Hvem kontrollerer jeres robot?
Et hold forskere har opdaget en række sårbarheder i den meget anvendte software til robotstyring ”Robot Operating System”. Sårbarhederne vurderes af forskerne til at kunne udnyttes af cyberkriminelle.
Virksomheder verden over har længe haft fokus på cybersikkerhed. Implementeringen af foranstaltninger imod den stigende cyberkriminalitet er derfor markant øget. Ét område ser dog ud til at være lidt overset - cybersikkerhed i robotindustrien.
Sårbarheder i open-source
Der er for nyligt opdaget en række kritiske sårbarheder i softwaren Robot Operating System (”ROS”). Opdagelsen er gjort af et hold forskere, ledet af virksomheden Alias Robotics, som specialiserer sig i cybersikkerhed for robotter. ROS er en række open-source komponenter, udviklet til anvendelse i robotstyringssoftware. Og det er særligt i de komponenter, som håndterer kommunikationen mellem robotenheder – kaldet ”middleware” – der er konstateret alvorlige sårbarheder. Forskerne erfarer desuden, at flere robotter, som anvender ROS middleware, er koblet til internettet.
Dermed gives cyberkriminelle en potentiel mulighed for uautoriseret adgang og for at overtage kontrollen med robotten.
Sårbarheder i software som ROS udgør et problem, da komponenterne ofte anvendes i kommercielle robotsystemer. Faktisk kan en kommerciel robot sjældent erhverves uden komponenter fra ROS. Der findes altså en potentiel, stor mængde robotsystemer, som er omfattet af de fundne sårbarheder.
Sårbarheder i softwaresystemer er ikke et nyt fænomen. Men ifølge Alias Robotics ligger problemet i, at det ofte tager meget lang tid for robotproducenterne at udbedre sårbarhederne og for virksomhederne at implementere efterfølgende. Det understreger vigtigheden af, hvorfor processer og foranstaltninger for sikring af cybersikkerhed i robotsystemer bør tages alvorligt – i hele robotindustrien.
En øget cybertrussel?
Et målrettet cyberangreb, hvor uautoriserede tilegner sig kontrol med et eller flere robotsystemer, kan have betydelige konsekvenser. Robotter styres i fysisk bevægelse, hastighed eller funktion af et softwaresystem, hvorfor uautoriseret adgang potentielt kan anvendes destruktivt. En robot kan f.eks. udnyttes til at destabilisere og i yderste konsekvens nedlukke hele produktioner eller infrastruktur.
Nok er det en potentiel mulighed for skade - men er det en reel trussel?
Spørger man Center for cybersikkerhed (”CFCS”), vurderes truslen for destruktive cyberangreb i Danmark som lav. Destruktive cyberangreb anvendes hovedsageligt af stater i konfliktområder. Risikoen for målrettede, destruktive cyberangreb mod Danmark vurderes derfor at kunne stige med kort varsel, hvis den nuværende sikkerhedspolitiske situation eskalerer. Et statsligt destruktivt cyberangreb kan dog også ramme andre end det direkte mål. Dette var f.eks. tilfældet ved cyberangrebet ”NotPetya”, som i 2017 ramte og kostede A.P. Møller-Mærsk mange millioner af kroner.
Modsat truslen for destruktive cyberangreb, vurderer CFCS, at truslen for cyberkriminalitet i Danmark er meget høj. Cyberkriminalitet er motiveret af økonomisk gevinst og kan ramme alle typer af usikre IT-systemer - også robotsystemer. En kendt metode for cyberkriminelle er inficering af IT-systemer med ransomware, hvorved alt tilgængelig data krypteres. Dekryptering vil kræve udbetaling af en stor løsesum til bagmændene. En metode, som også kan bruges til at ramme robotter og dermed hæmme hele produktionskæder og infrastruktur.
Hvad er problemet rent juridisk?
De fleste kommercielle kontrakter indeholder bestemmelser om ansvarsbegrænsning. Spørgsmålet er blot, om disse tager højde for den konstante udvikling indenfor cyberangreb og -kriminalitet. Bestemmelser om ansvarsbegrænsning søger at fraskrive risikoen for, at aftalens parter drages til ansvar, herunder erstatningsansvar. Det at ifalde et erstatningsansvar handler om at placere en skyld. Men kan man overhovedet tale om skyld, når virksomheder udsættes for cyberangreb, f.eks. når IT-systemer rammes af ransomware? Og hvor kan skylden i så fald placeres? Er det en programmeringsfejl, begået af udvikleren? En opsætningsfejl, begået af sælger? Eller er det måske slutbrugerens egen fejl? I virkeligheden peger pilen nok i flere retninger.
Det kan blive dyrt for en aftalepart, hvis manglende opfyldelse af en kontrakt skyldes cyberangreb. Særligt taget i betragtning af at denne form for misligholdelse ikke uden videre er ansvarsfritagende som følge af en konventionel force majeure-klausul. Og det kan blive ekstra dyrt, hvis parterne ikke har sørget for at tegne en forsikring mod cyberangreb.
Det er med andre ord nu, at cybersikkerhed og processer skal prioriteres. Især hvis I vil bevare kontrollen over jeres robotter og sikre jer, hvis uheldet er ude.
Kontakt DAHL
Vi du vide mere, eller har du spørgsmål, er du velkommen til at kontakte vores advokat og partner Tim Krarup Nielsen og advokatfuldmægtig Emma Helt, der har indgående viden og erfaring med IT-ret.