finisterre 说，不管你想要保护什么，或者你在谈论什么关于数据安全的对话，你都需要知道你的攻击者是谁。它真的有助于可视化攻击者的动机是什么，以及他们通过访问数据可能导致的破坏或暴露程度。