ככל שהרכב ממוחשב, הוא חשוף יותר לעברייני הסייבר

עמדות טעינה לרכבים חשמליים, מערכות מבוססות תוכנה והתנעה ללא מפתח: אלה איומי הסייבר על תעשיית הרכב | לפי דו”ח הסייבר השנתי בתעשיית האוטומוטיב העולמית שמפרסמת Upstream, זו הופכת ליעד חם להאקרים: מאות תקיפות שנותחו גילו כי 85% מהן בוצעו לגמרי מרחוק | ואיך מנצלים השחקנים את משבר השבבים ושרשרת האספקה?

פגיעת סייבר יכולה לגרום לפקקים, תאונות דרכים ושיבושים בערי העולם | פקק בצרפת. צילום: Frederic Legrand COMEO, שאטרסטוק

המעבר לרכב חשמלי הוא בשורה חשובה לסביבה ולאוויר שאנחנו נושמים, אבל הוא גם מציב אתגרים משמעותיים: עמדות הטעינה הופכות ליעד מועדף עבור עברייני הסייבר, וכך גם ריבוי המערכות מבוססות התוכנה ברכב.

על פי דו”ח הסייבר בתעשיית האוטומוטיב העולמית שמפרסמת Upstream, ב-2021 בוצעו יותר מ-240 תקיפות מתוחכמות בעזרת ידע וכלים מתקדמים. המחסור העולמי בשבבים והמשבר בשרשראות האספקה נזכרים בין הגורמים שתרמו להגברת התקיפות, כשהם מקלים על גורמים זדוניים בהכנסת ציוד מזויף לשוק. לצד זאת, גברו התקיפות נגד תשתיות אזרחיות מצד קבוצות האקרים הנתמכות על ידי מדינות.

נוסף על תחנות הטעינה לרכבים חשמליים, גם ציים ממשלתיים וכלים המשמשים בחקלאות היוו מוקדים לתקיפה. שיעור גבוה מכלל התקיפות ב-2021, למעלה מ-40%, כוון נגד שרתים. מאחורי 57% מהתקיפות עמדו האקרים בעלי “כובע שחור” – עברייני סייבר הפועלים למען רווח אישי. 36% מהפגיעויות הידועות (CVEs) החדשות בתעשייה מדורגות כעת “גבוה” במדד CVSS v.3.

על פי הדו”ח השנתי של Upstream, מחצית מגניבות הרכב ב-2021 מקושרות לטכנולוגיית הכניסה וההתנעה ללא מפתח. עוד עולה כי 85% מהתקיפות בוצעו לגמרי מרחוק. “ככל שכלי הרכב הופכים מחוברים יותר ומבוססי תוכנה ((software-defined vechicles, הצורך בגישה פיזית אליהם למטרת תקיפה הולך ומצטמצם”, מסביר יואב לוי, מייסד ומנכ”ל Upstream.

בניתוח של העשור החולף, על סמך יותר מ-900 אירועי אבטחת מידע בתעשייה: כ-40% מהמקרים נגעו לגניבת מידע או הפרת פרטיות, קרוב ל-30% כללו פריצה לרכב או גניבת רכב, כרבע – השתלטות מרחוק על מערכות ברכב, וכ-20% – שיבוש של עסקים ושירותים שונים בתעשייה. שאר המקרים היו הונאות, מניפולציה על מערכות, מעקב בלתי חוקי אחר מיקום והפרת תנאים.

Inner article

 

במבט קדימה, הדו”ח מציין מספר מגמות עיקריות:

השרתים והתשתיות של יצרניות הרכב וחלקי החילוף יהוו יעד מועדף לתקיפה, במטרה לשים יד על דאטה יקר ערך. התעשייה צפויה לראות עלייה במאמצי התקיפה של שחקני ה”כובעים השחורים”, שינסו ללא לאות לשפר את יכולתם להשיג גישה למידע.

היצרניות ימשיכו להשקיע בפיתוח כלי רכב מונחי תוכנה, שרוב המערכות והפונקציות בהם מופעלות בעיקר באמצעות תוכנות. המהלך הזה יעמיק אף יותר את אתגרי אבטחת המידע ויחייב יכולות בקרה וזיהוי משופרות.

תקיפות מצד “כובעים שחורים” למטרת רווח אישי יוסיפו להאפיל על אלו של ה”כובעים הלבנים”, הפועלים למטרות אתיות ולשם מחקר ובחינה של איכות ההגנה. זאת כאשר יותר מתמיד, לבעלי העניין בתעשייה יש מה להפסיד.

עמדות טעינה לכלי רכב חשמליים (EV) יהפכו ל”שדה קרב סייברי”, עם פוטנציאל ברור לגניבת אנרגיה ולהשגת גישה למידע פרטי באמצעות כבלי הטעינה.

דרישות הרגולציה יגדירו מחדש את הטיפול של תעשיית האוטומוטיב בדאטה. הן יחייבו את האקוסיסטם כולו לבחון את הדאטה בצורה מלאה יותר, ובכך יאפשרו ליצרניות ולספקיות Tier-1 ו-Tier-2 להבין טוב יותר את הביצועים, ההקשר ואיכות הדאטה באופן כללי.

 

מומלץ עבורך

כתיבת תגובה