שנת 2023 היא שנה של שינוי משמעותי לתעשיית הרכב, כאשר מצד אחד, התהליכים של פיתוח תוכנה למכונית המחוברת והחשמלית נמצאים כיום "על סטרואידים" לאור התחרות העזה. מצד שני, יצרני הרכב וספקיהם בכל שרשרת האספקה נדרשים לעמוד ברגולציות מחמירות, בין-לאומיות ואזוריות, בתחום אבטחת המידע, שנכנסות לתוקף בימים אלה. כל זאת, מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב החדשים.
"הרכבים החכמים כיום, הם כולם בעלי חיבור לאינטרנט ומערכות ADAS (מערכות עזר לנהג) עם דרגה כזו אחרת של נהיגה אוטונומית. הרכב הפך למעשה למחשב על גלגלים. זו כבר לא מכונה שלוקחת אותנו מנקודה A ל-B אלא מכשיר דיגיטלי לכל דבר, המונע על-ידי תוכנה של מיליארדי שורות קוד", מסביר רועי פרידמן, מנכ"ל חברת C2A Security הישראלית. "לכן, כשם שלא יעלה על הדעת לפתח תוכנה ללא סינרגיה בין צוותי הפיתוח, האופרציה ואבטחת המידע, כך לא ייתכן שתוכנות הניהול למערכות שונות ברכב יפותחו ללא כלי DevSecOps ייעודיים לתעשיית הרכב. לשם תעשיית הרכב מכוונת כיום, עם טרנספורמציה דיגיטלית שנמצאת בעיצומה.
"עם זאת, בתעשייה ותיקה כזו, שעדיין מודדת מנועים לפי כוחות סוס, השינוי הזה אינו פשוט", הוא מוסיף. "אם נוסיף לזה את המחסור ההולך וגובר באנשי סייבר ומהנדסי תוכנה, איומי הסייבר שרק גדלים, והרגולציה שנכנסה לתוקף לאחרונה, אין ספק שנדרשת כאן מהפכה תפיסתית ומתודולוגית, ובעיקר - אוטומציה".
חיסכון במשאבי זמן וכסף
חברת C2A Security נוסדה על-ידי היזם הישראלי מיכאל דיק, ממייסדי חברת NDS המיתולוגית, שפיתחה מערכת הצפנה לשידורי טלוויזיה ורשמה אקזיט ענק כשנמכרה לסיסקו לפני עשור בחמישה מיליארד דולר. "עוד בימי NDS התחלנו לחשוב על מכוניות מחוברות ואיך מגנים עליהן", הוא מספר. אבל החלק הזה פחות עניין את סיסקו, לכן אחרי הרכישה החליט להקים חברה חדשה שתעסוק רק בתחום של הגנה על הרכב ממתקפות סייבר, ומאז חל בעולם הזה זינוק רציני. "המשימה שלנו כיום, היא לסייע לתעשיית הרכב להסתגל לעולם החדש, תוך שימוש באוטומציה שמביאה חיסכון במשאבי זמן וכסף, ומאפשרת פריסה רחבה של רכבים חדשים ומאובטחים על הכביש".
לפני שנה הצטרף לחברה המנכ"ל רועי פרידמן, שכבר הוביל מספר סטארט-אפים בתחום ה-smart mobility, ויחד הם הביאו את הטכנולוגיה החדשנית של C2A למקום בו היא נותנת מענה מדויק למהפכת הרכב החשמלי והמחובר.
מוצר הדגל של C2A,EVSec Platform, הוא פלטפורמה אוטומטית המחליפה את צורת העבודה המיושנת, בה כל יצרן רכב מעסיק מספר קבוצות של אנשי אבטחת מידע, על כל האתגרים הנגזרים מכך: "אם קבוצה אחת שתפקידה זיהוי חולשות אבטחה מצאה חולשה, היא לא תדע היכן זה משפיע, באיזה מכוניות זה קיים, ועוד לא דברנו על כמה זמן ייקח לעדכן את הרכב, ליצור מיטיגציה לחולשה, וכך הלאה. מדובר בתהליך שדורש כ- 200 איש שאינם מסונכרנים זה עם זה, ובתהליך של כשישה חודשים עד לתיקון החולשה", מסביר רועי פרידמן.
פלטפורמת EVSec מאפשרת לנהל את התוכנה של הרכב בהיקף עצום, ולתמוך בארגון גדול כמו יצרן רכב על שלל ספקיו, לרבות מפעילי תחנות הטעינה והרכבים עצמם, באמצעות צוות חסכוני של שניים-שלושה אנשי סייבר, שמסתמכים על פלטפורמה אוטומטית, ובגישת DevSecOps שהוכיחה את עצמה גם בעולמות הסייבר ל-IT.
שותפויות אסטרטגיות עם שחקני ענק בתעשיית הרכב
בשנה האחרונה גדל הביקוש לפתרונות של C2A, כולל מספר שותפויות אסטרטגיות עליהן חתמה החברה עם יצרני רכב, וספקיות משנה בארה"ב, אסיה ואירופה. כך למשל, בתערוכת CES בתחילת 2023 הוכרז על שיתוף פעולה אסטרטגי עם ספקית הרכב העולמית Valeo במסגרתו תשתמש האחרונה ב-EVSec Platform של C2A. במסיבת העיתונאים של Valeo בלאס וגאס, הגדיר ג'ופרי בוקו, סגן נשיא בכיר ו-CTO של התאגיד הגלובלי, את C2A בתור: "העתיד של עולם אבטחת הסייבר של כלי הרכב".
בימים אלה, בחרה חברת NTT Data, ענקית בין-לאומית יפנית בתחום שירותי ה-IT, ב-C2A יחד עם חברת Marelliהאיטלקית, להובלת הפרויקט הראשון של מרכז עולמי החדש לבדיקות אבטחה לרכב שהשיקה NTT Data. המרכז יספק מבחני אבטחה למכוניות מחוברות, על מנת להגן על לקוחות החברה ביותר מ-50 מדינות שונות ברחבי העולם.
תשתית הטעינה לרכב חשמלי
הופעתם של כלי רכב חשמליים עומדת להפוך את עמדות הטעינה לחלק מן התשתית הקריטית הגלובלית, כולל עמדות המותקנות בשטחים ציבוריים ובחניונים תת-קרקעיים. ללא הגנת סייבר מתאימה, סביבת הרכב החשמלי, בדגש על תחנות הטעינה, יכולה להפוך למרחב מתקפה אין-סופי לתוקפי הסייבר. תחנות אלה עלולות לשמש כנקודות קצה לשאיבת מידע, הונאות פיננסיות ואף לתקיפה הגורמת נזק פיזי של ממש. למשל, כתוצאה מטעינת יתר בזדון. עמדת הטעינה עצמה היא רק המעטה החיצוני עבור תשתית מורכבת וסבוכה יותר. למרות שהיא מחוברת לרשת, הנקודה הפגיעה ביותר בה היא הקצה האחורי שלה, יחידת בקרה מרכזית (CCU) ההופכת למעשה את העמדה להתקן עם חיבור IoT.
רשימת הסיכונים הנוספים ארוכה מאוד, כאשר על קצה המזלג ניתן להזכיר את האפליקציות, שהופכות למרכיב נפוץ יותר ויותר בכלי רכב, שיכולות לקבל הרשאה לשימוש בנכסים ובחיישנים של הרכב; את מערכת ה-Infotainment, המשמשת כהתקן מקושר בפני עצמו;ואפליקציות מבוססות קוד Open Source.
יעד תקיפה חם נוסף הוא ציי הרכב המסחרי, שעוברים לרכבים מקושרים.. המוטיבציה לתקיפות רכב מסחרי, או ציי רכב שיתופי בתוכנת כופר, היא ברורה כיוון שכאן נמצא הכסף הגדול. פוטנציאל הנזק למתקפת סייבר משביתת מערכי שינוע סחורות הינו גדול מאד, הן כלכלית והן ברמה התחבורתית-מדינית, כאשר צירי תנועה מרכזיים וחיוניים עלולים להיות מושבתים לפרקי זמן ארוכים.
לתעשיית הרכב יש עוד דרך ארוכה בתחום הסייבר עד שתגיע לרמת הפעילות של תעשיית ה-IT המתמודדת עם אתגרים דומים, כבר מזה שנים רבות. עם זאת, ברור כי על קצב ההתקדמות להיות מהיר, במיוחד נוכח המציאות המשתנה והצורך במענה מקיף ואיכותי כאשר בקצה - לא פחות מהגנה על חיי אדם.
בשיתוף C2A Security
