上个月,SpaceX成为世界上最大的活跃卫星星座运营商。截至一月底,该公司有242颗卫星在地球轨道上运行,计划在未来十年内发射42,000颗。这是其雄心勃勃的全球互联网接入项目的一部分。卫星发射竞赛正在进行中,亚马逊、英国的OneWeb和其他公司都急于在未来几个月内将数千颗卫星送入轨道。
这些新卫星有可能彻底改变日常生活的许多方面——从为全球偏远角落提供互联网接入,到监测环境和改善全球导航系统。在所有这些热闹之中,一个关键的危险被忽视了:美国和国际上缺乏商业卫星的网络安全标准和法规。
作为一名研究网络冲突的学者,我深知这加上卫星复杂的供应链和多层利益相关者,使它们极易受到网络攻击。如果黑客控制了这些卫星,后果可能是灾难性的。在最平凡的层面上,黑客可以简单地关闭卫星,拒绝访问其服务。黑客还可以干扰或欺骗卫星信号,对关键基础设施造成混乱。
一些新卫星有推进器,使其能够在太空中加速、减速和改变方向。如果黑客控制了这些可操纵的卫星,后果将是灾难性的。黑客可以改变卫星的轨道,使其与其他卫星甚至国际空间站相撞。
制造这些卫星的公司,特别是小型CubeSats,使用现成的技术以降低成本。这些组件的广泛可用性意味着黑客可以分析它们以寻找漏洞。此外,许多组件依赖于开源技术。这里的危险是黑客可以在卫星软件中插入后门和其他漏洞。
卫星的高度技术性质也意味着多个制造商参与构建各种组件。将这些卫星送入太空的过程也很复杂,涉及多家公司。即使它们进入太空后,拥有卫星的组织通常将日常管理外包给其他公司。随着每个额外供应商的增加,漏洞也随之增加,因为黑客有多个机会渗透系统。
黑客攻击这些CubeSats可能就像等待其中一颗经过头顶,然后使用专门的地面天线发送恶意命令一样简单。黑客攻击更复杂的卫星也可能并不困难。卫星通常由地面站控制。这些站运行的计算机存在软件漏洞,可以被黑客利用。如果黑客渗透这些计算机,他们可以向卫星发送恶意命令。
1998年,黑客通过入侵马里兰州戈达德太空飞行中心的计算机,控制了美德ROSAT X射线卫星。黑客随后指示卫星将其太阳能电池板直接对准太阳。这有效地烧毁了其电池,使卫星失效。这颗失效的卫星最终于2011年坠回地球。
黑客还可以劫持卫星勒索,正如1999年黑客控制英国SkyNet卫星时发生的那样。多年来,针对卫星的网络攻击威胁变得更加严重。2008年,据报道,可能是中国的黑客完全控制了两颗NASA卫星,一颗大约两分钟,另一颗大约九分钟。
2018年,另一组中国政府支持的黑客据报道发起了一项复杂的黑客行动,目标是卫星运营商和防务承包商。伊朗的黑客组织也试图进行类似的攻击。尽管美国国防部和国家安全局已经采取了一些措施来解决太空网络安全问题,但进展缓慢。目前没有针对卫星的网络安全标准,也没有监管机构来规范和确保其网络安全。
即使可以制定共同标准,也没有机制来执行它们。这意味着卫星网络安全的责任落在构建和运营它们的个别公司身上。随着SpaceX和竞争对手公司竞相成为主导的卫星运营商,它们面临着越来越大的降低成本的压力。还有加快开发和生产的压力。这使得公司在网络安全等次要领域削减成本变得诱人,而这些领域实际上是将这些卫星送入太空的关键。
即使对于将网络安全放在高优先级的公司,确保每个组件安全的成本也可能是令人望而却步的。对于低成本太空任务来说,确保网络安全的成本甚至可能超过卫星本身的成本。更复杂的是,这些卫星的复杂供应链和涉及的多方管理意味着往往不清楚谁对网络漏洞承担责任和责任。
这种缺乏清晰性助长了自满情绪,并阻碍了保护这些重要系统的努力。一些分析师已经开始主张政府在卫星和其他太空资产的网络安全标准的发展和监管中发挥强有力的作用。国会可以努力为商业太空部门制定全面的监管框架。例如,他们可以通过立法要求卫星制造商开发共同的网络安全架构。
他们还可以强制报告所有涉及卫星的网络漏洞。还需要明确哪些太空资产被视为关键,以便优先考虑网络安全工作。明确的法律指导谁对卫星的网络攻击负责,也将大大确保相关方采取必要措施保护这些系统。
鉴于国会行动的传统缓慢步伐,可能需要采取多利益相关者方法,涉及公私合作,以确保网络安全标准。无论政府和行业采取何种步骤,现在采取行动都是至关重要的。等待黑客控制商业卫星并利用它威胁地球或太空的生命、肢体和财产,将是极其错误的。