Zabezpečení kyberneticko-fyzikálních systémů: Taxonomie hrozeb a strategie mitigace

Kapustova M

Kyber-fyzická bezpečnost UAV

Kyber-fyzická bezpečnost UAV spojuje kybernetickou ochranou digitálních komponentů (firmvér, komunikace, algoritmy) s fyzickou ochranou (letecká bezpečnost, integrita aktuátorů, navigace a energetického systému). Integrovaný rámec hrozeb a mitigací umožňuje systematické krytí celého životního cyklu – od návrhu a výroby, přes provoz a údržbu, až po řešení incidentů a forenzní analýzu – a vytváří odolné bezpilotní systémy schopné bezpečného provozu i v nepříznivých či protivníkem ovlivněných prostředích.

Referenční architektura UAV a útokové plochy

  • Letecká část: řídicí jednotka letu (FCU), senzory (IMU, GNSS, barometr, lidar/radar, kamery), aktuátory (ESC/motory, serva), energetický systém (baterie, BMS), pomocné počítače (AI akcelerátory).
  • Pozemní část: GCS (ground control station), datové uzly, telemetrické brány, antény, napájení.
  • Komunikace: C2 linky (RF, LTE/5G, satelit), payload linky (video), integrace U-space/UTM, GNSS přijímač.
  • Software a datové toky: OS/RTOS, middleware (uORB/MAVLink/ROS 2), řízení, navigace a odhad, plánování, ML modely, záznamy (logy) a konfigurace.

Hlavní útokové plochy: rádiová rozhraní (rušení/jamming, spoofing), dodavatelský řetězec (škodlivý firmvér/SBOM mezery), fyzický přístup (debug porty, odpojení senzorů), cloud/edge (API, klíče), autonomní funkce (percepce a ML), provozní procesy (školení, SOP, „insider“ rizika).

Rámce modelování hrozeb

  • STRIDE pro softwarové komponenty (spoofing identity, tampering, repudiation, information disclosure, DoS, elevation of privilege).
  • MITRE ATT&CK pro průmyslové/kyber-fyzikální systémy s mapováním na UAS (průnik přes RF, zneužití management rámců, post-exploitation přes logy a konfiguraci).
  • STPA-Sec a FMEA/FTA pro vazbu kybernetických událostí na fyzické nebezpečné stavy.
  • Risk-based vazba na SORA/SAIL: třídy rizik (GRC/ARC) doplněné o kybernetické hrozby a jejich pravděpodobnost/účinnost mitigací.

Typologie hrozeb a scénáře

  • PNT (Positioning, Navigation, Timing): GNSS jamming/spoofing, meaconing, manipulace NTP, drift hodin.
  • RF a C2: rušení spojení, session hijack, downgrade útoky na šifrování, falšované MAVLink příkazy.
  • Dodavatelský řetězec: implantát ve firmvéru/driveru, knihovny s CVE, podvržené senzorové moduly.
  • Percepce/ML: adversariální vzory, backdoor v modelech, otrava dat, OOD vstupy.
  • OS/RTOS: eskalace práv, nekontrolované pointery v C, chybná izolace vláken, zneužití DMA.
  • Energie a pohon: sabotáž BMS, manipulace s ESC (přetížení), tepelná degradace.
  • Insider a sociální inženýrství: sdílení klíčů, slabé SOP, chybějící princip „four eyes“.
  • Kontra-UAS prostředí: legální rušení, geo-denial, kinetické a síťové zásahy.

Integrovaný rámec mitigací (vrstvená obrana)

  1. Základ: bezpečná platforma
    • Secure/Measured Boot (TPM/TrustZone, kryptograficky podepsaný firmvér), rollback protection, oddělené partice „golden image“.
    • Separátní architektura (mikrojádro/seL4/PikeOS, kontejment payloadu), least privilege, paměťová ochrana (MPU/MMU).
    • SBOM a vulnerability management, SLSA/SSDF v CI/CD, reprodukovatelné buildy, podpis artefaktů.
  2. Komunikace a identita
    • Vzájemná autentizace (mTLS/DTLS), session keys s PFS, rotace klíčů, tolerance ztrátových kanálů.
    • Kryptografická obratnost (algoritmická agility) a hybridní (klasické+post-kvantové) certifikáty pro budoucí odolnost.
    • Remote ID/elektronická identifikace s ochranou soukromí (omezený přístup, pseudonymizace).
  3. PNT odolnost
    • Multi-konstelace GNSS s RAIM/ARAIM, monitorování C/N0 a Dopplerových reziduí, spoofing detekce (TDOA/angle-of-arrival, časové sanity checky).
    • GNSS-odlehčené režimy: vizuální/LOAM odometrie, baro-inerciální integrace, mapové prior, integrity monitor a navigation fallback.
  4. Řídicí smyčky a Simplex Runtime Assurance
    • Bezpečnostní kontrakty (STL/LTL) nad signály, command governor (projekce příkazů na bezpečnou množinu), monitor anomálií (AE/GNN) s deterministickými reakcemi.
    • Fail-safe vs. fail-operational: pro kritické mise preferovat „limp mode“ s omezenou funkčností před tvrdým odpojením.
  5. Provoz, lidé, procesy
    • Zero-trust přístup k GCS/cloudu, správa tajemství (HSM), multifaktorová autentizace, just culture hlášení incidentů.
    • SOP, školení, „two-person rule“ pro změny konfigurace, pre-flight kryptografická kontrola integrity.

Normativní a certifikační souvislosti

  • Letová způsobilost kyberbezpečnosti: zásady DO-326A/ED-202A (Airworthiness Security Process), DO-355A (Information Security Guidance), DO-356A (Airborne System Security).
  • Funkční bezpečnost: DO-178C/DO-254, vazba na kybernetické hrozby přes SSA/FTA a bezpečnostní požadavky.
  • Informační bezpečnost: ISO/IEC 27001/27002, ISO/IEC 62443 pro IACS, NIST 800-53 a 800-82 pro OT.
  • UAS normy: Remote ID/identifikace, standardy pro U-space/UTM a bezpečné rozhraní.

Ochrana C2 a datových toků

  • Konstrukce link budget s rezervou proti jammingu, frequency hopping, listen-before-talk, adaptivní výkon a směrové antény.
  • Šifrovaný MAVLink/ROS 2 (DDS Security), topic-level ACL, izolace telemetrie vs. payload streamů.
  • QoS profily s deterministickou latencí, watchdog na „stuck“ topiky a zpětné ošetření přetížení front.

Percepce, ML a AI bezpečnost

  • Dodavatelská čistota modelů (podpis, původ), „model cards“ a evaluační protokoly proti OOD/adversariálním vstupům.
  • Ensemble metody, randomized smoothing, input sanitization (fyziologické filtry) a sentinelové klasifikátory OOD.
  • Simplex: AI „advanced“ kontrolér pod dohledem formálně ověřeného bezpečného kontroléru s tvrdými limity příkazů.

Energie, pohon a environmentální odolnost

  • Oddělené napájecí domény pro kritické části, brown-out detektory, load shedding strategie.
  • BMS s teplotními a proudovými profily, detekce thermal runaway, redundance kritických pohonů.
  • Elektromagnetická kompatibilita (EMC) a stínění pro citlivé senzory a GNSS front-end.

Fyzická bezpečnost a anti-tamper

  • Zapečetění debug portů (JTAG/SWD), epoxidování kritických cest, detekce otevření krytu, zeroize klíčů při neoprávněném přístupu.
  • Mechanické pojistky pro „safe landing“ (padák, odpojení vrtulí při kolizi), RFID/UEID inventarizace.

Forenzní připravenost a incident response

  • Neměnné logy s podpisem a časovou značkou, řetězec důkazů, privacy-by-design při správě záznamů.
  • Runbooky: triáž (kyber vs. fyzická porucha), obnova klíčů, containment, náhrada komponent a post-incident SORA přehodnocení.

Integrace se SORA a SMS

Kyber hrozby musí být mapovány do ConOps a SORA: snížený ARC a GRC mohou být podmíněny implementací kryptografie, DAA a odolného PNT. V rámci Safety Management System (SMS) jsou kyber incidenty evidovány stejně jako bezpečnostní události, s periodickým přehodnocením mitigací a školení posádek.

Metodiky hodnocení a metriky odolnosti

  • Resilience skóre: kombinace pravděpodobnosti detekce, mean time to detect (MTTD), mean time to respond (MTTR) a graceful degradation indexu.
  • PNT integrita: alarmové prahy a protection levels, čas v GNSS-denied stavu.
  • Komunikační odolnost: Packet Error Rate vs. EIRP rušiče, propustnost při změnách kanálu, latence při rotaci klíčů.
  • Softwarová hygiena: pokrytí SBOM, doba uzavření CVE, úroveň SLSA, procento komponent s podpisem.

Roadmapa implementace (praktický návod)

  1. Vyhodnocení rizik: STPA-Sec + STRIDE na architektuře UAV; vytvoření mapy rizik spojených s ConOps.
  2. Bezpečnostní požadavky: kontrakty pro PNT, C2, řízení a energii; definice reakcí (RTA/Simplex).
  3. Architektura: výběr RTOS/mikrojádra, HSM/TPM, oddělení domén, bezpečné bootování.
  4. Vývoj a CI/CD: statická analýza, formální specifikace kritických modulů, podpisy a SBOM.
  5. Testování: HIL/SITL scénáře kyber útoků (spoofing, jamming, packet loss, modelové backdoory), měření metrik.
  6. Provoz: SOP, školení, správa klíčů, monitorování telemetrie a anomálií.
  7. Audit a zlepšování: periodická „red team“ cvičení, aktualizace politik, recertifikace.

Interakce s proti-dronovými (C-UAS) systémy

  • Bezpečné „geofencing compliance“ a dynamic airspace restrictions – přejímání omezení s autentizací a integritou.
  • Reakce na legální rušení: prediktabilní degradace, bezpečný návrat/přistání, no-flyaway záruky.
  • Koexistence: minimalizace falešných poplachů přes standardizované identifikační a telemetrické rámce.

Případová studie (schematicky)

Městská logistická mise BVLOS: Během letu v U-space koridoru dojde k GNSS spoofingu s malým driftem. Integrity monitor detekuje nekonzistenci (GNSS vs. vizuální odometrie). Simplex přechází do omezeného „limp mode“, snižuje rychlost a aktivuje navigation fallback. Komunikace mTLS zůstává stabilní; GCS přijímá alert s podepsanými logy. Po přistání incident response provede forenzní extrakci, rotaci klíčů a aktualizaci modelu detekce OOD. Metriky: MTTD 3,2 s, MTTR 28 s, bez porušení geo-koridoru.

Check-list pro bezpečný návrh a provoz

  • Secure/Measured boot, podpisy firmvéru, rollback blokáda.
  • Oddělení bezpečnostního jádra a payloadu, least privilege, paměťová ochrana.
  • mTLS/DTLS pro C2 a telemetrii, rotace klíčů a kryptografická agilita.
  • RAIM/ARAIM, vizuální/inerciální odometrie, PNT fallback a integrity monitor.
  • Simplex RTA, command governor, prahované zásahy a nouzové režimy.
  • SBOM, SLSA, patch management, statická/dynamická analýza v CI.
  • SOP, školení, dvojitý dohled nad změnami, neměnné logy a runbooky incidentů.

Limity, kompromisy a otevřené výzvy

  • Výkon vs. bezpečnost: šifrování a monitorování zvyšují latence a spotřebu; nutná optimalizace (HW akcelerace, kvantizace).
  • Komplexita: více vrstev může zvýšit chyby konfigurace; důraz na jednoduchost a automatizované testy.
  • ML nejistota: formální garance pro percepci jsou omezené; proto kontrakty a Simplex.
  • Škálování flotil: správa klíčů, OTA aktualizace a servisní logistika pro stovky až tisíce UAV.

Súvisiace články

Význam, postavení a metody řízení kvality

Řízení kvality je klíčovým prvkem konkurenceschopnosti podniků, zahrnuje komplexní systém od návrhu po servis a využívá statistické i technologické metody kontroly. Optimalizace nákladů na kvalitu podporuje ziskovost a dlouhodobý úspěch.

Hodnocení prodejců

Hodnocení prodejců zajišťuje klíčové informace o trzích, zákaznících a prodejních výsledcích, zahrnuje kvantitativní i kvalitativní metody a slouží ke zlepšení výkonnosti prodejní síly prostřednictvím stanovení jasných standardů a motivace.