Dlaczego pochodzenie hardware’u i firmware’u ma kluczowe znaczenie dla cyberbezpieczeństwa

Luki w firmware i ryzyka w łańcuchu dostaw

Firmware to oprogramowanie zapisane w pamięci urządzenia, które pozwala mu funkcjonować. Choć działa „niewidocznie” dla użytkownika, jest jedną z kluczowych warstw bezpieczeństwa. W ostatnich latach coraz częściej odnotowuje się przypadki, w których błędy w firmware’ie umożliwiały ataki o wysokim poziomie ryzyka. Przykładem może być luka w UEFI płyt głównych, która pozwalała na wykonanie kodu z pełnymi uprawnieniami systemu, co w praktyce dawało atakującemu niemal nieograniczony dostęp do komputera.

Problem pogłębia fakt, że firmware często powstaje w złożonym łańcuchu dostaw, obejmującym producentów komponentów, integratorów i dystrybutorów. Każdy z tych etapów to potencjalne źródło podatności - zarówno niezamierzonych, jak i celowo wprowadzonych (tzw. backdoory). W raportach branżowych coraz częściej podkreśla się, że nawet dobrze skonfigurowany system może zostać narażony na atak, jeśli hardware lub firmware pochodzi z niekontrolowanego źródła.

 

Przykłady ataków w różnych sektorach

Ataki na uniwersytety

Uczelnie wyższe są atrakcyjnym celem dla cyberprzestępców ze względu na przechowywane dane osobowe studentów i pracowników, wynalazki, patenty, oraz otwartą infrastrukturę IT. W lutym 2025 roku Uniwersytet Bundeswehry w Monachium padł ofiarą cyberataku, w wyniku którego wyciekły dane takie jak imiona i nazwiska, adresy e-mail, numery kont bankowych oraz numery telefonów studentów. Atak ten miał poważne konsekwencje dla funkcjonowania uczelni, w tym utrudnienia w dostępie do zasobów edukacyjnych i administracyjnych.

W Polsce, w 2023 roku, Akademia Sztuki Wojennej w Warszawie również została zaatakowana. Cyberprzestępcy wykorzystali oprogramowanie typu wiper, które usunęło dane na urządzeniach, zmuszając uczelnię do odbudowy infrastruktury IT od podstaw. W wyniku ataku wykładowcy musieli organizować sobie dostęp do internetu mobilnego.

 

Ataki na producentów żywności

Branża spożywcza staje się coraz bardziej podatna na cyberataki. Producenci żywności inwestują w nowoczesne technologie i automatyzację, co zwiększa liczbę potencjalnych wektorów ataku. W przypadku ataku ransomware na zakład produkujący podroby mięsne, cyberprzestępcy mogli zmodyfikować parametry maszyn w taki sposób, aby zwiększyć zawartość azotynu sodu (E250), substancji konserwującej. Dawka śmiertelna tej substancji wynosi 2–6 g, w zależności od masy ciała, co stanowi poważne zagrożenie dla zdrowia i życia konsumentów.

Innym przykładem jest atak na firmę Herbapol, który doprowadził do zablokowania kluczowych systemów i zaszyfrowania danych. Żądanie okupu sparaliżowało produkcję, prowadząc do ogromnych strat finansowych i reputacyjnych dla firmy.

 

Europejska produkcja jako gwarancja bezpieczeństwa

Produkty wytwarzane w Europie, w ramach firm podlegających lokalnym regulacjom prawnym, oferują większą gwarancję bezpieczeństwa. Obowiązujące standardy i przepisy wymagają transparentności oraz wprowadzenia procedur zapewniających bezpieczeństwo całego procesu produkcji. Ponadto, europejskie firmy podlegają audytom, co pozwala weryfikować integralność komponentów oraz oprogramowania, a także zmniejsza zależność od dostawców spoza regionów geopolitycznie wrażliwych.

 

Regulacje i dobre praktyki

W Europie temat bezpieczeństwa sprzętu i firmware’u zyskał na znaczeniu również w kontekście regulacji. Przykładem jest Cyber Resilience Act, który nakłada obowiązki na producentów cyfrowych urządzeń i wymaga, aby sprzęt spełniał określone standardy bezpieczeństwa przez cały cykl życia produktu. Coraz częściej podkreśla się również znaczenie audytów, mechanizmów podpisu cyfrowego firmware’u oraz bezpiecznego bootowania, które uniemożliwiają instalację nieautoryzowanego oprogramowania.

Świadomość pochodzenia hardware’u i firmware’u nie jest już kwestią drugorzędną. Staje się fundamentem cyberbezpieczeństwa współczesnych systemów. Kontrola nad łańcuchem dostaw, regularne aktualizacje, audyty i transparentność procesów produkcji są kluczowe dla minimalizowania ryzyka. Produkcja w Europie, w firmach podlegających regulacjom prawnym, daje dodatkową gwarancję bezpieczeństwa i zaufania. Dla organizacji i konsumentów oznacza to prostą zasadę: zanim wybierzemy urządzenie, warto zadać pytania o jego pochodzenie, producenta i procedury bezpieczeństwa firmware’u.

 

Czego można wymagać od dostawcy:

  • Pentesty
  • Produkcja i rozwój w Europie - warto upewnić się, że kluczowe elementy (hardware, oprogramowanie, firmware) są projektowane i rozwijane w Europie, a nie jedynie brandowane.
  • Certyfikaty pochodzenia - dostawca powinien móc udokumentować łańcuch dostaw (np. skąd pochodzi sprzęt, komponenty, software).
  • RODO - pełna zgodność z europejskimi przepisami o ochronie danych.
  • NIS2, ISO 27001– dostawca powinien stosować międzynarodowe i unijne normy bezpieczeństwa informacji.

Autor

Damian Dopiera

Damian Dopiera – absolwent Uniwersytetu Zielonogórskiego, studiów MBA na Uniwersytecie Ekonomicznym w Poznaniu oraz TKH Management Development Program na Nyenrode Business Universiteit w Holandii. Od ponad 18 lat związany z C&C Partners, gdzie odpowiada za rozwój i zarządzanie systemami zabezpieczeń. Ekspert techniczny z wieloletnim doświadczeniem w obszarze infrastruktury kolejowej, drogowej i tunelowej oraz inwestycji miejskich. Prelegent licznych konferencji branżowych.