נוהגים ברכב חשמלי? אלו שלושת איומי הסייבר המרכזיים שצריכים להטריד אתכם
תחנות טעינה, ממשקי API ואתגרי שרשראות האספקה - אלו היבטי הסייבר העיקריים בשוק הרכב החשמלי לפי חברת Upstream
עמי רוחקס דומבה
| 30/08/2022
bigstock
כלי הרכב שלנו מקושרים מאי פעם ומבוססי תוכנה יותר מתמיד. לצד היתרונות הברורים בתפעול, בנוחות ובצמצום הנזק הסביבתי, המעבר המסיבי להנעה חשמלית טומן בחובו גם לא מעט איומים שהיצרניות, ספקיות הציוד והלקוחות חייבים לתת עליהם את הדעת.
מתחילת השנה ניתחה Upstream למעלה ממאה אירועי סייבר. הדו"ח החצי שנתי שלה מעלה שלושה איומים מרכזיים.
תחנות טעינה
פרצות האבטחה בהן עלולות להפוך לעקב אכילס של הענף כולו. תשתית טעינה זמינה, אמינה ובטוחה היא חיונית לחוויית משתמש יציבה ולהמשך האימוץ של הרכב החשמלי. אלא בזמן שפרוטוקולי התקשורת רק מתגבשים, הרגולציה עודנה רפה ומטענים זולים ופשוטים נמכרים ללא כל תקינה מחייבת - מידע פרטי רב ערך, כולל אמצעי תשלום, זורם בשני הכיוונים באין מפריע.
ה"בהלה לזהב" של הטעינה החשמלית הולידה כשלי בטיחות חמורים וחשפה את המשתמשים להונאות ותקיפות כופר. היא הפכה את המטענים לפגיעים בפני מניפולציות, אם באופן פיזי ואם מרחוק, שעלולות להאט את פעילותם או להשבית אותם כליל. האיום נע במספר וקטורי תקיפה: מרשת הטעינה לציי רכבים (G2F), מרשת הטעינה לרכב (G2V) ומהרכב לרשתות טעינה (V2CN).
במחצית הראשונה של 2022 זוהו ודווחו פגיעויות רבות בתחנות טעינה, שאפשרו לתוקפים להתחזות לאדמין ולבצע פעולות מרחוק. ברוסיה הותקפו ושותקו מטענים בידי ספקי רכיבים מאוקראינה. בבריטניה נפרצה תחנת טעינה והוצג בה תוכן בלתי הולם, כשבעלי רכבים לא מצליחים להטעין אותם בעקבות חיוויי מתח גבוה שגויים. כן זוהו תקיפות כופר נגד מטענים ומשתמשי רכבים.
המרוץ להיות הראשון בשוק כלל עקיפת פרקטיקות מקובלות של אבטחת מידע. כדי שלקוחות יוכלו לבטוח בתשתית הטעינה, ועל מנת שכלי הרכב יהיו מוגנים בכל עת, חיוני לאכוף פרדיגמת אבטחת מידע חדשה ולבסס יכולת לפעול במשותף.
ממשקי API
הממשקים מציעים דרך פשוטה ויעילה להרחבת הפונקציונליות ולשיפור החוויה. הם מקצרים Time-to-Market ומספקים הזדמנות לצמיחה מהירה בהכנסות. יותר ויותר אפליקציות מתממשקות למערכות הפנימיות של הרכב לשם הפונקציונליות הבסיסית ביותר שלהן.
בעזרת הממשקים ניתן להפעיל פיצ'רים ברכב ושירותים במינוי כגון נעילה מרחוק, התנעה מרחוק ומערכות בידור. אלא שגם ידיים זדוניות עלולות לנצלם כדי לגרום לפעולות שונות ברכב ולאפשר השתלטות מרחוק.
בראשית השנה חשף האקר עם "כובע לבן" פגם בפרוטוקולים מוצפנים של יצרנית רכב חשמלי גדולה, שאפשר לו להשיג בקלות מפתחות לצורך פתיחת דלתות וחלונות ברכבים, התנעה שלהם והשבתה של מערכות ההגנה.
באירוע אחר ניסה האקר להתחבר למספר כלי רכב בו-זמנית דרך אפליקציית סמארטפון המאושרת על ידי היצרן, וזאת ללא כל ידע על זהות הבעלים. בארצות-הברית הצליחו רוכשי רכבים להתחבר אליהם דרך האפליקציה עוד בטרם סופקו להם בפועל.
למרות אמצעי ההגנה המתקדמים שהתקינו היצרניות, מספר התקיפות בווקטור עלה משמעותית. פתרונות מבוססי IT מתקשים להתמודד עם ההיקף, בעיקר בשל הפער בהבנת ההקשר והאופן שבו כלי הרכב מתנהגים ופועלים.
אסטרטגיית אבטחת המידע של הממשקים חייבת לעבור חשיבה מחדש כדי למקסם את הערך שהם מסוגלים לתת ולהימנע מסיכוני האבטחה והפרטיות. הפתרונות חייבים לספק את כל מנעד האיומים ולדאוג שהמידע יופיע בקונטקסט הרלוונטי. רק כך ניתן יהיה להבין כיצד ממשקי ה-API משמשים כראוי - ומתי הם צריכים לעורר חשד.
אתגרי שרשראות האספקה
שרשראות האספקה המודרניות נשענות במידה רבה על כלי רכב מקושרים. ואם נדמה היה שמשבר שייגרם עקב תקיפת כופר או טעות אנוש יוגבל למישור המקומי, הרי שהכלכלה הנוכחית, לצד המודעות הגוברת לרווחים שניתן לגרוף מתקיפה, מעוררים דאגה בהקשר הגלובלי. זה לא דיון תיאורטי: העולם קיבל השנה מספר המחשות לשיתוק הפוטנציאלי.
מתקפת סייבר אילצה יצרנית רכב יפנית לסגור 14 מתקני ייצור. באירוע אחר, ניסיונות של חוואים לתקן בעצמם ציוד חקלאי פתח דלת לחולשות רבות בשרשראות האספקה. האקרים השיגו גישה לדאטה (ושיתפו אותו בדארק ווב) של כל מי שקנה רכב משתי יצרניות, לאחר ששכנעו את הרוכשים, שלא בידיעתם, להתקין נוזקה בכלי הרכב הפגומים.
שלא בהקשרי סייבר: יצרנית משאיות גרמנית סגרה שני מפעלים והורידה את קצב הייצור באחרים עקב מחסור ברכיבי חיווט מאוקראינה. משבר השבבים מאט מכירות של מכוניות חדשות ופוגע ביכולת לענות על הביקוש. ונזכיר כי ב-2021, מכלית גדולה חסמה את תעלת סואץ למספר ימים ושיבשה שרשראות אספקה גלובליות לשבועות.
שרשראות האספקה רגישות בהרבה מכפי שהוערך. סיכוני הסייבר מציבים איום חמור שעלול לשתק את הכלכלה ולהסב נזק כביר. במיוחד בעתות אינפלציה ומיתון, כששרשראות האספקה מתוחות ממילא עד לקצה בשל המגפה והמלחמה באירופה.
לכן, בעוד ציים מסחריים ממשיכים בחשמול כלי הרכב, צוות האנליסטים של Upstream נמצא בכוננות גבוהה מחשש לתקיפות מניפולטיביות נגד שרשראות האספקה. הביטחון שלהן ושל כולנו תלוי במערך אבטחת מידע שמסוגל לעמוד באתגר.
תחנות טעינה, ממשקי API ואתגרי שרשראות האספקה - אלו היבטי הסייבר העיקריים בשוק הרכב החשמלי לפי חברת Upstream
bigstock
כלי הרכב שלנו מקושרים מאי פעם ומבוססי תוכנה יותר מתמיד. לצד היתרונות הברורים בתפעול, בנוחות ובצמצום הנזק הסביבתי, המעבר המסיבי להנעה חשמלית טומן בחובו גם לא מעט איומים שהיצרניות, ספקיות הציוד והלקוחות חייבים לתת עליהם את הדעת.
מתחילת השנה ניתחה Upstream למעלה ממאה אירועי סייבר. הדו"ח החצי שנתי שלה מעלה שלושה איומים מרכזיים.
תחנות טעינה
פרצות האבטחה בהן עלולות להפוך לעקב אכילס של הענף כולו. תשתית טעינה זמינה, אמינה ובטוחה היא חיונית לחוויית משתמש יציבה ולהמשך האימוץ של הרכב החשמלי. אלא בזמן שפרוטוקולי התקשורת רק מתגבשים, הרגולציה עודנה רפה ומטענים זולים ופשוטים נמכרים ללא כל תקינה מחייבת - מידע פרטי רב ערך, כולל אמצעי תשלום, זורם בשני הכיוונים באין מפריע.
ה"בהלה לזהב" של הטעינה החשמלית הולידה כשלי בטיחות חמורים וחשפה את המשתמשים להונאות ותקיפות כופר. היא הפכה את המטענים לפגיעים בפני מניפולציות, אם באופן פיזי ואם מרחוק, שעלולות להאט את פעילותם או להשבית אותם כליל. האיום נע במספר וקטורי תקיפה: מרשת הטעינה לציי רכבים (G2F), מרשת הטעינה לרכב (G2V) ומהרכב לרשתות טעינה (V2CN).
במחצית הראשונה של 2022 זוהו ודווחו פגיעויות רבות בתחנות טעינה, שאפשרו לתוקפים להתחזות לאדמין ולבצע פעולות מרחוק. ברוסיה הותקפו ושותקו מטענים בידי ספקי רכיבים מאוקראינה. בבריטניה נפרצה תחנת טעינה והוצג בה תוכן בלתי הולם, כשבעלי רכבים לא מצליחים להטעין אותם בעקבות חיוויי מתח גבוה שגויים. כן זוהו תקיפות כופר נגד מטענים ומשתמשי רכבים.
המרוץ להיות הראשון בשוק כלל עקיפת פרקטיקות מקובלות של אבטחת מידע. כדי שלקוחות יוכלו לבטוח בתשתית הטעינה, ועל מנת שכלי הרכב יהיו מוגנים בכל עת, חיוני לאכוף פרדיגמת אבטחת מידע חדשה ולבסס יכולת לפעול במשותף.
ממשקי API
הממשקים מציעים דרך פשוטה ויעילה להרחבת הפונקציונליות ולשיפור החוויה. הם מקצרים Time-to-Market ומספקים הזדמנות לצמיחה מהירה בהכנסות. יותר ויותר אפליקציות מתממשקות למערכות הפנימיות של הרכב לשם הפונקציונליות הבסיסית ביותר שלהן.
בעזרת הממשקים ניתן להפעיל פיצ'רים ברכב ושירותים במינוי כגון נעילה מרחוק, התנעה מרחוק ומערכות בידור. אלא שגם ידיים זדוניות עלולות לנצלם כדי לגרום לפעולות שונות ברכב ולאפשר השתלטות מרחוק.
בראשית השנה חשף האקר עם "כובע לבן" פגם בפרוטוקולים מוצפנים של יצרנית רכב חשמלי גדולה, שאפשר לו להשיג בקלות מפתחות לצורך פתיחת דלתות וחלונות ברכבים, התנעה שלהם והשבתה של מערכות ההגנה.
באירוע אחר ניסה האקר להתחבר למספר כלי רכב בו-זמנית דרך אפליקציית סמארטפון המאושרת על ידי היצרן, וזאת ללא כל ידע על זהות הבעלים. בארצות-הברית הצליחו רוכשי רכבים להתחבר אליהם דרך האפליקציה עוד בטרם סופקו להם בפועל.
למרות אמצעי ההגנה המתקדמים שהתקינו היצרניות, מספר התקיפות בווקטור עלה משמעותית. פתרונות מבוססי IT מתקשים להתמודד עם ההיקף, בעיקר בשל הפער בהבנת ההקשר והאופן שבו כלי הרכב מתנהגים ופועלים.
אסטרטגיית אבטחת המידע של הממשקים חייבת לעבור חשיבה מחדש כדי למקסם את הערך שהם מסוגלים לתת ולהימנע מסיכוני האבטחה והפרטיות. הפתרונות חייבים לספק את כל מנעד האיומים ולדאוג שהמידע יופיע בקונטקסט הרלוונטי. רק כך ניתן יהיה להבין כיצד ממשקי ה-API משמשים כראוי - ומתי הם צריכים לעורר חשד.
אתגרי שרשראות האספקה
שרשראות האספקה המודרניות נשענות במידה רבה על כלי רכב מקושרים. ואם נדמה היה שמשבר שייגרם עקב תקיפת כופר או טעות אנוש יוגבל למישור המקומי, הרי שהכלכלה הנוכחית, לצד המודעות הגוברת לרווחים שניתן לגרוף מתקיפה, מעוררים דאגה בהקשר הגלובלי. זה לא דיון תיאורטי: העולם קיבל השנה מספר המחשות לשיתוק הפוטנציאלי.
מתקפת סייבר אילצה יצרנית רכב יפנית לסגור 14 מתקני ייצור. באירוע אחר, ניסיונות של חוואים לתקן בעצמם ציוד חקלאי פתח דלת לחולשות רבות בשרשראות האספקה. האקרים השיגו גישה לדאטה (ושיתפו אותו בדארק ווב) של כל מי שקנה רכב משתי יצרניות, לאחר ששכנעו את הרוכשים, שלא בידיעתם, להתקין נוזקה בכלי הרכב הפגומים.
שלא בהקשרי סייבר: יצרנית משאיות גרמנית סגרה שני מפעלים והורידה את קצב הייצור באחרים עקב מחסור ברכיבי חיווט מאוקראינה. משבר השבבים מאט מכירות של מכוניות חדשות ופוגע ביכולת לענות על הביקוש. ונזכיר כי ב-2021, מכלית גדולה חסמה את תעלת סואץ למספר ימים ושיבשה שרשראות אספקה גלובליות לשבועות.
שרשראות האספקה רגישות בהרבה מכפי שהוערך. סיכוני הסייבר מציבים איום חמור שעלול לשתק את הכלכלה ולהסב נזק כביר. במיוחד בעתות אינפלציה ומיתון, כששרשראות האספקה מתוחות ממילא עד לקצה בשל המגפה והמלחמה באירופה.
לכן, בעוד ציים מסחריים ממשיכים בחשמול כלי הרכב, צוות האנליסטים של Upstream נמצא בכוננות גבוהה מחשש לתקיפות מניפולטיביות נגד שרשראות האספקה. הביטחון שלהן ושל כולנו תלוי במערך אבטחת מידע שמסוגל לעמוד באתגר.
