תהיו מוכנים לשלם כופר סייבר על המכונית שלכם?
״עולם הפשע מתחיל לזוז לעולם המכוניות המחוברות״, אומר מקס צ׳נג, מנכ"ל חברת ה-Automotive Cyber הטיוואנית "VicOne" בראיון | מדובר בחברת בת של טרנד מיקרו
עמי רוחקס דומבה
| 21/05/2023
מקס צ׳נג | קרדיט VicOne
עולם הרכב העולמי משנה את פניו, כאשר מכוניות חשמליות עומדות להחליף את מנוע הבעירה הפנימית המוכר. אין מדובר רק בשינוי לטובת האקלים, אלא מדובר בשינוי תפיסה בהקשר תפקידה של המכונית. אם בעבר הדבר הכי חשוב במכונית היה הגלגלים, שיביאו אותנו ממקום למקום, כיום נראה כי החשיבות של כוח המחשוב והחיבוריות של המכונית לרשת האינטרנט, אלו הדברים החשובים באמת.
״יצרני המכוניות הגדולים היום (טיר-1) ממוקדים בהבניית החוויה של הנוסע. זה הנושא הכי חם היום. טסלה חלוצה בהקשר זה, אך היא לא היחידה. חווית הנוסע במכונית הפכה לנושא הכי חם בתעשיית הרכב״, מסביר מקס צ׳נג, מנכ"ל חברת ה-Automotive Cyber הטיוואנית "VicOne" בראיון לישראל דיפנס. חברת VicOne עוסקת באבטחת סייבר לעולם הרכב.
״פשיעת סייבר היא האיום הכי גדול כיום על מכוניות מודרניות, כולל חשמליות. אלו מגיעות עם רמת אבזור גבוהה וככאלו, ממוחשבות מהמסד ועד הטפחות. תוקפים יכולים לבצע מגוון תקיפות נגד מכוניות. בין היתר, לפתוח את הרכב, להניע ולגנוב אותו. פושעים יכולים גם לנעול את הרכב ולבקש כופר. ישנו גם היבט הפרטיות, אם תוקפים מגיעים למידע אישי השמור במערכות הרכב.״
צ׳נג מתאר עתיד שבו מכונית ממוצעת תהיה מקושרת לרשת כל הזמן. בעתיד כזה, דשבורד המכונית יכול להפוך למסך מחשב גדול שיאפשר למשתמש להריץ מגוון תוכנות. כמו במחשב או בטלפון הסלולרי. המעבר בין המכשירים יהיה שקוף לגמרי.
״ברכבי מנוע בעירה פנימית, היצרן מרוויח גם על המכירה וגם על החלקים של הטיפולים והתקלות. ברכב חשמלי יש פחות מכלולים נעים ויש הרבה פחות תחזוקה. היצרנים צריכים מנוע הכנסה חלופי ואלו כנראה יהיו התוכנות והשירותים המקוונים במכונית״, אומר צ׳נג. ״האינטרס העסקי לספק חוויה בטוחה למשתמשי הרכב, על מנת שיצרכו תוכנות ושירותים במהלך הנסיעה, עתיד להניע את הביקוש למוצרי הגנה בסייבר במערכות הרכב.״
ועד שזה יקרה, מה המצב כיום?
״תראה״, מסביר צ׳נג. ״יצרני הרכב מחפשים איפה יש רווח. כרגע המיקוד הוא במעבר ממכירת רכבים מבוססי מנוע בעירה פנימית לרכבים חשמליים. שם השוק כרגע והסייבר נדחק למקומות האחרונים בסדר העדיפות. עם זאת, בעתיד הלא רחוק נושא הסייבר יגיע למרכז הבמה בשל הצורך לבדל את חווית הלקוח. כלומר, תוכנות ושירותים מקוונים ברכב.״
שרשרת אספקה
רכב מודרני מורכב מאלפי רכיבים שונים, המיוצרים על ידי ספקים שונים. יצרן הרכב שמרכיב מכל הרכיבים תצרף, נדרש לוודא שהרכיבים מגיעים ללא דלתות אחוריות שיאפשרו לפלוני גישה לרכבים מרחוק.
״זה אתגר משמעותי ליצרני רכב״, אומר צ׳נג. ״לצד ההיבט הפלילי, אם תוקף משתלט על רכב במטרה לגרום לפגיעה בחיי אדם, הוא יכול להשתמש בו כנשק. להכווין אותו למקום מסוים, במהירות מסוימת, לשבש את מערכת הניהוג, הבלמים ועוד. יצרני רכב נדרשים לקבוע מדיניות מול הספקים שלהם בהיבטי סייבר ולפקח כראוי שהמדיניות מתבצעת לכל אורך שרשרת האספקה. כאמור, זה אתגר. המנכ״ל צריך לראות את כל שרשרת הערך של הרכב ולבדוק איפה המדיניות עובדת ואיפה לא.״
עדכונים מרחוק יהיו אמינים?
עוד נקודה למחשבה בהקשר הגנה בסייבר על רכבים קשורה לעדכוני תוכנה. אמרנו שמכונית מודרנית היא מחשב על גלגלים וככזה, המכונית צריכה עדכונים. כבר היום יש מכוניות שמקבלות עדכוני תוכנה ״מהאוויר״, כך שאין צורך להגיע למרכז שירות. העדכון יכול להעשות בכל מקום שבו יש קישוריות סלולרית בין המכונית לבין שרת העדכון.
תרחיש עדכון מרחוק יכול להציף מספר שאלות. מה קורה אם העדכון ״נשבר״ באמצע? האם המכונית תמשיך כרגיל? אם ההתקנה הסתיימה, אבל משהו השתבש? האם הרכב מושבת? ומה קורה עם מתקפות MITM שתוקף מצליח להכנס בתווך בין המכונית לשרת העדכון? ועוד שאלות הקשורות כולן לחשש מבטיחות ברגע שרכב עולה על הכביש.
״בטיחות קודם כל. ההגנה על מכוניות העתיד מתחילה באלקטרוניפיקציה וחשמול. שתי מגמות טכנולוגיות בשוק הרכב. המשתמש יהיה מוכן לשלם על שירותי סייבר לסביבת המחשוב שהוא עובד איתה. בדומה לטלפון או למחשב היום. את ההגנה על מערכות השליטה ברכב יצטרך לספק היצרן״, מסביר צ׳נג.
״יצרני הרכב צריכים לחשוב גם על הגנת הטלפון הנייד של המשתמש. אם טלפון משמש לפתיחת הרכב והנעת המנוע - הטלפון הוא חלק ממערכות הרכב בתפיסת ההגנה.״
האם אתם רואים כבר היום איומים על רכבים בסייבר?
״אנחנו מתחילים לראות ברשת האפלה, בפורומים מסוימים, דרישות לכלי תקיפה וחולשות של רכבים ואפילו של דגמים מסוימים. עולם הפשע מתחיל לזוז לעולם המכוניות המחוברות.״, מסכם צ׳נג.
״עולם הפשע מתחיל לזוז לעולם המכוניות המחוברות״, אומר מקס צ׳נג, מנכ"ל חברת ה-Automotive Cyber הטיוואנית "VicOne" בראיון | מדובר בחברת בת של טרנד מיקרו
מקס צ׳נג | קרדיט VicOne
עולם הרכב העולמי משנה את פניו, כאשר מכוניות חשמליות עומדות להחליף את מנוע הבעירה הפנימית המוכר. אין מדובר רק בשינוי לטובת האקלים, אלא מדובר בשינוי תפיסה בהקשר תפקידה של המכונית. אם בעבר הדבר הכי חשוב במכונית היה הגלגלים, שיביאו אותנו ממקום למקום, כיום נראה כי החשיבות של כוח המחשוב והחיבוריות של המכונית לרשת האינטרנט, אלו הדברים החשובים באמת.
״יצרני המכוניות הגדולים היום (טיר-1) ממוקדים בהבניית החוויה של הנוסע. זה הנושא הכי חם היום. טסלה חלוצה בהקשר זה, אך היא לא היחידה. חווית הנוסע במכונית הפכה לנושא הכי חם בתעשיית הרכב״, מסביר מקס צ׳נג, מנכ"ל חברת ה-Automotive Cyber הטיוואנית "VicOne" בראיון לישראל דיפנס. חברת VicOne עוסקת באבטחת סייבר לעולם הרכב.
״פשיעת סייבר היא האיום הכי גדול כיום על מכוניות מודרניות, כולל חשמליות. אלו מגיעות עם רמת אבזור גבוהה וככאלו, ממוחשבות מהמסד ועד הטפחות. תוקפים יכולים לבצע מגוון תקיפות נגד מכוניות. בין היתר, לפתוח את הרכב, להניע ולגנוב אותו. פושעים יכולים גם לנעול את הרכב ולבקש כופר. ישנו גם היבט הפרטיות, אם תוקפים מגיעים למידע אישי השמור במערכות הרכב.״
צ׳נג מתאר עתיד שבו מכונית ממוצעת תהיה מקושרת לרשת כל הזמן. בעתיד כזה, דשבורד המכונית יכול להפוך למסך מחשב גדול שיאפשר למשתמש להריץ מגוון תוכנות. כמו במחשב או בטלפון הסלולרי. המעבר בין המכשירים יהיה שקוף לגמרי.
״ברכבי מנוע בעירה פנימית, היצרן מרוויח גם על המכירה וגם על החלקים של הטיפולים והתקלות. ברכב חשמלי יש פחות מכלולים נעים ויש הרבה פחות תחזוקה. היצרנים צריכים מנוע הכנסה חלופי ואלו כנראה יהיו התוכנות והשירותים המקוונים במכונית״, אומר צ׳נג. ״האינטרס העסקי לספק חוויה בטוחה למשתמשי הרכב, על מנת שיצרכו תוכנות ושירותים במהלך הנסיעה, עתיד להניע את הביקוש למוצרי הגנה בסייבר במערכות הרכב.״
ועד שזה יקרה, מה המצב כיום?
״תראה״, מסביר צ׳נג. ״יצרני הרכב מחפשים איפה יש רווח. כרגע המיקוד הוא במעבר ממכירת רכבים מבוססי מנוע בעירה פנימית לרכבים חשמליים. שם השוק כרגע והסייבר נדחק למקומות האחרונים בסדר העדיפות. עם זאת, בעתיד הלא רחוק נושא הסייבר יגיע למרכז הבמה בשל הצורך לבדל את חווית הלקוח. כלומר, תוכנות ושירותים מקוונים ברכב.״
שרשרת אספקה
רכב מודרני מורכב מאלפי רכיבים שונים, המיוצרים על ידי ספקים שונים. יצרן הרכב שמרכיב מכל הרכיבים תצרף, נדרש לוודא שהרכיבים מגיעים ללא דלתות אחוריות שיאפשרו לפלוני גישה לרכבים מרחוק.
״זה אתגר משמעותי ליצרני רכב״, אומר צ׳נג. ״לצד ההיבט הפלילי, אם תוקף משתלט על רכב במטרה לגרום לפגיעה בחיי אדם, הוא יכול להשתמש בו כנשק. להכווין אותו למקום מסוים, במהירות מסוימת, לשבש את מערכת הניהוג, הבלמים ועוד. יצרני רכב נדרשים לקבוע מדיניות מול הספקים שלהם בהיבטי סייבר ולפקח כראוי שהמדיניות מתבצעת לכל אורך שרשרת האספקה. כאמור, זה אתגר. המנכ״ל צריך לראות את כל שרשרת הערך של הרכב ולבדוק איפה המדיניות עובדת ואיפה לא.״
עדכונים מרחוק יהיו אמינים?
עוד נקודה למחשבה בהקשר הגנה בסייבר על רכבים קשורה לעדכוני תוכנה. אמרנו שמכונית מודרנית היא מחשב על גלגלים וככזה, המכונית צריכה עדכונים. כבר היום יש מכוניות שמקבלות עדכוני תוכנה ״מהאוויר״, כך שאין צורך להגיע למרכז שירות. העדכון יכול להעשות בכל מקום שבו יש קישוריות סלולרית בין המכונית לבין שרת העדכון.
תרחיש עדכון מרחוק יכול להציף מספר שאלות. מה קורה אם העדכון ״נשבר״ באמצע? האם המכונית תמשיך כרגיל? אם ההתקנה הסתיימה, אבל משהו השתבש? האם הרכב מושבת? ומה קורה עם מתקפות MITM שתוקף מצליח להכנס בתווך בין המכונית לשרת העדכון? ועוד שאלות הקשורות כולן לחשש מבטיחות ברגע שרכב עולה על הכביש.
״בטיחות קודם כל. ההגנה על מכוניות העתיד מתחילה באלקטרוניפיקציה וחשמול. שתי מגמות טכנולוגיות בשוק הרכב. המשתמש יהיה מוכן לשלם על שירותי סייבר לסביבת המחשוב שהוא עובד איתה. בדומה לטלפון או למחשב היום. את ההגנה על מערכות השליטה ברכב יצטרך לספק היצרן״, מסביר צ׳נג.
״יצרני הרכב צריכים לחשוב גם על הגנת הטלפון הנייד של המשתמש. אם טלפון משמש לפתיחת הרכב והנעת המנוע - הטלפון הוא חלק ממערכות הרכב בתפיסת ההגנה.״
האם אתם רואים כבר היום איומים על רכבים בסייבר?
״אנחנו מתחילים לראות ברשת האפלה, בפורומים מסוימים, דרישות לכלי תקיפה וחולשות של רכבים ואפילו של דגמים מסוימים. עולם הפשע מתחיל לזוז לעולם המכוניות המחוברות.״, מסכם צ׳נג.
