X

צה"ל אסף את רכבי הקצינים - אבל הסכנה עדיין כאן

כלי רכב סיניים נאספו לאחרונה מחשש לדליפת מידע רגיש • ציי הרכב מתמקדים בהגנות רשתיות ולא מבינים: לעיתים האיום מגיע בכלל מהמוצר עצמו • על המדינה לנקוט גישה פרו-אקטיבית של אכיפה כי זה עלול לפגוע בנו אנושות

רועי פרידמן
, עודכן
0השמעה
ברכבים סיניים מסוימים קיימות מערכות הכוללות מצלמות, מיקרופונים וחיישנים, צילום: יח"צ

השבוע פורסם לראשונה ב"ישראל היום" כי צה"ל החל לאסוף מהקצינים כלי רכב מתוצרת סין, זאת לאחר שמערכות הביטחון קבעו כי קיים חשש ממשי לדליפת מידע רגיש באמצעות מערכות הרכב.

מכוניות, כמו מוצרים רבים אחרים, הופכים כיום ליותר ויותר מחוברים לטכנולוגיה, עתירי תוכנה ובינה מלאכותית. בפועל, זה אומר שרכב הופך למחשב על גלגלים עם חיישנים שמסוגלים לאסוף מידע, לנתח את הסביבה ולייצר תובנות אינסופיות על הנוסעים משטף המידע שעובר לחיישנים ואז לענן.

מדובר במידע רגיש מאוד, שיכול להכיל התנהגות יומיומית של נוסעים, דרך איסוף מידע על אתרים רגישים ומיפוי שלהם ועד למידע פיננסי רגיש כאשר הנוסע מבצע אינטרקציות על מנת לקבל שירותים מקוונים.

מדידת קרינה בלתי מייננת ברכב חשמלי (ארכיון) | סייפפלידס

העולם עדיין לא שם

ההסתכלות הגורפת על מוצרים עתירי תוכנה בידי היצרנים עדיין לא הבשילה לכדי אבטחת סייבר אמיתית ומלאה למוצר משלב התכנון ועד לשלב סיום חיי המוצר. בנוסף, ההיבט התפעולי גם הוא לוקה בחסר ומרבית מפעילי ציי הרכב מתמקדים בהגנות רשתיות ללא הבנה כוללת של מרחב האיומים המגיע מהמוצר עצמו.

עולם ה-IT (טכנולוגיית מידע) עושה כבר שנים שימוש בכלים מתקדמים לניהול והגנה מפני חולשות והתקפות סייבר מאז מהפיכת האינטרנט. עולם המוצר עדיין לא שם - וזה כולל בתוכו גם את עולם הרכב. המחשבה שההגנה הרשתית תכסה את מרחב החולשות והאיומים על המוצר עצמו הכולל רכבים מודרניים היא שגוייה מיסודה. לרכב יש ארכיטקטורה משלו, פרוטוקולי תקשורת, חומרה ייחודית ועוד מאפייני שלא מאפשרים לפתרונות IT לכסות את מרחב האיומים משלב הייצור של הרכב ועד לירידתו מהכביש.

לרכב יש מאפיינים שלא מאפשרים לפתרונות IT לכסות את מרחב האיומים (אילוסטרציה), צילום: gettyimages

הדבר המדאיג הוא שהנזק שיכול להיווצר גם ברמה הכלכלית לנוסעים, למפעילי ציי הרכב, ליצרנים הוא עצום גם אם שמים בצד את העובדה שרכב הוא מכונה שיכולה להרוג ולפגוע בביטחון של מדינה.

צעד חריג לארה"ב

הרגולציה העולמית מניעה את הגלגלים וזיהתה כבר את הסכנות הטמונות באי עמידה באבטחת סייבר של מוצרים, ביניהם רכבים. יש טרנד עולמי שכולל רגולציה אירופאית (R155 and R156) שנועדו להתמודד עם אבטחת סייבר של רכבים מחוברים ורגולציה זו התרחבה למדינות רבות מעבר לאירופה.

בתוך כך, מחלקת המסחר הממשלתית בארצות הברית יצאה עם הנחייה גורפת לכל מוצר או רכב מיובא לארה"ב שנועד לוודא שאיננו מכיל תוכנה שמקורה במדינות המסכנות את ביטחונה הלאומי של ארה"ב כגון סין ורוסיה.

מדובר בצעד חריג לארה"ב, שנוהגת בדרך כלל ברגולציה עצמית של יצרנים ויבואנים ולא אוכפת דרישות כפי שנהוג באירופה ומדינות אחרות. דבר המראה את חשיבות הדבר אצל גורמי הממשל בארצות הברית. הרגולציה הקשורה למוצרים איננה עוצרת ברכבים והיום ישנם דרישות בתוקף כמעט על כל מוצר מחובר למשל מה Cyber Resilience Act האירופאי.

מדובר בצעד חריג לארה"ב, שנוהגת בדרך כלל ברגולציה עצמית. דגל המדינה (אילוסטרציה), צילום: EPA

ישראל צריכה לאמץ גישה פרו-אקטיבית

בפועל, טוב שמדינת ישראל תאמץ גישה פרו-אקטיבית בכל מה שנוגע למוצרים עתירי תוכנה ובינה מלאכותית - בין אם זה הרכב שחונה במחנה הצה"לי, פס ייצור מחובר שאחראי על אספקה וייצור של מוצרים רגישים או תשתית אנרגיה הקריטית לחיים של כולנו.

לשם כך, נדרשים אימוץ ואכיפה של רגולציות מוצר משלב הייצור ועד האופרציה של המוצר, זאת בכדי לוודא שאינסוף החולשות שמאפיינות מוצרי עתירי תוכנה ו-AI מקבלות משמעות מיוחדת במקרה של מוצרים כמו רכבים מחוברים, ובעיקר - לא יהפכו לפגיעה אנושה במשתמשים, בחברות ובביטחון המדינה.

הכותב הוא מנכ"ל C2A Security

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

רועי פרידמן

AIארה"בבינה מלאכותיתסייברסיןקציניםרגולציהרכב חשמלי

כדאי להכיר