האיום הפנימי בסייבר: גרסת מטוס ה-737 מקס

על רקע מכרז הרקולס לאבטחת עולם התעופה של מערך הסייבר הלאומי בישראל, ראוי לבחון את המקרים של דגם המטוס של בואינג שהביאו למותם הטראגי של רבים

האיום הפנימי בסייבר: גרסת מטוס ה-737 מקס

מטוס ה-737 של את'יופיאן איירליינס שהתרסק השנה. צילום: AP

שני מטוסי נוסעים 737 מקס צללו לקרקע באוקטובר 2018 ובמרץ 2019 ולקחו עמם מאות נוסעים אל מותם. ההערכות הן כי הכשל טמון במרכיב תוכנה אוטונומי במטוס שתפקידו למנוע הזדקרות בעת המראה. מרכיב זה לא עבד באופן תקין, כאשר במטוס לא הייתה דרך להחזיר שליטה ידנית לטייס, והמטוס צלל. מאז התאונה השנייה מטוסים מסוג זה מקורקעים ולקוחות ביטלו הזמנות מבואינג.

המקרה נכנס לחקירה פדרלית בארה"ב, וכעת מתפרסם כי מארק פורקנר, הטייס הטכני הראשי של בואינג בפרויקט MAX, מסרב למסור מסמכים לחוקרים. כך לפי פרסום של seattletimes. הוא מבסס את טיעונו על זכות התיקון החמישי נגד הפללה עצמית.

על רקע מכרז הרקולס לאבטחת עולם התעופה של מערך הסייבר הלאומי אצלנו, ראוי לבחון את מקרה ה-737 מקס סביב שאלת האיום הפנימי. שאלה זו רלוונטית בכדי להבין מה היכולת של גוף סייבר מדינתי, כמו מערך הסייבר, לוודא כשלים בקוד תוכנה או בחומרה של מטוס נוסעים שמטיס ישראלים. כשלים שעלולים לגרום לתאונות.

במקרה ה-737 מקס, עולות מספר שאלות. ראשית הליך האישור של הקוד באותו מכלול תוכנה אוטונומי. בהליך הרישיון של המטוס המתבצע בין בואינג ל-FAA (רשות התעופה האמריקאית) אמורות להיכנס בדיקות. האם ה-FAA ישתף גופי סייבר מדינתיים בתוצאות הבדיקות טרם כניסת המטוס למרחב האווירי של אותה מדינה? (תאונת מטוס יכולה להרוג גם אנשים על הקרקע).

שאלה נוספת עולה לגבי ההתנהלות של ה-FAA לאחר התאונה הראשונה ב-2018. האם במקרה כזה יוכל גוף סייבר מדינתי שלא להכניס את המטוס למרחב האווירי עד לסיום חקירה בנושא? אזכיר כי המטוס קורקע רק לאחר התאונה השנייה, כחמישה חודשים אחרי הראשונה.

בעניין האיום הפנימי, עולה שאלה כיצד יכול מערך סייבר מדינתי לוודא מהימנות של עובדים אצל יצרן המטוס. במקרה דנן, גורם מרכזי בפיתוח המטוס לא רוצה לשתף את החוקרים בארה"ב במסמכים. התנהלות זו מעלה חשש כי ייתכן ואנשים בתוך החברה ידעו ולא דיווחו. מה ההבדל בעולם פיתוח קוד תוכנה בין ביצוע נזק בזדון לאי דיווח על ממצאים לממונים? בפועל אין הבדל פרט לסמנטיקה משפטית. במבחן התוצאה הקוד מגיע למטוס פעיל עם הכשלים.

אין ספק כי אירוע מטוס ה-737 מקס יכול ללמד את מקבלי ההחלטות בישראל הרבה על אבטחת תעופה. לפחות לגבי החלקים הנוגעים לפלטפורמה עצמה וההתנהלות מול יצרן המטוס. לגבי החלקים הקשורים לתשתית קרקעית ישנה, רשות שדות התעופה שתספק תשובות. בשלב זה לא ברור מה עלה בגורלו של מכרז הרקולס.

אולי יעניין אותך גם