באו לבקר במאורת הנמר: מיכאל דיק ורועי פרידמן, C2A Security

לפני ימים אחדים אירחתי במאורה את מנהלי חברת C2A Security – מיכאל דיק היזם ורועי פרידמן, מנכ"ל החברה. שמעתי מהם על העולם המרתק של הגנת הסייבר לרכב, בדגש על הרכב החשמלי שאנחנו צפויים לראות בכמויות שגדלות בקצב מהיר, בארץ ובעולם בכלל.

דיק, שייסד את C2A Security, היה ממייסדי חברת NDS הירושלמית, שפיתחה מערכת הצפנה לשידורי טלוויזיה ורשמה אקזיט ענק כשנמכרה לסיסקו ב-2012 תמורת 5 מיליארד דולר. "עוד בימי NDS התחלנו לחשוב על מכוניות מחוברות ואיך מגנים עליהן", הוא מספר. אבל החלק הזה פחות עניין את סיסקו, לכן אחרי הרכישה החליט להקים חברה חדשה, שתעסוק רק בתחום של הגנה על הרכב ממתקפות סייבר, ומאז חל בעולם הזה זינוק רציני.

לפני כשנה הצטרף לחברה פרידמן כמנכ"ל, כדי להפוך את הטכנולוגיה העמוקה שפיתחה C2A לביזנס אמיתי. עם הניסיון שצבר בהובלת מספר סטארט-אפים בתחום הסמארט מוביליטי, הוחלט שהחברה תתמקד בשוק הרכב החשמלי ובכל האקוסיסטם שלו, שנתון כיום לאיומי סייבר משמעותיים, לרבות: המכונית, תחנות הטעינה, רשת החשמל ופרוטוקול התקשורת ביניהן. מסתבר שההחלטה הייתה נכונה, כי מאז גדל הביקוש לפתרונות החברה פי 15, כולל מספר שותפויות אסטרטגיות שנחתמו עם יצרני רכב, וספקי Tier1 שלהם בארה"ב, באסיה ובאירופה.

"הרכבים החכמים כיום כולם בעלי חיבור לאינטרנט ומערכות ADAS עם דרגה כזו אחרת של נהיגה אוטונומית", מסביר פרידמן. "הרכב הפך למעשה למחשב על גלגלים. זו כבר לא מכונה שלוקחת אותנו מנקודה A ל-B אלא מכשיר דיגיטלי לכל דבר, המונע על ידי תוכנה של מאות מליוני שורות קוד. לכן, כשם שלא יעלה על הדעת להשתמש במחשב ללא חומת אש, אנטי וירוס והגנות סייבר רבות אחרות, כך לא ניתן להשתמש במכונית מחוברת וחשמלית בלי ההגנות האלה. לשם תעשיית הרכב מכוונת כיום, עם טרנספורמציה דיגיטלית שנמצאת בעיצומה", אומר פרידמן. אבל בתעשייה ותיקה כזו, שעדיין מודדת מנועים לפי כוחות סוס, השינוי הזה אינו פשוט, ואם נוסיף לזה את  המחסור ההולך וגובר באנשי סייבר ומהנדסי תוכנה, איומי הסייבר שרק גדלים, והרגולציה שנכנסה לתוקף לאחרונה, שדורשת מהתעשייה לעמוד בתקנות מחמירות של סייבר סקיוריטי, אין ספק שנדרשת כאן מהפכה תפיסתית ומתודולוגית, ובעיקר – אוטומציה.

כאן נכנסת לתמונה C2A Security , שמנסה לסייע לתעשיית הרכב להסתגל לעולם החדש הזה ולהפוך את הרכב למאובטח יותר, תוך שימוש באוטומציה שמביאה חיסכון בזמן, בכסף, ומאפשרת פריסה רחבה של רכבים חדשים ומאובטחים על הכביש.
"הרעיון הוא לקחת את כל התהליך של פיתוח התוכנה למכונית המחוברת והחשמלית, להפוך אותו ליעיל יותר ותחרותי יותר מבחינת זמן השמשה (deployment). מהפיתוח ועד לרגע שהמכונית כבר על הכביש, ואז, כמו בכל מוצר תוכנה – שוב למעגל הפיתוח, לעדכוני תוכנה, לתיקון חולשות אבטחה וחוזר חלילה. למעשה, מדובר כאן במעגל של DevSecOps, ממש כמו בעולמות ה-IT", מסביר פרידמן.

"כיום יש אצל כל יצרן רכב מספר קבוצות שעוסקות בסקיוריטי. אם קבוצה אחת שתפקידה זיהוי חולשות אבטחה מצאה חולשה, היא לא תדע איפה זה משפיע, באיזה מכוניות זה קיים, ועוד לא דברנו על כמה זמן יקח לעדכן את הרכב, ליצור מיטיגציה לחולשה, וכך הלאה. מדובר בתהליך שדורש כ-200 איש שאינם מסונכרנים זה עם זה, ובתהליך של כשישה חודשים עד לתיקון החולשה. בינתיים, בזמן הזה יש לך רכב על כביש תחת איום ממשי של מתקפה. הפלטפורמה שפיתחנו, בשם EVSec, מאפשרת לנהל את התוכנה של הרכב בסקייל עצום, ולתמוך בארגון גדול כמו יצרן רכב כולל כל הספקים סביבו, מפעילי תחנות הטעינה והרכבים עצמם באמצעות צוות חסכוני של 2-3 אנשי סייבר שמסתמכים על פלטפורמה אוטומטית בגישת DevSecOps".

אין סוף לסוגי המתקפות

"אם מסתכלים על סביבת הרכב חשמלי, יש כבר מיליוני תחנות טעינה ברחבי העולם" אומר דיק, "וזו רק ההתחלה. כך, לדוגמה, בחניונים תת-קרקעיים של קניונים. לא קשה לדמיין מה עלול לקרות אם גורם זדוני השתלט מרחוק על מכונית חשמלית שמחוברת לתחנת הטעינה מתחת לקניון, והחליט להטעין את הסוללה מעבר לקיבולת, עד לפיצוץ. ישנו התרחיש שכולנו מכירים, של תוקף שמשתלט באמצעות קוד זדוני על רכב אוטונומי וחוטף אותו כשבעליו יושב בפנים, או תוקף ששולח צי של רכבי רובוטקסי לאותה נקודה ויוצר פקק תנועה אדיר, אבל מלבד תרחישי קיצון אלה, שבהחלט אפשריים, ישנם סוגים רבים של מתקפות, הרבה יותר ריאליסטיות ועכשוויות, המבוססות על מניעים כלכליים.

"למשל, מתקפות כופר על ציים של רכב כבד. כבר קרו מתקפות כופר על רכבים כבדים במכרות, כאשר כל יום השבתה שלהם משבית את פעילות המכרה וגורם לנזק של מיליוני דולרים ליום. מידע בנוגע לתשלומים, גניבות זהויות וכד' – האפליקציות ברכב כוללות מידע על כסף ותשלומים של הצרכן, וברגע שהרכב מחובר המידע הזה זמין לתוקפים. הן דרך הרכב, הן דרך תחנת הטעינה".

לדבריו, חברות אירופיות בתחום החשמל ואנרגיית הרוח סבלו מהתקפות דרך תחנות טעינה מקושרות. ההתקפות התפרסו על פני מגוון תחומים כמו: עצירת זרם האלקטרונים, גניבת מידע ותשלומים, גניבת זהויות. כל אלה הביאו לשיבושים  בשירות וגרמו לתסכול של הצרכנים ולהפחתת ההכנסה הכוללת.

"ברור שלתעשיית הרכב יש עוד דרך ארוכה בתחום הסייבר עד שתגיע לרמה של תעשיית ה-IT" אבטחת סייבר בעולמות ה-IT הייתה השיח החם בעשור האחרון, כאשר בשנים האחרונות היא הפכה למעשה לשיחת מיינסטרים לכל דבר. עם זאת, בעולמות הרכב, הצפי הוא שהשיח יגבר בקצב מהיר בהרבה, כי רכב זה דבר שכולנו משתמשים בו והמהפכה הדיגיטלית כבר בעיצומה. "אפשר לומר שאנחנו כיום בעולם המוביליטי כמו דקה לפני מהפכת האינטרנט שהיתה ב-IT", מסכמים השניים.