בעקבות המתקפה באירופה: מה יקרה כאשר האקרים ישתלטו על מטוס?

בסוף השבוע האחרון קיבלה אירופה תזכורת חדה לאיום הסייבר המרחף מעלינו. שירותי הצ'ק־אין של ספק צד־שלישי מרכזי, מערכת MUSE של חברת Collins Aerospace, קרסו בעקבות מתקפה. נמלי תעופה מרכזיים - בהם הית’רו בלונדון, בריסל וברלין, נאלצו להוריד את השאלטר ולחזור עשורים אחורה, לימים בהם הצ'ק אין התבצע עם עט ונייר. אלפי הנוסעים עמדו בתורים אינסופיים ועשרות טיסות עוכבו או בוטלו.

האירוע מצטרף לשורה של מקרים דומים בעבר: ביולי 2024, עדכון תוכנה שגוי של חברת CrowdStrike גרם לקריסת מערכות הפעלה של מיקרוסופט ברחבי העולם, כולל בתחום התעופה. גם אז נאלצו שדות לעבור לצ’ק-אין ידני, ותוצאה אחת הייתה עיכובים המוניים. בספטמבר 2017, כשל במערכת Amadeus יצר תורי ענק בכמה יבשות. ביולי 2016, האקרים השתלטו על מסכי מידע בווייטנאם, גרמו לשיבושים בלוח הטיסות. בכל אלו חוזרת אותה התבנית: פגיעה בשירות ולא בכלי הטיס, עם כאוס לא מבוטל שחווה ציבור הנוסעים.

אז צפירת הרגעה, אין חשש לבטיחות הטיסה. בכל ההודעות הרשמיות הודגש כי לא הייתה חדירה לרשתות הפנימיות של המטוסים עצמם וכי מדובר בפגיעה נקודתית בשירותי הצ’ק-אין והכבודה. אבל מה יקרה בפעם הבאה? האם אנחנו עומדים בפני סכנה של "מטוסים נופלים מהשמיים" בגלל מתקפת סייבר? התשובה היא לא. ההסתברות שמתקפה כזו לבדה תחדור למערכות ההפעלה של המטוסים ותפגע ישירות בבטיחות הטיסה נמוכה מאוד. מערכות התעופה נבנו עם שכבות רבות של הפרדות, ואין גישה ישירה בין מערכת הצ’ק-אין למטוס.

בקיצור, מקסימום, תור ארוך ומזוודה שאבדה. לכאורה, מכה קלה בכנף, ובכל זאת, מי שיעצור כאן עלול לפספס את התמונה המטרידה יותר: המתקפה בשבת חשפה שוב עד כמה תלויים כולנו בנקודת כשל אחת, ועד כמה השבתה של שירות משותף עלולה לשתק מערכת גלובלית שלמה.

המודל הזה, של נקודת כשל מרכזית, הוא בדיוק מה שמושך תוקפים, בין אם מדובר בארגוני פשיעה שמחפשים כופר או בשחקנים מדינתיים שמטילים טרור ואימה על האויב. קל הרבה יותר לפגוע בספק שירות שמחזיק בידיו את המפתח לעשרות חברות תעופה מאשר להתמודד עם כל חברה בנפרד. ברגע שמזהים חוליה כזאת בשרשרת, היא הופכת ליעד מפתה שמאפשר להפעיל "כפתור השבתה" לא רק על שדה תעופה אחד - אלא על יבשת שלמה.

יתרה מזאת, מי שמצליח לשתק חוליה אחת עלול לנסות להתרחב למערכות שכנות. הצ’ק-אין יכול להתממשק למערכות תיוג כבודה, לאפליקציות צוות ואפילו לACARS-, מערכת התקשורת של המטוס. אם ההפרדות אינן קפדניות מספיק, קיימת סכנה אמיתית ל"זחילה" בין מערכות. במקרה כזה, כבר לא מדובר רק בתורים לנוסעים, אלא בסיכון מערכתי רחב יותר, שעלול להשפיע על קיבולת השדות ועל רמת השירות של ענף שלם.

עומסים חריגים ותורים אינסופיים גורמים ל"עייפות מערכתית": צוותים עובדים תחת לחץ, קיצורי דרך נלקחים, שעות עבודה מתארכות, עבודה ידנית, נייר ועט... והסיכוי לטעויות אנוש גדל

כאן מסתתר הסיכון האמיתי, לא לכלי הטיס עצמם אלא לסביבתם התפעולית. עומסים חריגים ותורים אינסופיים גורמים ל"עייפות מערכתית": צוותים עובדים תחת לחץ, קיצורי דרך נלקחים, שעות עבודה מתארכות, עבודה ידנית, נייר ועט... והסיכוי לטעויות אנוש גדל. כך הופכת מתקפה "תפעולית בלבד" למפגע שעשוי לכרסם בשולי הבטיחות ולערער את הרציפות המבצעית.

מנקודת מבט ישראלית, למונח "רציפות מבצעית" מתווספים מטענים של חשש בטחוני. עבור איראן וזרועותיה, תעופה אזרחית אינה רק שירות ציבורי אלא סמל ריבונות וכלכלה. מתקפת סייבר על תשתיות כאלה יכולה לייצר לא רק כאוס זמני אלא גם מסר אסטרטגי שישראל לא מוכנה ולא צריכה לספוג. בישראל, התעופה האזרחית מוגדרת כתשתית קריטית, תחת פיקוח מערך הסייבר הלאומי והרגולטור התעופתי. מסגרת זו מחייבת סטנדרטיזציה, בקרה ותרגולים מתמשכים שמטרתם להבטיח שגם בעת מתקפה יישמר הרצף התפעולי, והמעבר לעבודה ידנית יתבצע בצורה מבוקרת ומתואמת: שיתוף פעולה הדוק בין ספקים, חברות תעופה, שדות ומערכות סייבר לאומיות, לצד תרגול מתמיד של תרחישים מורכבים.

עבורנו בישראל, שנמצאת בחזית לוחמת הסייבר מול מדינות וארגונים עוינים, זה לא רק אירוע פנימי-אירופי, אלא תמרור אזהרה אישי. אם לא נשקיע עכשיו בהגנות, בבקרה ובתרגול, יום אחד נגלה שגם אצלנו מתקפה אחת עלולה לשתק מדינה שלמה.

הכותב הוא מנכ"ל חברת CYGHT ומומחה ללוחמת סייבר