מחצית 2022: מתגברות תקיפות הסייבר נגד רכבים מקושרים

לחשב מסלול מחדש: תקיפות הסייבר נגד כלי רכב מקושרים מתרבות ומשתכללות | בעוד תעשיית הרכב עוברת מהפכה, הדרך הטובה ביותר להתמודד עם איומי הסייבר היא להבין לעומק את מה שקורה בענף | דו"ח אפסטרים למחצית הראשונה של 2022 חושף שלושה איומים מרכזיים שבעלי העניין בתעשייה חייבים לשים אליהם לב ולהיערך לקראתם

מרכז שליטה ובקרת אירועי סייבר לרכבים - אפסטרים סקיוריטי | צילום ארכיון: ירין טרנוס

שנת 2022 תיזכר כקו פרשת מים בתעשיית הרכב: אימוץ הרכבים החשמליים הולך וגדל; הביקוש ממשיך לעלות על ההיצע; חומרי הגלם מתייקרים בשל הלחצים הכלכליים הגלובלים; המחסור בשבבים בעיצומו; שרשראות האספקה מתוחות עד לקצה; והשווקים נעים לעבר מיתון.

"צוות המחקר של Upstream מנתח בעקביות אירועי אבטחת מידע בתעשיית הרכב וה-Smart Mobility. זאת על מנת לספק ללקוחות ולקהילה כולה מידע חיוני בנושא, ולוודא שהטכנולוגיה שלנו נשארת תמיד צעד אחד לפני ההאקרים וכל מי שזומם לבצע הונאות", במילים אלו נפתחת הסקירה של 'אפסטרים' וצוות המחקר שלה שניתח למעלה ממאה אירועים שדווחו באופן פומבי. להלן נצטט מהסקירה בשינויי עריכה קלים.

בדו"ח אמצע השנה מוצגים שלושה סיכונים מרכזיים שלקוחות ובעלי עניין בתעשייה חייבים לקחת בחשבון – שלושתם התחדדו בעקבות עליית הקישוריות והגישה מבוססת התוכנה בכלי הרכב המודרניים:

  1. מספרן ההולך וגדל של פגיעויות מדווחות ביחס לתחנות טעינה עלול להפוך לעקב אכילס של הרכב החשמלי.
  2. תקיפות סייבר נגד כלי רכב מקושרים נשענות יותר ויותר על ממשקי API למערכות קריטיות ואפליקציות מגוונות.
  3. תנאי הכלכלה הנוכחיים, יחד עם תפוצת הידע והנגישות לטכניקות תקיפה, מפתים גורמים זדוניים לפעול. התקיפות הגוברות נגד כלי רכב מסחריים וציוד חקלאות מתקדם מציבות איום חמור לשרשראות האספקה העולמיות וליציבות הגיאופוליטית.

בעוד שלטרנדים מסוימים באבטחת מידע נדרש זמן כדי להתפתח, ברשת העמוקה והאפלה הם עוברים "דמוקרטיזציה" מהירה ומסוכנת לכל מי שלא ערוך לקראתם. כדי להתמודד עם תקיפות עתידיות ולהפחית את הסיכון למינימום, חיוני להבין כיצד האקרים וחוקרים מנצלים את הפגיעויות, ומה ניתן לעשות כדי לאבטח את כלי הרכב ואת האפליקציות השונות.

דוח אפסטרים – מחצית ראשונה, 2022
  1. פרצות האבטחה בתחנות הטעינה עלולות להיות עקב אכילס של הענף

עם עליית הרכבים החשמליים גוברת גם הדאגה ביחס לאמינות נקודות הטעינה ואבטחת המידע בהן. תשתית טעינה זמינה, אמינה ובטוחה היא קריטית כדי לספק חוויית משתמש יציבה ולהבטיח את האימוץ הנרחב של הרכב החשמלי.

בזמן שפרוטוקולי התקשורת של טעינת הרכב החשמלי מתפתחים, דאטה עם ערך רב – כולל מידע אישי רגיש ופרטי אמצעי תשלום – זורם בשני הכיוונים דרך חיבורים פיזיים ואלחוטיים. כדי לעודד את המעבר לרכב חשמלי ולהסיר חסמים בתעשייה, היצרניות נשענות על תשתית טעינה רב שכבתית, כך שניתן יהיה להשתמש במטענים זולים ופשוטים. אלא שענף הטעינה החשמלית נמצא רק בתחילת הדרך במה שנוגע להטמעת פלטפורמות אבטחת מידע מתקדמות. עד כה, הוא לא נדרש לציית לרגולציה ולסטנדרטים דוגמת WP.29 R155 של UNECE ותקן SAE 21434 של ISO.

ה"בהלה לזהב" של הטעינה החשמלית הולידה כשלי בטיחות חמורים בתשתיות הטעינה. בכך היא חשפה את משתמשי הרכבים להונאות ולתקיפות כופר. היא הפכה את המטענים לפגיעים בפני מניפולציות, בין אם באופן פיזי ובין אם מרחוק, שעלולות להאט את פעילותם או להשבית אותם כליל. יצרניות של רכבים חשמליים ובעלי עניין בתשתית הטעינה החשמלית נאלצים להתמודד עם סיכונים נוספים במספר וקטורי תקיפה:   

  • מרשת הטעינה לציי רכבים (G2F) – תחנות טעינה המשמשות לתקיפה של מספר כלי רכב
  • מרשת הטעינה לרכב (G2V) – תקיפות נגד רשתות טעינה עלולה לשבש את היכולת להטעין כלי רכב חשמליים בהיקף נרחב
  • מהרכב לרשתות טעינה (V2CN) – הונאת טעינה באמצעות רכב מתחזה.

הנה מספר פגיעויות רלוונטיות שהגיעו לכותרות במחצית הראשונה של 2022:

  • ינואר: זוהו שבע פגיעויות במספר תחנות טעינה. הן אפשרו לתוקפים מרחוק להתחזות לאדמין עם הרשאה לבצע פעולות. 
  • פברואר: מטענים חשמליים ברוסיה הותקפו ושותקו בידי ספקי רכיבי טעינה מאוקראינה, זאת כחלק ממלחמת סייבר בין המדינות. 
  • אפריל: אותרה טכניקה חדשה לתקיפת תחנות טעינה משולבות (CCS), עם פוטנציאל לשבש את היכולת להטעין כלי רכב חשמליים בהיקף נרחב.
  • אפריל: באִי וייט שלחופי בריטניה נפרצה תחנת טעינה והוצג בה תוכן בלתי הולם. חלק מבעלי הרכבים החשמליים לא הצליחו להטעין את הרכבים בעקבות חיוויי מתח גבוה שגויים.
  • מאי: זוהתה עלייה בתקיפות נגד תחנות טעינה, בכלל זה תקיפות כופר נגד מטענים ומשתמשי רכבים.
  • מאי: זוהתה עלייה בתקיפות של האקרים עם "כובעים שחורים" נגד תחנות טעינה במטרה לגרוף רווח כספי בדרך לא חוקית. אלו האפילו על תקיפות ה"כובעים הלבנים" הפועלים בשירות בעלי העניין בענף.

התקיפות נגד תחנות הטעינה חושפות אתגר שורשי יותר באקוסיסטם: המרוץ להיות הראשון בשוק פירושו, לא פעם, לעקוף פרקטיקות מקובלות של אבטחת מידע. התקיפות נעשות יותר ויותר מסוכנות בזמן שמספר הרכבים החשמליים גדל במהירות. אימוץ רכבים חשמליים על ידי לקוחות קצה, כמו גם חשמול של ציי רכבים מסחריים, עלולים להיות מושפעים לרעה באופן נרחב מהסיכונים הללו.  

הצלחת הרכב החשמלי תלויה ברשת אמינה, בטוחה ורציפה של תחנות טעינה. כדי שלקוחות יוכלו לבטוח בתשתית הטעינה החשמלית המשמשת אותם, וכדי שכלי הרכב יהיו מוגנים בכל עת, על היצרניות, רשתות הטעינה וכל בעלי העניין בתעשייה לאכוף פרדיגמת אבטחת מידע חדשה, ויכולת לפעול במשותף. 

  1. תקיפות סייבר נגד כלי רכב מקושרים נשענות יותר ויותר על ממשקי API

ממשקי API מציעים דרך פשוטה ויעילה להרחבת הפונקציונליות ולשיפור החוויה ברכב המקושר. בכך הם מאיצים את תהליך המסחור שחווים בעלי העניין בתעשייה, עם הזדמנות לצמיחה מהירה בהכנסות של יצרניות הרכבים, הספקיות השונות והשותפים הטכנולוגיים.

ממשק API הוא אמצעי אפקטיבי בזירוז Time-to-market של יכולות חדשות ובשילוב דאטה ושירותים ממגוון מערכות. הממשקים מספקים גישה למידע גמיש, משפרים את החוויה הדיגיטלית ופותחים פתח לזרם חדש של הכנסות. אבל יותר מזה: אפליקציות של יצרניות הרכבים וספקי השירותים לרכב החכם מתממשקות כיום ב-API למערכות הפנימיות של הרכב עבור הפונקציונליות הבסיסית ביותר שלהן. בעזרת הממשקים ניתן גם להפעיל פיצ'רים ברכב ושירותים במינוי, כגון נעילה מרחוק, התנעה מרחוק ומערכות בידור.

לאור כל זאת, הגנה על ממשקי API מפני גורמים זדוניים, התרים אחר גישה למערכות קריטיות ולמידע רגיש, היא חיונית. הממשקים מגלמים את אחד האיומים הגדולים ביותר על הרכב המקושר: הם יכולים לגרום לפעולות שונות ברכב ולאפשר השתלטות מרחוק עליו ללא צורך בגישה פיזית או בהימצאות בקרבתו.

הנה כמה רגישויות מבוססות API בתעשיית הרכב שהגיעו לכותרות במחצית הראשונה של השנה:

  • ינואר: האקר "כובע לבן" טען שחשף פגם בפרוטוקולים מוצפנים של יצרנית רכב חשמלי גדולה, אשר אפשר לו להשיג בקלות מפתחות לצורך פתיחת דלתות וחלונות ברכבים, התנעה שלהם והשבתה של מערכות ההגנה.  
  • ינואר: ברכב של אותה יצרנית אותרה פגיעות נוספת, שאפשרה לתוקפים לפתוח דלתות רכבים, להתניע ללא מפתח ולהתערב בפעולות של הרכב תוך כדי הנסיעה. זאת תוך שימוש בגישה לשירות Grafana כדי להשיג token של קריאות ה-API. 
  • אפריל: האקר ניסה להתחבר למספר כלי רכב בו זמנית באמצעות אפליקציית סמארטפון המאושרת על ידי היצרן, וזאת ללא ידע כלשהו על זהות הבעלים.  
  • מאי: בארצות-הברית דיווחו מספר בעלי רכבים חשמליים כי הצליחו להתחבר דרך אפליקציית המובייל לרכבים החדשים שהזמינו עוד בטרם סופקו להם בפועל. 

למרות אמצעי ההגנה המתקדמים שהתקינו יצרניות הרכב, מספר התקיפות דרך ממשקי API עלה משמעותית. פתרונות מבוססי IT מתקשים להתמודד עם ההיקף, בעיקר בשל הפער בהבנת ההקשר והאופן שבו כלי הרכב מתנהגים ופועלים.

אסטרטגיית אבטחת המידע של ממשקי ה-API חייבת לעבור חשיבה מחדש. זאת כדי למקסם את הערך שהממשקים מסוגלים לתת, ובמקביל להימנע מסיכוני האבטחה והפרטיות הכרוכים בחשיפה של מערכות חיוניות. פתרונות לאבטחת APIs, המיועדים באופן ספציפי לאפליקציות ברכב, חייבים לספק את כל המנעד של אבטחת המידע, וכן לדאוג שהמידע יופיע עם הקונטקסט הרלוונטי. רק כך ניתן יהיה להבין כיצד ממשקי ה-API משמשים אותנו כראוי – ומתי הם צריכים לעורר חשד.

  1. מצב הכלכלה ואתגרי שרשראות האספקה מגבירים את התיאבון לתקוף

מציוד חקלאי ועד ציים מסחריים, רשתות האספקה המודרניות נשענות במידה רבה על כלי רכב מקושרים. עד לאחרונה שרר קונצנזוס ולפיו רשתות האספקה העולמיות הן עמידות, ומשבר שייגרם עקב טעות אנוש או תקיפת כופר יישאר מקומי עם השפעה מינורית במישור הגלובלי. ואולם, תנאי המאקרו-כלכלה הנוכחיים, יחד עם המודעות הגוברת מצד היריב לרווחים הפיננסיים שאפשר לגרוף, מעוררים דאגה באשר לאיום תקיפות הסייבר נגד ציים חקלאיים ומסחריים, או שרשראות אספקה במובן הרחב יותר.

לאחרונה היה העולם עד להשפעת השיתוק של ציים מסחריים:   

  • בחודש מרץ נאלצה יצרנית משאיות גרמנית לסגור שני מפעלים באירופה ולהוריד את קצב הייצור בשלושה מפעלים אחרים עקב מחסור ברכיבי חיווט מאוקראינה. 
  • בפברואר השנה, בעקבות מתקפת סייבר, נאלצה יצרנית רכב יפנית לסגור 14 מתקני ייצור.
  • המחסור בשבבים משפיע אף הוא על האקוסיסטם כולו, כשהוא מאט מכירות של מכוניות חדשות ופוגע ביכולת לענות על הביקוש הגובר.
  • דוגמה נוספת אירעה במרץ 2021, כשאחת המכליות הגדולות בעולם חסמה את התנועה בתעלת סואץ למשך ימים ספורים ושיבשה שרשראות אספקה גלובליות לשבועות ארוכים.   

אומנם, לא כל האירועים הללו נגרמו כתוצאה מתקיפות סייבר, אך המסקנה ברורה: שרשראות האספקה העולמיות רגישות בהרבה מכפי שהוערך קודם לכן.

אוור גיוון, ספינת המשא שחסמה את תעלת סואץ | צילום: פייר מרקוזה, מכיל נתוני קופרניקוס סנטינל ששונו 2021

בשנה שעברה, ניסיונות של חוואים לתקן בעצמם ציוד חקלאי פתח דלת לחולשות נוספות בשרשראות האספקה: האקרים השיגו גישה לדאטה של כל מי שקנה רכב משתי יצרניות, לאחר ששכנעו אותם, שלא בידיעתם, להתקין נוזקה בכלי הרכב הפגומים. בהמשך התברר כי הדאטה שנאסף על ידי ההאקרים באמצעות הנוזקה שותף ב-Dark web.

כלי רכב מקושרים – משאיות, מערכות חקלאיות ורכבי שירות – ממלאים תפקיד מרכזי בשני צידי שרשראות האספקה העולמיות. סיכוני סייבר מציבים איום חמור, כזה שעלול לשתק את הכלכלה העולמית ולהסב נזק כלכלי אדיר. במיוחד עכשיו, כשהמערכות הפיננסיות סובלות מאינפלציה ומיתון ושרשראות האספקה מתוחות ממילא בשל המגפה והמלחמה באוקראינה.

בעוד ציים מסחריים ממשיכים בחשמול כלי הרכב, צוות האנליסטים של Upstream נמצא בכוננות גבוהה מחשש לתקיפות מניפולטיביות נגד שרשראות אספקה. הביטחון של שרשראות האספקה תלוי במערך אבטחת מידע שמסוגל לשמור על משאיות ורכבי שירות מקושרים מפני מתקפות סייבר. 

כתיבת תגובה