Zabezpečenie kyberneticko-fyzického rámca (CPS): Taxonómia hrozieb a mitigačné stratégie

Kyber-fyzická bezpečnosť UAV

Kyber-fyzická bezpečnosť UAV spája kybernetickú ochranu digitálnych komponentov (firmvér, komunikácia, algoritmy) s fyzickou bezpečnosťou (letecká bezpečnosť, integrita aktuátorov, navigácie a energie). Integrovaný rámec hrozieb a mitigácií umožňuje systematicky pokryť celý životný cyklus – od návrhu a výroby, cez prevádzku a údržbu, až po incident response a forenznú analýzu – a vytvoriť odolné bezpilotné systémy schopné bezpečnej prevádzky aj v nepriaznivých alebo protivníkom ovplyvnených prostrediach.

Referenčná architektúra UAV a útokové plochy

• Lietadlová časť: letový kontrolér (FCU), senzory (IMU, GNSS, baro, lidar/radar, kamery), aktuátory (ESC/motory, servá), energetický systém (batérie, BMS), pomocné počítače (AI akcelerátory).
• Pozemná časť: GCS (ground control station), dátové uzly, telemetrické brány, antény, napájanie.
• Komunikácia: C2 linky (RF, LTE/5G, satelit), payload linky (video), U-space/UTM integrácia, GNSS prijímač.
• Softvér a dataflow: OS/RTOS, middleware (uORB/MAVLink/ROS 2), riadenie, navigácia a odhad, plánovanie, ML modely, záznamy (logy) a konfigurácie.

Hlavné útokové plochy: rádiové rozhrania (rušenie/jamming, spoofing), dodávateľský reťazec (škodlivý firmvér/SBOM medzery), fyzický prístup (debug porty, odpojenie senzorov), cloud/edge (API, kľúče), autonómne funkcie (percepcie a ML), prevádzkové procesy (výcvik, SOP, „insider“ riziká).

Rámce modelovania hrozieb

• STRIDE pre softvérové komponenty (spoofing identity, tampering, repudiation, information disclosure, DoS, elevation of privilege).
• MITRE ATT&CK pre priemysel/kyber-fyzické systémy s mapovaním na UAS (prienik cez RF, zneužitie management rámcov, post-exploitation cez logy a konfiguráciu).
• STPA-Sec a FMEA/FTA pre väzbu kybernetických udalostí na fyzické nebezpečné stavy.
• Risk-based väzba na SORA/SAIL: triedy rizík (GRC/ARC) doplnené o kybernetické hrozby a ich pravdepodobnosť/účinnosť mitigácií.

Typológia hrozieb a scenáre

• PNT (Positioning, Navigation, Timing): GNSS jamming/spoofing, meaconing, NTP manipulácia, drift hodín.
• RF a C2: rušenie spojenia, session hijack, downgrade útoky na šifrovanie, falšované MAVLink príkazy.
• Supply chain: implantát vo firmvéri/driveri, knižnice s CVE, podvrhnuté senzorové moduly.
• Percepcia/ML: adversariálne vzory, backdoor v modeloch, otrava dát, OOD vstupy.
• OS/RTOS: eskalácia práv, nekontrolované pointery v C, chybná izolácia vláken, zneužitie DMA.
• Energie a pohon: sabotáž BMS, manipulácia s ESC (overcurrent), tepelná degradácia.
• Insider a sociálne inžinierstvo: zdieľanie kľúčov, slabé SOP, chýbajúci princíp „four eyes“.
• Kontra-UAS prostredie: legálne rušenie, geo-denial, kinetické a sieťové zásahy.

Integrovaný rámec mitigácií (vrstvená obrana)

1. Základ: bezpečná platforma
   • Secure/Measured Boot (TPM/TrustZone, kryptograficky podpísaný firmvér), rollback protection, oddelené partície „golden image“.
   • Separačná architektúra (mikrojadro/seL4/PikeOS, kontajnment payloadu), least privilege, pamäťová ochrana (MPU/MMU).
   • SBOM a vulnerability management, SLSA/SSDF v CI/CD, reproducibilné buildy, podpis artefaktov.
2. Komunikácia a identita
   • Vzájomná autentizácia (mTLS/DTLS), session keys s PFS, rotácia kľúčov, tolerancia stratových kanálov.
   • Kryptografická obratnosť (algoritmická agility) a hybridné (klasické+post-kvantové) certifikáty pre budúcu odolnosť.
   • Remote ID/elektronická identifikácia s ochranou súkromia (obmedzený prístup, pseudonymizácia).
3. PNT odolnosť
   • Multi-konštelačné GNSS s RAIM/ARAIM, monitorovanie C/N0 a dopplerových rezíduí, spoofing detekcia (TDOA/angle-of-arrival, timing sanity checks).
   • GNSS-odľahčené režimy: vizuálna/LOAM odometria, baro-inerciálna integrácia, mapové priors, integrity monitor a navigation fallback.
4. Riadiace slučky a Simplex Runtime Assurance
   • Bezpečnostné kontrakty (STL/LTL) nad signálmi, command governor (projekcia príkazov na bezpečnú množinu), monitor anomálií (AE/GNN) s deterministickými reakciami.
   • Fail-safe vs. fail-operational: pre kritické misie preferovať „limp mode“ s obmedzenou funkčnosťou pred tvrdým odpojením.
5. Prevádzka, ľudia, procesy
   • Zero-trust prístup k GCS/cloudu, správa tajomstiev (HSM), viacfaktorová autentizácia, just culture hlásenie incidentov.
   • SOP, tréning, „two-person rule“ pre zmeny konfigurácie, pre-flight kryptografická kontrola integrít.

Normatívne a certifikačné súvislosti

• Airworthiness kyberbezpečnosti: zásady DO-326A/ED-202A (Airworthiness Security Process), DO-355A (Information Security Guidance), DO-356A (Airborne System Security).
• Funkčná bezpečnosť: DO-178C/DO-254, väzba na kyber hrozby cez SSA/FTA a bezpečnostné požiadavky.
• Informačná bezpečnosť: ISO/IEC 27001/27002, ISO/IEC 62443 pre IACS, NIST 800-53 a 800-82 pre OT.
• UAS normy: Remote ID/identifikácia, štandardy pre U-space/UTM a bezpečné rozhrania.

Ochrana C2 a dátových tokov

• Konštrukcia link budget s rezervou proti jammingu, frequency hopping, listen-before-talk, adaptívny výkon a smerové antény.
• Šifrovaný MAVLink/ROS 2 (DDS Security), topic-level ACL, izolácia telemetrie vs. payload streamov.
• QoS profily s deterministickou latenciou, watchdog na „stuck“ topiky a spätné ošetrenie preplnenia front.

Percepcia, ML a AI bezpečnosť

• Dodávateľská čistota modelov (podpis, pôvod), „model cards“ a evaluačné protokoly proti OOD/adversariálnym vstupom.
• Ensembles, randomized smoothing, input sanitization (fyziologické filtre) a sentinelové klasifikátory OOD.
• Simplex: AI „advanced“ kontrolér pod dohľadom formálne overeného bezpečného kontroléra s tvrdými limitmi príkazov.

Energia, pohon a environmentálna odolnosť

• Oddelené napájacie domény pre kritické časti, brown-out detektory, load shedding stratégie.
• BMS s teplotnými a prúdovými profilmi, detekcia thermal runaway, redundancia kritických pohonov.
• Elektromagnetická kompatibilita (EMC) a tienenie pre citlivé senzory a GNSS front-end.

Fyzická bezpečnosť a anti-tamper

• Zapuzdrenie debug portov (JTAG/SWD), epoxidovanie kritických ciest, detekcia otvorenia krytu, zeroize kľúčov pri neoprávnenom prístupe.
• Mechanické poistky pre „safe landing“ (padák, odpojenie vrtúľ pri zrážke), RFID/UEID inventarizácia.

Forenzná pripravenosť a incident response

• Imutabilné logy s podpisom a časom, reťazec dôkazov, privacy-by-design pri správe záznamov.
• Runbooky: triáž (kyber vs. fyzická porucha), obnova kľúčov, containment, nahradenie komponentov a post-incident SORA re-assessment.

Integrácia so SORA a SMS

Kyber hrozby musia byť mapované do ConOps a SORA: znížený ARC a GRC môžu byť podmienené implementáciou kryptografie, DAA a odolného PNT. V rámci Safety Management System (SMS) sú kyber incidenty evidované rovnako ako bezpečnostné udalosti, s periodickým prehodnotením mitigácií a výcviku posádok.

Metodiky hodnotenia a metriky odolnosti

• Resilience skóre: kombinácia pravdepodobnosti detekcie, mean time to detect (MTTD), mean time to respond (MTTR) a graceful degradation indexu.
• PNT integrity: alarmové prahy a protection levels, čas v GNSS-denied stave.
• Komunikačná odolnosť: Packet Error Rate vs. EIRP rušiča, priepustnosť pri zmenách kanála, latencia pri rotácii kľúčov.
• Softvérová hygiena: pokrytie SBOM, čas uzatvorenia CVE, stupeň SLSA, percento komponentov s podpisom.

Roadmapa implementácie (praktický návod)

1. Vyhodnotenie rizík: STPA-Sec + STRIDE na architektúre UAV; vytvorenie mapy rizík zviazaných s ConOps.
2. Bezpečnostné požiadavky: kontrakty pre PNT, C2, riadenie a energie; definícia reakcií (RTA/Simplex).
3. Architektúra: výber RTOS/mikrojadra, HSM/TPM, oddelenie domén, bezpečné bootovanie.
4. Vývoj a CI/CD: statická analýza, formálne špecifikácie kritických modulov, podpisy a SBOM.
5. Testovanie: HIL/SITL scenáre kyber útokov (spoofing, jamming, packet loss, modelové backdoory), meranie metrik.
6. Prevádzka: SOP, tréning, kľúčový manažment, monitorovanie telemetrie a anomálií.
7. Audit a zlepšovanie: periodické „red team“ cvičenia, aktualizácie politik, re-certifikácia.

Interakcia s proti-dronovými (C-UAS) systémami

• Bezpečné „geofencing compliance“ a dynamic airspace restrictions – preberanie obmedzení s autentizáciou a integritou.
• Reakcie na legálne rušenie: predvídateľná degradácia, bezpečný návrat/pristátie, no-flyaway garancie.
• Koexistencia: minimalizácia falošných poplachov cez štandardizované identifikačné a telemetrické rámce.

Prípadová štúdia (schematicky)

Mestská logistická misia BVLOS: Počas letu v U-space koridore sa prejaví GNSS spoofing s malým driftom. Integrity monitor spustí detekciu nekonzistencie (GNSS vs. vizuálna odometria). Simplex prechádza do obmedzeného „limp mode“, znižuje rýchlosť a aktivuje navigation fallback. Komunikácia mTLS ostáva stabilná; GCS prijme alert s podpísanými logmi. Po pristátí incident response vykoná forenznú extrakciu, rotáciu kľúčov a update modelu detekcie OOD. Metriky: MTTD 3,2 s, MTTR 28 s, žiadne porušenie geo-koridoru.

Check-list pre bezpečný návrh a prevádzku

• Secure/Measured boot, podpisy firmvéru, rollback blokáda.
• Oddelenie bezpečnostného jadra a payloadu, least privilege, pamäťová ochrana.
• mTLS/DTLS pre C2 a telemetriu, rotácia kľúčov a kryptografická agilita.
• RAIM/ARAIM, vizuálna/inerciálna odometria, PNT fallback a integrity monitor.
• Simplex RTA, command governor, prahované zásahy a núdzové režimy.
• SBOM, SLSA, patch management, statická/dynamická analýza v CI.
• SOP, školenia, dvojitý dohľad nad zmenami, imutabilné logy a runbooky incidentov.

Limity, kompromisy a otvorené výzvy

• Výkon vs. bezpečnosť: šifrovanie a monitorovanie zvyšujú latencie a spotrebu; nutná optimalizácia (HW akcelerácia, kvantizácia).
• Komplexita: viac vrstiev môže zvýšiť zlyhania konfigurácie; dôraz na jednoduchosť a automatizované testy.
• ML neistota: úplne formálne garancie pre percepciu sú limitované; preto kontrakty a Simplex.
• Škálovanie flotíl: správa kľúčov, OTA aktualizácie a logistika servisov pri stovkách až tisícoch UAV.

Integrovaný rámec kyber-fyzickej bezpečnosti pre UAV spája vrstvenú technickú ochranu, formálne a procesné dôkazy, prevádzkové disciplíny a odolnosť navigácie. Kľúčom je defense-in-depth s jasne definovanými reakciami a merateľnými metrikami. Takýto prístup nielen znižuje pravdepodobnosť incidentov a ich dopad, ale aj zrýchľuje certifikáciu a zvyšuje dôveru regulátorov, zákazníkov a verejnosti.