״620 מיליון מכוניות מקושרות ידרשו ניטור הגנת סייבר קבוע״
יצרני הרכב ברחבי העולם שוקלים מעבר למערכות אינפוטיינמנט מבוססות אנדרואיד במכוניות, לטובת שיפור חוויית הנהג 'דמוית הסמארטפון'. היתרונות לצרכן ברורים, אך טומנים בחובם אתגרי סייבר לא מעטים. מה קורה מאחורי הקלעים של הגנת המכונית ואיך מתארגנים לכך בזמן? ראיון עם מנהלי המוצר הבכירים של HARMAN ישראל
מכוניות הופכות יותר ויותר מחוברות ומתקדמות טכנולוגית, כמו גם רגישות יותר לפשיעת סייבר – ומה שקורה מתחת למכסה המנוע משקף שינויים שצריך להיערך אליהם – כבר היום. הדס טופור כהן, דירקטורית בכירה, מנהלת חטיבת ניהול מוצרים ופיתוח עסקי, OTA והגנת סייבר, וניר ברמן, מנהל מוצר בכיר, הגנת סייבר לרכב ב- HARMAN מספרים כיצד מהנדסים ומומחי הגנת סייבר עוזרים כיום ליצרני הרכב לספק חוויות חדשות במכוניות, תוך ניהול סיכונים קריטיים ומניעת התקפות סייבר על נהגים ונוסעים.
על פי הערכות חברת המחקר IHS Markit למעלה מ -620 מיליון כלי רכב ינועו בשנת 2025 על הכבישים כשהם מצויידים בקישוריות מובנית היישר מהמפעל, לעומת 208 מיליון בשנת 2019. לדברי ברמן, קישוריות מובנית משמעותה העלאה של סיכוני האבטחה וכדי להקדים מכה לצרה, יצרניות הרכב צריכות ליישם ניטור הגנת סייבר קבוע. ״כך לדוגמא, תיקוני אבטחה (״פאצ׳ים״) ועדכוני מערכת הפעלה מפותחים כמעט כל הזמן והמשמעות היא הרבה עדכונים שוטפים למערכות הרכב שמתבצעים ויתבצעו במרבית המקרים בטכנולוגיית ה-OTA – Over The Air שפותחה בישראל ומאפשרת את העברת המידע הנחוץ – אלחוטית – היישר למחשבי הרכב – ובלי צורך לזמנו למוסך. במקביל, עלינו להתמקד ולקחת בחשבון תאימות לדרישות הרגולציה, שכוללת הערכות איומים קבועות לרכב, תוך התחשבות בסיכונים פוטנציאליים חדשים וכן ביכולת לפקח על האיומים הידועים ובדרכים להגיב עליהם״.
טופור כהן מעריכה כי יצרניות הרכב חסרות כיום יכולת להעריך במדויק את סיכוני הגנת הסייבר לרכב נתון. ״למרות שמכוניות נבדקות ביסודיות לפרצות אבטחה בשלב הפיתוח, ממצאים אלו עלולים להיות לא רלוונטיים או מיושנים בתוך שנה בלבד. איומי אבטחה ברשת מתפתחים כל הזמן – ׳הנוף׳ תמיד שונה מכיוון שסוגי האיומים משתנים בו זמנית. לדוגמא, כתוצאה ממגפת הקורונה העולה חווה גידול והתמקדות מוגברת ברכבים אישיים. הקורונה מצד אחד מאיצה שינויים בעלי יתרונות עבור הצרכנים, כגון תשלומים ניידים, אך מגדילה את הסיכונים הפוטנציאליים בתחומי האבטחה במקביל. אצלנו ב- HARMAN אנו מתמקדים במתן תצוגה עדכנית של האיומים הפוטנציאליים על הרכב בכדי להישאר צעד אחד לפני ההאקרים. אנו מספקים פתרונות המציגים תמונה מדויקת של המצב הקיים כדי לסייע ליצרנים להעריך את כלי הרכב שלהם כפי שהם כיום, ולא כפי שהיו בזמן הייצור.״
יצרני רכב רבים מתכננים לפרוס פלטפורמת רכב מחובר בזמן הקרוב כמענה לדרישת הצרכנים לחוויה 'דמוית סמארטפון' יותר. מהם האתגרים מבחינת האבטחה שהפלטפורמות הללו מציבות לבטיחות הכללית של הרכב ולפרטיות הנוסעים?
לדברי ברמן, בניגוד לתוכנות קנייניות, כמו שהיו בעבר ליצרני רכב למערכות האינפוטיינמנט שלהם, כאשר היצרנים מתחילים להכניס לתמונה טכנולוגיית אנדרואיד, הם גם מכניסים קומץ רכיבים שעשויים להכיל נקודות תורפה נוספות. “סיכון זה לא היה קיים בעבר בתעשיית הרכב, אך הוא דבר שיצרניות הרכב חייבות לקחת בחשבון. כדי שהחוויה 'דמוית הסמארטפון' תצליח עבור הנהג, כל אחד אמור להיות בעל יכולת להחליט אילו אפליקציות הוא רוצה להוריד ולהתקין במערכות האינפוטיינמנט במכונית האישית שלו. זה יוצר צורך בחנות אפליקציות, אשר בתורה יוצרת צורך במפתחי צד שלישי. ברגע שאתה מכניס קבוצה גדולה יותר של ׳שחקנים׳ חיצוניים, מתווספות יותר נקודות תורפה מבחינת אבטחה. אמנם היתרונות לצרכן ברורים, אך הסיכונים גוברים עבור יצרניות הרכב. האתגר השני קשור לאקו-סיסטם הרחב יותר, המחבר את המכונית עם מכשירים אישיים. גם אם מערכת מסויימת מאובטחת מכל מה שעלול לקרות עם המכונית, בעיות חדשות עלולות להתעורר ברגע שהמכונית תתחבר לטלפון חכם או אפילו לנקודת WiFi. האתגר השלישי הוא איך להמשיך ולהתעדכן כל הזמן. בעוד הסמארטפונים שלנו מתעדכנים כמעט כל לילה בצורה כזו או אחרת, יצרניות הרכב מבצעות בממוצע כארבעה עדכוני תוכנה בשנה בלבד. אם המצב הזה לא ישתפר, פירוש הדבר שפרצות ידועות לא יתוקנו במכוניות, מה שיאפשר להאקרים לנצל את המצב.״
בכל הנוגע לאבטחת מכוניות מקושרות, מה מפריע לכם להירדם בלילה?
טופור כהן: ״ברמת התעשייה, אנחנו ככל הנראה סובלים מקצת נדודי שינה במחשבה על הגנת סייבר ברכב, אבל במקביל זה מייצר הזדמנות לעבוד עם יצרניות הרכב להגן על מכוניותיהם. העובדה ש- HARMAN היא גם ספקית מובילה של מערכות אינפוטיינמנט מובנות ובהתחשב שבעובדה שהשוק נוטה לאימוץ מערכות אינפוטיינמנט מבוססות אנדרואיד יש לנו כאן הזדמנות ייחודית להתמודד עם מניעת התקפות, התראות פגיעות והפחתת נקודות תורפה. מערכות מבוססות אנדרואיד נפרסות כיום באופן נרחב, וכאשר מספר יצרני רכב מריצים את אותה מערכת הפעלה, הסיכוי שמישהו ימצא חולשה לנצל – גבוה יותר. כאשר מערכת הפעלה היא קוד פתוח, האקרים פוטנציאליים יכולים למצוא בקלות רבה יותר נקודות תורפה״.
נראה שיש באחרונה התמקדות גוברת ברגולציה, תחילה עם תקני ISO / SAE 21434 ועכשיו עם UNECE WP.29. איזו השפעה יש ליוזמות רגולטוריות אלה על היצרנים?
ברמן: ״עד כה, יצרניות הרכב לא היו צריכות להתרכז כל כך באבטחה… התקנות החדשות הללו, במיוחד הרגולציה של WP.29 שנכנסת לתוקף במדינות האיחוד האירופאי, כמו גם ביפן ודרום-קוריאה,מעלות את הרף לרמת האבטחה, וזה דבר טוב. בלעדיהם, יצרניות הרכב יכולות להיות פגיעות יותר להתקפות סייבר. עם זאת, התקנות עדיין מספקות גמישות רבה גם ליצרניות הרכב. לדוגמא, ישנן הנחיות הקוראות להערכת סיכונים רציפה, אך על יצרני הרכב לשקול האם הם מעריכים את הסיכונים על בסיס שבועי, חודשי או שנתי. כמובן שב- HARMAN אנו ממליצים לבצע אותה בתדירות גבוהה ככל האפשר. כמו שיש ליצרניות הרכב מדיניות ונהלים במקרה של החזרות למוסך, או אירועים אחרים, אותן הנחיות תפעוליות צריכות להיות במקום במקרה של מתקפת אבטחה ברשת״.
מה עוד צריכים לדעת היצרנים על הגנת סייבר ברכב?
טופור כהן: ״אצלנו לדוגמה, אנו מספקים הגנת סייבר משלב התכנון הראשוני ולאורך כל מחזור חיי הרכב. גילינו שזו הגישה הטובה ביותר, במקום לנסות להוסיף פתרונות אבטחה כ'מחשבה שאחרי׳. הצוות שלנו מסייע ליצרניות הרכב לאמץ חדשנות דיגיטלית ופתרונות טכנולוגיים חדשים תוך ניהול סיכונים מבלי להפריע לצמיחה. אנו מציעים להם כיום חבילת מוצרים וטכנולוגיות גמישות, מרחיקות לכת ומתוחכמות, שמציעה פיתרון הגנת סייבר מדרגי מקצה לקצה שמגן ומפקח על המכוניות ומקטין את הפגיעות האפשריות – היום ובעתיד ״.