לקראת סייברטק 2023: עמדות טעינת רכבים חשמליים הופכות לחממה להאקרים
רועי פרידמן, מנכ"ל חברת C2A Security, הספקית היחידה של פלטפורמת DevSecOps ייעודית ליצרניות רכב וחברות מוביליטי, מסמן מגמות מרכזיות בתחום לשנה הקרובה. רועי ידבר בכנס סייברטק גלובל 2023
עמי רוחקס דומבה
| 25/01/2023
תמונה: סייברטק
לאור העלייה הדרמטית במספר הרכבים המחוברים (הכוללים כרטיס סים פנימי), החשמליים ותחנות הטעינה, ברור לגמרי שתעשיית הרכב נמצאת בעיצומה של מהפכה. עד שנת 2025 צפוי נתח השוק הגלובלי של כלי הרכב החשמליים להגיע ל-30% משוק הרכב הכללי כאשר הללו צפויים להשפיע רבות על המציאות העולמית בשנת 2023 וכן שנים רבות קדימה.
לצד יתרונות הקישוריות המוגברת, משפיע עולם הרכב המחובר והחשמלי גם על תמונת איומי הסייבר ומייצר הזדמנויות חדשות ויעדים פוטנציאליים חדשים לתקיפות סייבר. יצרני הרכב וספקיהם בכל שרשרת האספקה נדרשים לעמוד ברגולציות מחמירות, בינלאומיות ואזוריות, בתחום אבטחת המידע, שנכנסות לתוקף בימים אלה. כל זאת, מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב החדשים.
רועי פרידמן, מנכ"ל חברת C2A Security, הספקית היחידה של פלטפורמת DevSecOps ייעודית ליצרניות רכב וחברות מוביליטי, מדגיש כמה מן המגמות לצד איומי הסייבר המרכזיים הצפויים להשפיע על התעשייה, המגזר העסקי והצרכנים.
הטרנספורמציה הדיגיטלית של תעשיית הרכב תחייב פריסה רחבה של פתרונות DevSecOps
השימוש ב-DevSecOps יהפוך לדרישה מחייבת על מנת ליצור מחזורי פיתוח גמישים ויעילים המוגדרים באמצעות תוכנה, תוך הטמעת אבטחה בשלב מוקדם. גישה חדשה זו תעניק למפתחים חופש יצירתי להתמקד במוצרים ובמאפיינים חדשניים ותעזור לארגונים לחדש בקצב מהיר יותר ולהיות תחרותיים, מבלי להתפשר על אבטחה ואיכות. היא טומנת בחובה גם את היכולת לנהל תוכנה בקנה מידה גדול בעידן הרכב המוגדר באמצעות תוכנה, ולתמוך בארגון של אלפי בני אדם עם צוות אבטחת סייבר רזה ויעיל המסתמך על DevSecOps אוטומטי באמת.
מחסור במומחי הגנת סייבר ידחוף את תעשיית הרכב למצוא דרכים חדשניות לטיפול באיומי אבטחה
פתרונות תוכנה הופכים לחלק מהותי מתעשיית הרכב, ובדומה למחשבים, גם כלי הרכב החשמליים והמחוברים זקוקים להגנת סייבר רלוונטית. אולם, בתעשיית הגנת הסייבר הגלובלית חסרים כיום 3.4 מיליון עובדים, כך לפי מחקר 2022 (ISC) של 2 Cybersecurity Workforce שנערך לאחרונה. מחסור זה באנשי מקצוע בתחום אבטחת הסייבר יאלץ חברות לחשוב מחדש על האופן בו הן מטפלות במצב ולאמץ פתרונות חדשניים המבוססים על אוטומציה מוגברת.
עמדות טעינה הופכות לחממה להאקרים
הופעתם של כלי רכב חשמליים לחלוטין דורשת את הפיכתן של עמדות הטעינה לחלק מן התשתית הקריטית הגלובלית, אשר תכלול עמדות המותקנות בשטחים ציבוריים, בחוץ ובחניונים תת-קרקעיים. במילים פשוטות: עמדת הטעינה עצמה היא רק המעטה החיצוני עבור תשתית מורכבת וסבוכה יותר. למרות שהיא מחוברת לרשת, הנקודה הפגיעה ביותר בה היא הקצה האחורי שלה, יחידת בקרה מרכזית (CCU) ההופכת למעשה את העמדה להתקן עם חיבור IoT, הדורשת התייחסות נפרדת מבחינת דרישות הגנת סייבר ואבטחת מידע.
היזהרו ממערכת המידע והבידור של הרכב, אפליקציות עלולות להיות מסוכנות:
אפליקציות הופכות למרכיב נפוץ יותר ויותר בכלי רכב. אפליקציות אלה יכולות לקבל הרשאה לשימוש בנכסים ובחיישנים של הרכב, המגדילים את משטח המתקפה של הרכב. כמו כן, מערכת המידע והבידור (info-tainment) ברכב משמשת כהתקן מקושר בפני עצמה, ועלולה להוות חולשת אבטחה עבור התקפות זדוניות. שימוש בחבילות ממקור פתוח מהווה גם הוא חלק מפיתוח התוכנה, החושף חלק מן האפליקציות, ולעתים אף את כולן, לתוקפים פוטנציאליים.
הצמיחה והטרנספורמציה של הנסיעות המשותפות
אחת המגמות בתחום הנסיעות המשותפות בשנת 2023 כוללת את החשמול הגובר של רכבים בציי תחבורה שיתופית והקישוריות שלהם. את ההשלכות ניתן כבר לראות כאשר רק בספטמבר האחרון הצליח האקר אלמוני להערים על המערכות של שירות המוניות הגדול ביותר ברוסיה, 'Yandex Taxi'. ההאקר שלח עשרות מוניות לאותה הכתובת, והתוצאה הייתה פקק תנועה גדול במרכז מוסקבה. אנו צופים כי משתמשים באפליקציות של נסיעות משותפות יחלו לדרוש מן המפעילים לוודא כי הצי שלהם מאובטח ומוגן היטב.
שירותי משלוחים בקילומטר האחרון ('last mile delivery') באמצעות כלי רכב אוטונומיים
שירותי משלוחים אוטונומיים לקילומטר האחרון צברו פופולריות במיוחד בתקופת הקורונה. גם היום אנו רואים כיצד האקרים משתמשים בדרכים יצירתיות כדי לפגוע ברחפנים אוטונומיים ובציי רכב המשמשים עבור משלוחים אוטונומיים. נהגי המשלוחים של Amazon לדוגמא הצליחו לחדור למערכת תכנון לוחות הזמנים ולהערים עליה באמצעות ניתוב מחדש של מסלולי המשלוחים שלהם למקומות אחרים, תוך שהם מבטיחים שהמשלוחים לא יגיעו ליעדם הסופי. בשנה הקרובה אנו צפויים להיות עדים להרבה יותר דוגמאות מסוג זה.
2023 תהיה שנת הציות בתחום הגנת הסייבר - אשר תתאפיין במעבר לאסטרטגיות ולשיטות עבודה חדשות
זוהי עת של שינוי בתעשיית הרכב. יצרניות הרכב (OEMs), וספקיהן המרכזיים מצויים תחת לחץ מצד רגולטורים בינלאומיים ואזוריים לשלב תקני ISO 21434 חדשים ורגולציית WP.29 מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב. ונדרשים להתאים את יכולות אבטחת הסייבר בכל שרשרת האספקה ולהבטיח כי דגמי הרכב החדשים יעמדו בתקנות. בינתיים, ה-NHTSA בארצות הברית, ה-ENISA באירופה וארגון Auto-ISAC פרסמו הנחיות לשיטות עבודה מומלצות עבור ראשי הענף. בשנת 2023 יעניקו יצרנים וספקים עדיפות להגנת סייבר כסוגייה של בטיחות, כפי שלא עשו קודם לכן. הרגולציה החדשה מציעה לצוותי הגנת סייבר הזדמנות להיפטר מפרקטיקות ישנות על מנת להטמיע גישה מתודית יותר להגנת סייבר בכל שדרות הארגונים שלהם.
"אבטחת IT הפכה לסוגייה מרכזית ביותר בשיח ובעיסוק הציבורי בעשור האחרון ובשנים האחרונות בפרט. אנו צופים כי תחום זה יתפשט בקצב מהיר הרבה יותר בקרב יצרניות רכב וחברות מוביליטי, כדי להאיץ את תהליך שחרור המוצרים מצד אחד תוך כדי שמירה על סטנדרטים מקובלים של אבטחת מידע ופיתוח תוכנה.", סיכם פרידמן.
רועי פרידמן, מנכ"ל חברת C2A Security, הספקית היחידה של פלטפורמת DevSecOps ייעודית ליצרניות רכב וחברות מוביליטי, מסמן מגמות מרכזיות בתחום לשנה הקרובה. רועי ידבר בכנס סייברטק גלובל 2023
תמונה: סייברטק
לאור העלייה הדרמטית במספר הרכבים המחוברים (הכוללים כרטיס סים פנימי), החשמליים ותחנות הטעינה, ברור לגמרי שתעשיית הרכב נמצאת בעיצומה של מהפכה. עד שנת 2025 צפוי נתח השוק הגלובלי של כלי הרכב החשמליים להגיע ל-30% משוק הרכב הכללי כאשר הללו צפויים להשפיע רבות על המציאות העולמית בשנת 2023 וכן שנים רבות קדימה.
לצד יתרונות הקישוריות המוגברת, משפיע עולם הרכב המחובר והחשמלי גם על תמונת איומי הסייבר ומייצר הזדמנויות חדשות ויעדים פוטנציאליים חדשים לתקיפות סייבר. יצרני הרכב וספקיהם בכל שרשרת האספקה נדרשים לעמוד ברגולציות מחמירות, בינלאומיות ואזוריות, בתחום אבטחת המידע, שנכנסות לתוקף בימים אלה. כל זאת, מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב החדשים.
רועי פרידמן, מנכ"ל חברת C2A Security, הספקית היחידה של פלטפורמת DevSecOps ייעודית ליצרניות רכב וחברות מוביליטי, מדגיש כמה מן המגמות לצד איומי הסייבר המרכזיים הצפויים להשפיע על התעשייה, המגזר העסקי והצרכנים.
הטרנספורמציה הדיגיטלית של תעשיית הרכב תחייב פריסה רחבה של פתרונות DevSecOps
השימוש ב-DevSecOps יהפוך לדרישה מחייבת על מנת ליצור מחזורי פיתוח גמישים ויעילים המוגדרים באמצעות תוכנה, תוך הטמעת אבטחה בשלב מוקדם. גישה חדשה זו תעניק למפתחים חופש יצירתי להתמקד במוצרים ובמאפיינים חדשניים ותעזור לארגונים לחדש בקצב מהיר יותר ולהיות תחרותיים, מבלי להתפשר על אבטחה ואיכות. היא טומנת בחובה גם את היכולת לנהל תוכנה בקנה מידה גדול בעידן הרכב המוגדר באמצעות תוכנה, ולתמוך בארגון של אלפי בני אדם עם צוות אבטחת סייבר רזה ויעיל המסתמך על DevSecOps אוטומטי באמת.
מחסור במומחי הגנת סייבר ידחוף את תעשיית הרכב למצוא דרכים חדשניות לטיפול באיומי אבטחה
פתרונות תוכנה הופכים לחלק מהותי מתעשיית הרכב, ובדומה למחשבים, גם כלי הרכב החשמליים והמחוברים זקוקים להגנת סייבר רלוונטית. אולם, בתעשיית הגנת הסייבר הגלובלית חסרים כיום 3.4 מיליון עובדים, כך לפי מחקר 2022 (ISC) של 2 Cybersecurity Workforce שנערך לאחרונה. מחסור זה באנשי מקצוע בתחום אבטחת הסייבר יאלץ חברות לחשוב מחדש על האופן בו הן מטפלות במצב ולאמץ פתרונות חדשניים המבוססים על אוטומציה מוגברת.
עמדות טעינה הופכות לחממה להאקרים
הופעתם של כלי רכב חשמליים לחלוטין דורשת את הפיכתן של עמדות הטעינה לחלק מן התשתית הקריטית הגלובלית, אשר תכלול עמדות המותקנות בשטחים ציבוריים, בחוץ ובחניונים תת-קרקעיים. במילים פשוטות: עמדת הטעינה עצמה היא רק המעטה החיצוני עבור תשתית מורכבת וסבוכה יותר. למרות שהיא מחוברת לרשת, הנקודה הפגיעה ביותר בה היא הקצה האחורי שלה, יחידת בקרה מרכזית (CCU) ההופכת למעשה את העמדה להתקן עם חיבור IoT, הדורשת התייחסות נפרדת מבחינת דרישות הגנת סייבר ואבטחת מידע.
היזהרו ממערכת המידע והבידור של הרכב, אפליקציות עלולות להיות מסוכנות:
אפליקציות הופכות למרכיב נפוץ יותר ויותר בכלי רכב. אפליקציות אלה יכולות לקבל הרשאה לשימוש בנכסים ובחיישנים של הרכב, המגדילים את משטח המתקפה של הרכב. כמו כן, מערכת המידע והבידור (info-tainment) ברכב משמשת כהתקן מקושר בפני עצמה, ועלולה להוות חולשת אבטחה עבור התקפות זדוניות. שימוש בחבילות ממקור פתוח מהווה גם הוא חלק מפיתוח התוכנה, החושף חלק מן האפליקציות, ולעתים אף את כולן, לתוקפים פוטנציאליים.
הצמיחה והטרנספורמציה של הנסיעות המשותפות
אחת המגמות בתחום הנסיעות המשותפות בשנת 2023 כוללת את החשמול הגובר של רכבים בציי תחבורה שיתופית והקישוריות שלהם. את ההשלכות ניתן כבר לראות כאשר רק בספטמבר האחרון הצליח האקר אלמוני להערים על המערכות של שירות המוניות הגדול ביותר ברוסיה, 'Yandex Taxi'. ההאקר שלח עשרות מוניות לאותה הכתובת, והתוצאה הייתה פקק תנועה גדול במרכז מוסקבה. אנו צופים כי משתמשים באפליקציות של נסיעות משותפות יחלו לדרוש מן המפעילים לוודא כי הצי שלהם מאובטח ומוגן היטב.
שירותי משלוחים בקילומטר האחרון ('last mile delivery') באמצעות כלי רכב אוטונומיים
שירותי משלוחים אוטונומיים לקילומטר האחרון צברו פופולריות במיוחד בתקופת הקורונה. גם היום אנו רואים כיצד האקרים משתמשים בדרכים יצירתיות כדי לפגוע ברחפנים אוטונומיים ובציי רכב המשמשים עבור משלוחים אוטונומיים. נהגי המשלוחים של Amazon לדוגמא הצליחו לחדור למערכת תכנון לוחות הזמנים ולהערים עליה באמצעות ניתוב מחדש של מסלולי המשלוחים שלהם למקומות אחרים, תוך שהם מבטיחים שהמשלוחים לא יגיעו ליעדם הסופי. בשנה הקרובה אנו צפויים להיות עדים להרבה יותר דוגמאות מסוג זה.
2023 תהיה שנת הציות בתחום הגנת הסייבר - אשר תתאפיין במעבר לאסטרטגיות ולשיטות עבודה חדשות
זוהי עת של שינוי בתעשיית הרכב. יצרניות הרכב (OEMs), וספקיהן המרכזיים מצויים תחת לחץ מצד רגולטורים בינלאומיים ואזוריים לשלב תקני ISO 21434 חדשים ורגולציית WP.29 מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב. ונדרשים להתאים את יכולות אבטחת הסייבר בכל שרשרת האספקה ולהבטיח כי דגמי הרכב החדשים יעמדו בתקנות. בינתיים, ה-NHTSA בארצות הברית, ה-ENISA באירופה וארגון Auto-ISAC פרסמו הנחיות לשיטות עבודה מומלצות עבור ראשי הענף. בשנת 2023 יעניקו יצרנים וספקים עדיפות להגנת סייבר כסוגייה של בטיחות, כפי שלא עשו קודם לכן. הרגולציה החדשה מציעה לצוותי הגנת סייבר הזדמנות להיפטר מפרקטיקות ישנות על מנת להטמיע גישה מתודית יותר להגנת סייבר בכל שדרות הארגונים שלהם.
"אבטחת IT הפכה לסוגייה מרכזית ביותר בשיח ובעיסוק הציבורי בעשור האחרון ובשנים האחרונות בפרט. אנו צופים כי תחום זה יתפשט בקצב מהיר הרבה יותר בקרב יצרניות רכב וחברות מוביליטי, כדי להאיץ את תהליך שחרור המוצרים מצד אחד תוך כדי שמירה על סטנדרטים מקובלים של אבטחת מידע ופיתוח תוכנה.", סיכם פרידמן.
