Att använda en brännartelefon vid vinter-OS 2022 är ett sätt att idrottare, tränare och fans kan skydda sig mot spioneri. Denna taktik är förvisso obekväm och potentiellt dyr, men den är genomförbar. Cybersäkerhetsexperter är också oroliga för Internet of Things-attacker som kan sträcka sig långt bortom individuella problem och lösningar.
Måste läsa säkerhetstäckning
Olympiska arrangörer har mött cyberattacker i flera år, där London och Rio hanterade IT-problem 2012 respektive 2016. En av de mest dramatiska attackerna var 2018. Hackare inledde en attack under öppningsceremonierna vid vinterspelen i Pyeongchang, Sydkorea. I en Wired-artikel 2019 beskrev Andy Greenberg attacken mot en IT-infrastruktur som inkluderade “mer än 10 000 datorer, mer än 20 000 mobila enheter, 6 300 Wi-Fi-routrar och 300 servrar i två Seoul-datacenter.” Attacken började med att “stänga av alla domänkontrollanter i Seouls datacenter”, vilket innebar att Wi-Fi inte fungerade, internetlänkade TV-apparater i de olympiska anläggningarna gick ner tillsammans med varje RFID-baserad säkerhetsgrind och OS-tjänstemannen app, enligt Wired-artikeln.
I år, appen idrottare måste använda för hälsokontroller och andra uppgifter utgör en allvarlig säkerhetsrisk för att förlora personlig data, enligt forskare vid Torontos Citizen Lab. Dessutom vann Peking nyligen en fjärde plats i Juniper Researchs lista över smarta städer världen över. Smart stadsinfrastruktur kan göra livet bekvämare för invånarna. Stadsledare måste balansera dessa fördelar med de ökade säkerhetsriskerna med att ansluta transport, kommunikation, vatten- och avfallsbehandlingsanläggningar och annan kritisk infrastruktur till internet.
Här är en titt på cybersäkerhetsrisker vid de aktuella spelen för både individer och hela samhället.
Personliga cybersäkerhetsrisker för idrottare
James Carder, säkerhetschef på LogRhythm, ser en verklig risk för hackare som bryter mot konton för att besöka idrottares konton och använda e-post eller sms för utpressning.
“När jag reser för jobbet och som en vanlig person, om jag åker till Kina eller ett land som kan vara mindre känsligt för min integritet, bär jag inte på min bärbara dator eller mobiltelefon”, sa han. “Jag använder brännare.”
Ben Cody, SVP för produkthantering på SailPoint, sa att idrottare endast bör använda Bluetooth när det absolut behövs, och VPN bör vara obligatoriska oavsett om en person använder Wi-Fi eller en mobilanslutning.
“Överväg att logga ut från företagsapplikationer på din telefon,” sa han, “Fråga om din identitetsprofil och överväga ett “minst privilegium”-strategi för applikationsrättigheter när du är borta på spelen.”
Carder sa att idrottare borde vara medvetna om sin fysiska säkerhet såväl som cyberrisker.
“Förstå att det finns människor som vill spionera på dig, och gör det inte lätt för dem att få det de behöver,” sa han.
SER: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
MY2022-appen har datasäkerhetsproblem
Dessa säkerhetsproblem är utöver sårbarheter i appen som idrottare måste använda. Forskare med Torontos Citizen Lab-projekt gjorde en omfattande utvärdering av MY2022, en app som idrottare måste använda för att dela medicinsk information relaterad till COVID-19. Bristerna är betydande:
- Kryptering som skyddar en användares röstljud och filöverföringar kan förbigås
- Hälsotullformulär med passuppgifter, medicinsk och resehistorik är sårbara
- Serversvar kan vara förfalskade
I rapporten, Cross-Country Exposure: Analysis of the MY2022 Olympics App, konstaterade forskare att “appens säkerhetsbrister kanske inte bara bryter mot Googles policy för oönskad programvara och Apples App Store-riktlinjer utan även Kinas egna lagar och nationella standarder som rör integritetsskydd … .” Säljaren som byggde appen svarade inte på dessa säkerhetsavslöjanden, enligt labbet. Pekings organisationskommitté för OS 2022 byggde appen. Beijing Financial Holdings Group, ett statligt ägt företag, är listad som säljare av appen i App Store.
Forskarna fann två sårbarheter i dataöverföring: ett misslyckande med att validera SSL-certifikat och en brist på kryptering vid sändning av data. Säkerhetsexperterna hittade fem SSL-anslutningar som är sårbara, vilket kan göra det möjligt för en angripare att “läsa ett offers känsliga demografiska, pass, resor och medicinsk information som skickats i en tullhälsodeklaration eller att skicka skadliga instruktioner till ett offer efter att ha fyllt i ett formulär. Som ett annat exempel, eftersom appen inte validerar SSL-certifikatet för “tmail.beijing2022.cn”, kan en angripare använda samma metoder för att läsa offrens överförda röstljud eller filbilagor.”
Som svar på dessa farhågor sa Internationella olympiska kommittén att de inte hade identifierat några kritiska sårbarheter. En tjänsteman i Peking berättade för journalister under en pressträff att appen hade validerats av både Android- och Apples appbutiker. Citizen Lab-forskarna skapade ett konto i iOS-versionen av appen men kunde inte göra detsamma med Android-versionen.
Bild: iOS App StoreHur man förbättrar appsäkerheten
Carder sa att säkerhetsbristerna i MY2022-appen får honom att ifrågasätta hur mycket den olympiska kommittén investerat i säkerheten för själva applikationen.
Denna typ av säkerhetsgranskning är viktig för alla appar som samlar in personlig information, till exempel covid-19-spårning och röstningsappar.
“Många företag, även om de har fokus på appsäkerhet när de går igenom utvecklingen, ser säkerhetsteamet inte appen förrän i slutet av produktutvecklingsprocessen”, sa han. “Om du måste välja mellan att göra appen säker eller få ut den i tid, kommer företag alltid att välja att släppa en funktion i tid.”
Carder sa att han har omorganiserat mjukvaruverksamheten på sitt företag för att ta bort behovet av att välja mellan säkerhet och leverans i tid.
“Vi bygger massor av automatisering och integrationer mellan testverktyg och repositories där utvecklare släpper kod,” sa han. “När koden checkas in av en utvecklare går den direkt för att kontrolleras av säkerheten.”
Detta tillvägagångssätt minskar chanserna för saneringsarbete i slutet av utvecklingsprocessen, sa Carder.
Det finns flera steg som företag och regeringar kan ta för att sätta högre cybersäkerhetsstandarder, inklusive:
- Upprätta starkare statlig reglering
- Högre standard från kunder för att öka säkerheten i mjukvara
- En global uppförandekod som sätter konsekvenser för hacking
Carder föreslog att kunder skulle göra säkerhetsgranskningar till en del av due diligence-processen för att förhandla fram ett kontrakt för att förbättra den övergripande cybersäkerheten och minska säkerhetsrisker från tredje part.
“Om ett företag inte får den verksamhet som det är van vid att få, kommer de att lägga märke till det, som att ge upp 50 miljoner dollar i affärer på grund av att de inte löser ett problem på 2 miljoner dollar”, sa han.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Tidsatta attacker på kritisk infrastruktur
Denna ökade due diligence sträcker sig även till IoT-installationer, särskilt de som ansluter till transportsystem, offentliga anläggningar och verktyg. Under 2018 arbetade OS IT-team hela natten för att reparera skadorna från cyberattacken. Effekten nådde in i samhället, inklusive en IT-tjänsteleverantör i Frankrike och två skidorter.
Claroty CISO och produktchef Grant Geyer sa att det inte finns någon brist på kritisk infrastruktur relaterad till OS som skapar ett stort mål för dåliga skådespelare. Claroty är ett cybersäkerhetsföretag som är specialiserat på IoT-säkerhet för industri-, hälso- och företagsmiljöer.
Målet kan vara att sätta beslutsfattare i en utmanande och pressad situation, sa Geyer, vilket kan resultera i känslostyrda beslut.
Geyer sa att hotytan ökar med varje nytt infrastrukturelement som är anslutet till internet. Clarotys IoT-riskbedömning från andra halvåret 2020 identifierade ökade risker i kritiska tillverkningssystem, vatten- och avfallsreningsverk och offentliga anläggningar, såsom hotell.
“Många av dessa system har en myriad av backupsystem och motståndskraftskontroller, men ju mer cybersäkerhetsplanering tar hänsyn till cyberattacker som drabbar fysiska system, desto bättre förberedda kommer de att vara”, sa han.
Geyer sa att varje smart stad har en mycket bred attackyta, oavsett värdnationens inrikespolitik.
“Oavsett hur restriktiv policyn för internetåtkomst är, så är det ett stort attacklandskap”, sa han.
Enligt Geyer möter tillverkningsledare tre olika motvindar när det gäller att förbättra cybersäkerhet:
- Kulturellt: “I tillgångsintensiva miljöer finns det en motvilja mot förändring och ibland mot att korrigera sårbarheter.”
- Långa avskrivningstidslinjer: “Det är inte ovanligt att gå in i en fabrik och se Windows XP eller Windows 7.”
- Konkurrerande prioriteringar: “I produktionsmiljöer måste människor vara fokuserade på process och säkerhet, så cyber är en sekundär eller tertiär skyldighet för en operatör.”
Dessutom, eftersom säkerhet är högsta prioritet på sjukhus och kraftverk, görs uppdateringar och ändringar endast under specifika stilleståndsfönster, som kan komma med tre månaders intervall, sa han.
IT-teamet som hanterade infrastrukturen för OS 2018 började planera och förbereda 2015, vilket är den typ av ledtid Geyer rekommenderar för cybersäkerhetsförberedelser.
Organisationer bör vidta dessa steg för att förbereda sig för cyberattacker under stora evenemang som OS:
- Se till att kritiska tillgångar segmenteras bort från andra nätverkselement för att minska attackytan.
- Genomför bordsövningar och övningar för att förstå hur du ska svara och återhämta dig från en attack.
- Etablera kommunikationslinjer för att göra det enkelt för alla enheter som påverkas av en attack att dela information mellan länder och organisationer.
“Eftersom marken rör sig under våra fötter, ökar det behovet av situationsmedvetenhet när vi går in i den sista sträckan innan ett evenemang,” sa han.
