Az amerikai kibervédelmi kormányügynökség (CISA) és az FBI közös figyelmeztetést adott ki a kritikus infrastruktúrák tulajdonosainak és üzemeltetőinek a Kínában gyártott pilóta nélküli légi járműveket (UAS) illetően. Ezek a szerdán megjelent közlemény szerint nem csak fizikailag alkalmasak az információ begyűjtésére az érintett területeken, de a kínai törvények "kiterjesztett jogi alapot" biztosítanak a hatóságoknak a hazai cégeknél kezelt adatok ellenőrzésére. A kínai drónok használatakor tehát számolni kell azzal a kockázattal, hogy rajtuk keresztül a kínai hatóságok is hozzáférhetnek az érzékeny adatokhoz – olvasható a CISA oldalán.

A dokumentumban egyetlen márkát sem neveznek meg, de az biztos, hogy a DJI például már 2020-ban felkerült az Egyesült Államok exportellenőrzési listájára, 2021-ben pedig az amerikai befektetésektől is eltiltották, bár abban az esetben nem az amerikai nemzetbiztonsági érdekekre, hanem a muszlim ujgur kisebbség elnyomásában való közreműködésre hivatkozva. Bár a biztonsági auditok során a kínai gyártók következetesen állítják, hogy technológiájuk nem hordoz biztonsági kockázatot az adatok Kínába való visszaküldésekor sem, az ottani szabályozás kétségtelenül hozzáférést ad Pekingnek a kínai vállalatok által világszerte gyűjtött adatokhoz.

A drón is egy IoT-eszköz

Az aggodalmak egyébként nem új keletűek: már 2016-ban születtek jelentések hackeléshez használt drónokról, az amerikai belbiztonsági minisztérium pedig 2019 májusában figyelmeztetett először a kínai gyártmányú drónok ritikóira. Az Egyesült Államok kormánya nem sokkal később, 2020 januárjában le is állította mintegy 800 drónból álló saját flottáját és felülvizsgálta beszerzési szabályait. Az amerikai hadseregben ugyanakkor már 2017-ben tiltólistára tették a DJI eszközeit. Mindezt összefüggésbe helyezi, hogy a 2023-as becslések szerint a kínai drónok uralták a hobbidrónok amerikai piacának több mint 90, az ipari drónok piacának pedig 70 százalékát.

A DJI természetesen olyan modelleket is árul, amelyek elvileg egyáltalán nem forgalmaznak adatokat a gyártó felé, de a CISA és az FBI rámutat, hogy a drónok ettől még képesek az adatok fogadására és továbbítására. A kockázatok ráadásul túlmutatnak a közvetlen adatgyűjtésen, gondolva akár a firmware-frissítésekre, a dokkolókra és más csatlakoztatott perifériákra. A közleményhez kapcsolódó útmutatásban ajánlásokat is megfogalmaznak, amelyek lényegében arról szólnak, hogy a drónokat IoT-eszközként érdemes kezelni, például önálló terminálokat használva a firmware-javítások és -frissítések letöltéséhez és biztonsági ellenőrzéséhez.