מחקר חדש: עמדות טעינה לכלי רכב חשמליים יהפכו ל"שדה קרב סייברי"
תעשיית האוטומוטיב הופכת ליעד חם להאקרים: Upstream ניתחה מאות תקיפות, 85% מהן בוצעו לגמרי מרחוק. ואיך מנצלים השחקנים את משבר השבבים ושרשרת האספקה?
עמי רוחקס דומבה
| 02/08/2022
bigstock
המעבר לרכב חשמלי הוא בשורה חשובה לסביבה ולאוויר שאנחנו נושמים, אבל הוא גם מציב אתגרים משמעותיים: עמדות הטעינה הופכות ליעד מועדף עבור עברייני הסייבר, וכך גם ריבוי המערכות מבוססות התוכנה ברכב.
על פי דו"ח הסייבר בתעשיית האוטומוטיב העולמית שמפרסמת Upstream, ב-2021 בוצעו יותר מ-240 תקיפות מתוחכמות בעזרת ידע וכלים מתקדמים. המחסור העולמי בשבבים והמשבר בשרשראות האספקה נזכרים בין הגורמים שתרמו להגברת התקיפות, כשהם מקלים על גורמים זדוניים בהכנסת ציוד מזויף לשוק. לצד זאת, גברו התקיפות נגד תשתיות אזרחיות מצד קבוצות האקרים הנתמכות על ידי מדינות.
נוסף על תחנות הטעינה לרכבים חשמליים, גם ציים ממשלתיים וכלים המשמשים בחקלאות היוו מוקדים לתקיפה. שיעור גבוה מכלל התקיפות ב-2021, למעלה מ-40%, כוון נגד שרתים. מאחורי 57% מהתקיפות עמדו האקרים בעלי "כובע שחור" - עברייני סייבר הפועלים למען רווח אישי. 36% מהפגיעויות הידועות (CVEs) החדשות בתעשייה מדורגות כעת "גבוה" במדד CVSS v.3.
על פי הדו"ח השנתי של Upstream, מחצית מגניבות הרכב ב-2021 מקושרות לטכנולוגיית הכניסה וההתנעה ללא מפתח. עוד עולה כי 85% מהתקיפות בוצעו לגמרי מרחוק. "ככל שכלי הרכב הופכים מחוברים יותר ומבוססי תוכנה ((software-defined vechicles, הצורך בגישה פיזית אליהם למטרת תקיפה הולך ומצטמצם", מסביר יואב לוי, מייסד ומנכ"ל Upstream .
בניתוח של העשור החולף, על סמך יותר מ-900 אירועי אבטחת מידע בתעשייה: כ-40% מהמקרים נגעו לגניבת מידע או הפרת פרטיות, קרוב ל-30% כללו פריצה לרכב או גניבת רכב, כרבע - השתלטות מרחוק על מערכות ברכב, וכ-20% - שיבוש של עסקים ושירותים שונים בתעשייה. שאר המקרים היו הונאות, מניפולציה על מערכות, מעקב בלתי חוקי אחר מיקום והפרת תנאים.
מגמות עיקריות
השרתים והתשתיות של יצרניות הרכב וחלקי החילוף יהוו יעד מועדף לתקיפה, במטרה לשים יד על דאטה יקר ערך. התעשייה צפויה לראות עלייה במאמצי התקיפה של שחקני ה"כובעים השחורים", שינסו ללא לאות לשפר את יכולתם להשיג גישה למידע.
היצרניות ימשיכו להשקיע בפיתוח כלי רכב מונחי תוכנה, שרוב המערכות והפונקציות בהם מופעלות בעיקר באמצעות תוכנות. המהלך הזה יעמיק אף יותר את אתגרי אבטחת המידע ויחייב יכולות בקרה וזיהוי משופרות.
תקיפות מצד "כובעים שחורים" למטרת רווח אישי יוסיפו להאפיל על אלו של ה"כובעים הלבנים", הפועלים למטרות אתיות ולשם מחקר ובחינה של איכות ההגנה. זאת כאשר יותר מתמיד, לבעלי העניין בתעשייה יש מה להפסיד.
עמדות טעינה לכלי רכב חשמליים (EV) יהפכו ל"שדה קרב סייברי", עם פוטנציאל ברור לגניבת אנרגיה ולהשגת גישה למידע פרטי באמצעות כבלי הטעינה.
דרישות הרגולציה יגדירו מחדש את הטיפול של תעשיית האוטומוטיב בדאטה. הן יחייבו את האקוסיסטם כולו לבחון את הדאטה בצורה מלאה יותר, ובכך יאפשרו ליצרניות ולספקיות Tier-1 ו-Tier-2 להבין טוב יותר את הביצועים, ההקשר ואיכות הדאטה באופן כללי.
חברת Upstream הישראלית מספקת כיום הגנה ליותר מ-10 מיליון כלי רכב ברחבי העולם. הטכנולוגיות שלה משמשות יצרניות רכב, יצרניות רכיבים, וספקי שירותי תחבורה מובילים, כשהן מסייעות להם למנף את הדאטה, לעמוד ברגולציה, לשפר תהליכי ייצור ולאתר מודלים עסקיים חדשים.
יואב לוי, מייסד ומנכ"ל :Upstream "החיבור ההולך ומתהדק בין העולם הפיזי למרחב הדיגיטלי הוא מכרה זהב לשחקני האיום - ראינו את זה בשירותי הבריאות, הפיננסים וכעת בתעשיית האוטומוטיב. בשנים הקרובות זה רק ילך ויתעצם, מה שיחייב את התעשייה לאמצעי זיהוי, מניעה ומיגון ייעודיים ואפקטיביים במיוחד".
תעשיית האוטומוטיב הופכת ליעד חם להאקרים: Upstream ניתחה מאות תקיפות, 85% מהן בוצעו לגמרי מרחוק. ואיך מנצלים השחקנים את משבר השבבים ושרשרת האספקה?
bigstock
המעבר לרכב חשמלי הוא בשורה חשובה לסביבה ולאוויר שאנחנו נושמים, אבל הוא גם מציב אתגרים משמעותיים: עמדות הטעינה הופכות ליעד מועדף עבור עברייני הסייבר, וכך גם ריבוי המערכות מבוססות התוכנה ברכב.
על פי דו"ח הסייבר בתעשיית האוטומוטיב העולמית שמפרסמת Upstream, ב-2021 בוצעו יותר מ-240 תקיפות מתוחכמות בעזרת ידע וכלים מתקדמים. המחסור העולמי בשבבים והמשבר בשרשראות האספקה נזכרים בין הגורמים שתרמו להגברת התקיפות, כשהם מקלים על גורמים זדוניים בהכנסת ציוד מזויף לשוק. לצד זאת, גברו התקיפות נגד תשתיות אזרחיות מצד קבוצות האקרים הנתמכות על ידי מדינות.
נוסף על תחנות הטעינה לרכבים חשמליים, גם ציים ממשלתיים וכלים המשמשים בחקלאות היוו מוקדים לתקיפה. שיעור גבוה מכלל התקיפות ב-2021, למעלה מ-40%, כוון נגד שרתים. מאחורי 57% מהתקיפות עמדו האקרים בעלי "כובע שחור" - עברייני סייבר הפועלים למען רווח אישי. 36% מהפגיעויות הידועות (CVEs) החדשות בתעשייה מדורגות כעת "גבוה" במדד CVSS v.3.
על פי הדו"ח השנתי של Upstream, מחצית מגניבות הרכב ב-2021 מקושרות לטכנולוגיית הכניסה וההתנעה ללא מפתח. עוד עולה כי 85% מהתקיפות בוצעו לגמרי מרחוק. "ככל שכלי הרכב הופכים מחוברים יותר ומבוססי תוכנה ((software-defined vechicles, הצורך בגישה פיזית אליהם למטרת תקיפה הולך ומצטמצם", מסביר יואב לוי, מייסד ומנכ"ל Upstream .
בניתוח של העשור החולף, על סמך יותר מ-900 אירועי אבטחת מידע בתעשייה: כ-40% מהמקרים נגעו לגניבת מידע או הפרת פרטיות, קרוב ל-30% כללו פריצה לרכב או גניבת רכב, כרבע - השתלטות מרחוק על מערכות ברכב, וכ-20% - שיבוש של עסקים ושירותים שונים בתעשייה. שאר המקרים היו הונאות, מניפולציה על מערכות, מעקב בלתי חוקי אחר מיקום והפרת תנאים.
מגמות עיקריות
השרתים והתשתיות של יצרניות הרכב וחלקי החילוף יהוו יעד מועדף לתקיפה, במטרה לשים יד על דאטה יקר ערך. התעשייה צפויה לראות עלייה במאמצי התקיפה של שחקני ה"כובעים השחורים", שינסו ללא לאות לשפר את יכולתם להשיג גישה למידע.
היצרניות ימשיכו להשקיע בפיתוח כלי רכב מונחי תוכנה, שרוב המערכות והפונקציות בהם מופעלות בעיקר באמצעות תוכנות. המהלך הזה יעמיק אף יותר את אתגרי אבטחת המידע ויחייב יכולות בקרה וזיהוי משופרות.
תקיפות מצד "כובעים שחורים" למטרת רווח אישי יוסיפו להאפיל על אלו של ה"כובעים הלבנים", הפועלים למטרות אתיות ולשם מחקר ובחינה של איכות ההגנה. זאת כאשר יותר מתמיד, לבעלי העניין בתעשייה יש מה להפסיד.
עמדות טעינה לכלי רכב חשמליים (EV) יהפכו ל"שדה קרב סייברי", עם פוטנציאל ברור לגניבת אנרגיה ולהשגת גישה למידע פרטי באמצעות כבלי הטעינה.
דרישות הרגולציה יגדירו מחדש את הטיפול של תעשיית האוטומוטיב בדאטה. הן יחייבו את האקוסיסטם כולו לבחון את הדאטה בצורה מלאה יותר, ובכך יאפשרו ליצרניות ולספקיות Tier-1 ו-Tier-2 להבין טוב יותר את הביצועים, ההקשר ואיכות הדאטה באופן כללי.
חברת Upstream הישראלית מספקת כיום הגנה ליותר מ-10 מיליון כלי רכב ברחבי העולם. הטכנולוגיות שלה משמשות יצרניות רכב, יצרניות רכיבים, וספקי שירותי תחבורה מובילים, כשהן מסייעות להם למנף את הדאטה, לעמוד ברגולציה, לשפר תהליכי ייצור ולאתר מודלים עסקיים חדשים.
יואב לוי, מייסד ומנכ"ל :Upstream "החיבור ההולך ומתהדק בין העולם הפיזי למרחב הדיגיטלי הוא מכרה זהב לשחקני האיום - ראינו את זה בשירותי הבריאות, הפיננסים וכעת בתעשיית האוטומוטיב. בשנים הקרובות זה רק ילך ויתעצם, מה שיחייב את התעשייה לאמצעי זיהוי, מניעה ומיגון ייעודיים ואפקטיביים במיוחד".
