דעה: הרגולציה הבינ״ל תזניק את האוטו-טק הישראלי
המכונית הפרטית שלנו עלולה להוות יעד לתקיפות סייבר, ממש כמו מחשב. סלבה ברונפמן מסביר על ההזדמנויות שתיצור רגולציה בתחום הגנת הסייבר ברכבים
ישראל דיפנס
| 20/10/2020
סלבה ברונפמן. צילום: ירין טרנוס
דו"ח של Palo Alto Networks שפורסם בחודש האחרון מתמקד ביעד מפתיע לתקיפות סייבר. על פי הדו"ח, צעצועים אלקטרוניים, מכונות קפה, ואפילו מכוניות – כל אלה יכולים לשמש האקרים כשער לפריצה, השתלטות וגניבת מידע אישי. על פניו, נשמע מוזר שניתן לפרוץ למכשירים גנריים שונים באותה מידה כמו למכוניות. מכוניות לא נתפסות אצלנו כמחוברות לאינטרנט, ובנוסף אמורות להיות הקופסא הממונעת ששומרת על החיים שלנו בכביש. היינו מצפים שהן יהיו מוגנות יותר, כי הרי יש להן פוטנציאל גבוה לסכן חיי אדם, גם ללא הטרדה שמתווספת עם איום של התקפות סייבר.
קחו רברס ל-2015. חברת ג'יפ מחליטה לאפשר לבעלי הצ'ירוקי להתחבר למערכת המולטימדיה ולמעשה פותחת את הרכב לאינטרנט. שני מומחי IT, צ׳ארלי מילר וכריס וואלאסק, מחליטים לנסות לחדור למערכת השליטה של הרכב דרך אותו רכיב המולטימדיה ומצליחים להשתלט על המגבים, מערכת מיזוג האוויר, המעצורים ומערכת ההאצה של הרכב. ואז, בשליטה מרחוק, הם מצליחים לעצור את הרכב תוך כדי נסיעה על הכביש המהיר (אל דאגה, נהג הרכב נשכר מראש והיה מודע לניסוי שהתבצע ברכב בו נהג).
התרגיל הזה העלה את נושא אבטחת הסייבר ברכבים לשיח הציבורי והדגים עד כמה הוא רלוונטי ומסוכן לכולנו. צריך להבין שהמכוניות המודרניות הן כבר לא מכשירים מכניים בעיקרם, בהם כבל מתכת שולט בהילוך, מגביר את התאוצה ומושך במעצור. רכבים היום מכילים כ-150 מערכות אלקטרוניות המתקשרות ביניהן ברשת פנימית - סוג של אינטרנט בתוך הרכב הפרטי שלכם. לחצתם על דוושת ההאצה? פקודת מחשב נשלחת ברשת ומאיצה את הרכב. הפעלתם מגבים? הודעה דיגיטלית נשלחת במערכת ומפעילה אותם. ועל זה מתווספים הטלפונים החכמים ומערכות הבידור המחוברות לרשת האינטרנט, שבעצם מעניקות לעולם כולו גישה לרכב.
אבל בעוד שהמכוניות עצמן התקדמו כל כך מבחינה טכנולוגית, ובחלקן אפילו ניתן לעדכן רכיבי תוכנה מרחוק באמצעות רשת הסלולר, בדומה לטלפון החכם, נהלי אבטחת המידע שלהן מדשדשים מאחור. בנוסף, לחברות הרכב אין גישה למכלול שורות התוכנה שרצות ברכיבים שהן שמות במכונית, כי אלו מפותחים על יד ספקים חיצוניים, ועל כן הן לא יכולות לדעת האם יש באותם רכיבים איזשהן חולשות אבטחה, דלתות אחוריות, או כשלים קריטיים אחרים.
מדובר בפער אדיר בין תפיסת הבטיחות של חברות הרכב לבין אבטחת הסייבר שלהן. בתעשיית הרכב, כמעט כל רכיב מכני נתון לתקינה בינלאומית מחמירה ונבחן בצורה מקיפה, על מנת למנוע טעויות וכשלי בטיחות לאורך כל חיי הרכב, מתוך ההבנה שחגורה תקולה עלולה לעלות בחיי אדם, וכבל שנקרע עלול לגרום לתאונה. והנה, בכל אלה שולטת תוכנה, אך הגנת הסייבר שלה עדיין לא נתונה לרגולציה משום סוג שהוא.
המציאות הזו עומדת להשתנות. סדרה של תקנים וסטנדרטים בינלאומיים נכתבים בימים אלה בתחום. תקן ה-ISO להגנת סייבר לרכבים הולך ומתהווה ו- 53 מדינות, בהן דרום קוריאה, יפן ומדינות האיחוד האירופי, יחייבו את חברות הרכב המשווקות בהן לעמוד בתקן הגנת סייבר.
רגולציה נשמעת כמו דבר מאיים, אבל למעשה היא יוצרת הזדמנות. דווקא על רקע המשבר העולמי שמשפיע גם על תעשיית ההיי טק, נוצרת כעת דרישה בלתי רגילה לשירותי ולטכנולוגיית סייבר, חלקם הגדול מיוצר כאן בישראל. הטכנולוגיה הישראלית מככבת ברכיבי הרכבים המובילים בעולם, והרגולציה הזו עשויה לייצר ביקוש עצום ליכולות הטכניות וליכולות הסייבר הישראליות. גופים ישראלים וחברות מקומיות לוקחות חלק במאמץ עיצוב התקינה העולמית, על מנת להפוך את החברות הישראליות לא רק לפורצות דרך, אלא גם לכאלה שיוכלו להוביל את השוק בעשורים הבאים.
*מאת סלבה ברונפמן, מנכ"ל חברת סייבלום, המפתחת פלטפורמה להערכת סיכוני סייבר לרכבים. ברונפמן מכהן כנציג הישראלי בוועדת התקינה הבין-לאומית להגנת סייבר ברכבים.
המכונית הפרטית שלנו עלולה להוות יעד לתקיפות סייבר, ממש כמו מחשב. סלבה ברונפמן מסביר על ההזדמנויות שתיצור רגולציה בתחום הגנת הסייבר ברכבים
סלבה ברונפמן. צילום: ירין טרנוס
דו"ח של Palo Alto Networks שפורסם בחודש האחרון מתמקד ביעד מפתיע לתקיפות סייבר. על פי הדו"ח, צעצועים אלקטרוניים, מכונות קפה, ואפילו מכוניות – כל אלה יכולים לשמש האקרים כשער לפריצה, השתלטות וגניבת מידע אישי. על פניו, נשמע מוזר שניתן לפרוץ למכשירים גנריים שונים באותה מידה כמו למכוניות. מכוניות לא נתפסות אצלנו כמחוברות לאינטרנט, ובנוסף אמורות להיות הקופסא הממונעת ששומרת על החיים שלנו בכביש. היינו מצפים שהן יהיו מוגנות יותר, כי הרי יש להן פוטנציאל גבוה לסכן חיי אדם, גם ללא הטרדה שמתווספת עם איום של התקפות סייבר.
קחו רברס ל-2015. חברת ג'יפ מחליטה לאפשר לבעלי הצ'ירוקי להתחבר למערכת המולטימדיה ולמעשה פותחת את הרכב לאינטרנט. שני מומחי IT, צ׳ארלי מילר וכריס וואלאסק, מחליטים לנסות לחדור למערכת השליטה של הרכב דרך אותו רכיב המולטימדיה ומצליחים להשתלט על המגבים, מערכת מיזוג האוויר, המעצורים ומערכת ההאצה של הרכב. ואז, בשליטה מרחוק, הם מצליחים לעצור את הרכב תוך כדי נסיעה על הכביש המהיר (אל דאגה, נהג הרכב נשכר מראש והיה מודע לניסוי שהתבצע ברכב בו נהג).
התרגיל הזה העלה את נושא אבטחת הסייבר ברכבים לשיח הציבורי והדגים עד כמה הוא רלוונטי ומסוכן לכולנו. צריך להבין שהמכוניות המודרניות הן כבר לא מכשירים מכניים בעיקרם, בהם כבל מתכת שולט בהילוך, מגביר את התאוצה ומושך במעצור. רכבים היום מכילים כ-150 מערכות אלקטרוניות המתקשרות ביניהן ברשת פנימית - סוג של אינטרנט בתוך הרכב הפרטי שלכם. לחצתם על דוושת ההאצה? פקודת מחשב נשלחת ברשת ומאיצה את הרכב. הפעלתם מגבים? הודעה דיגיטלית נשלחת במערכת ומפעילה אותם. ועל זה מתווספים הטלפונים החכמים ומערכות הבידור המחוברות לרשת האינטרנט, שבעצם מעניקות לעולם כולו גישה לרכב.
אבל בעוד שהמכוניות עצמן התקדמו כל כך מבחינה טכנולוגית, ובחלקן אפילו ניתן לעדכן רכיבי תוכנה מרחוק באמצעות רשת הסלולר, בדומה לטלפון החכם, נהלי אבטחת המידע שלהן מדשדשים מאחור. בנוסף, לחברות הרכב אין גישה למכלול שורות התוכנה שרצות ברכיבים שהן שמות במכונית, כי אלו מפותחים על יד ספקים חיצוניים, ועל כן הן לא יכולות לדעת האם יש באותם רכיבים איזשהן חולשות אבטחה, דלתות אחוריות, או כשלים קריטיים אחרים.
מדובר בפער אדיר בין תפיסת הבטיחות של חברות הרכב לבין אבטחת הסייבר שלהן. בתעשיית הרכב, כמעט כל רכיב מכני נתון לתקינה בינלאומית מחמירה ונבחן בצורה מקיפה, על מנת למנוע טעויות וכשלי בטיחות לאורך כל חיי הרכב, מתוך ההבנה שחגורה תקולה עלולה לעלות בחיי אדם, וכבל שנקרע עלול לגרום לתאונה. והנה, בכל אלה שולטת תוכנה, אך הגנת הסייבר שלה עדיין לא נתונה לרגולציה משום סוג שהוא.
המציאות הזו עומדת להשתנות. סדרה של תקנים וסטנדרטים בינלאומיים נכתבים בימים אלה בתחום. תקן ה-ISO להגנת סייבר לרכבים הולך ומתהווה ו- 53 מדינות, בהן דרום קוריאה, יפן ומדינות האיחוד האירופי, יחייבו את חברות הרכב המשווקות בהן לעמוד בתקן הגנת סייבר.
רגולציה נשמעת כמו דבר מאיים, אבל למעשה היא יוצרת הזדמנות. דווקא על רקע המשבר העולמי שמשפיע גם על תעשיית ההיי טק, נוצרת כעת דרישה בלתי רגילה לשירותי ולטכנולוגיית סייבר, חלקם הגדול מיוצר כאן בישראל. הטכנולוגיה הישראלית מככבת ברכיבי הרכבים המובילים בעולם, והרגולציה הזו עשויה לייצר ביקוש עצום ליכולות הטכניות וליכולות הסייבר הישראליות. גופים ישראלים וחברות מקומיות לוקחות חלק במאמץ עיצוב התקינה העולמית, על מנת להפוך את החברות הישראליות לא רק לפורצות דרך, אלא גם לכאלה שיוכלו להוביל את השוק בעשורים הבאים.
*מאת סלבה ברונפמן, מנכ"ל חברת סייבלום, המפתחת פלטפורמה להערכת סיכוני סייבר לרכבים. ברונפמן מכהן כנציג הישראלי בוועדת התקינה הבין-לאומית להגנת סייבר ברכבים.
