הגנה על המכונית החשמלית והמוגדרת בתוכנה

"פוטין הוא ראש מודעות. תהילה לאוקראינה".

כך קראו מטענים פרוץ לרכב חשמלי, בין היתר, בתחנות טעינה נכים ליד מוסקבה לאחרונה. ועד כמה שזה מעלה חיוך על פניהם של רבים ברחבי העולם, הוא מדגיש נקודה שהועלתה על ידי כמה חוקרים ומפתחים שהתאספו בשבוע שעבר ב- escar 2022 (כנס המתמקד בהתפתחויות טכניות עמוקות באבטחת סייבר לרכב מדי שנה): פריצות לרכב נמצאות במגמת עלייה. למעשה, פר הדו"ח של Upstream Automotive, תדירות התקפות הסייבר עלתה ב-225% מ-2018 ל-2021 כאשר 85% בוצעו מרחוק ו-54.1% מהפריצות ב-2021 היו תוקפי "הכובע השחור" (המכונה זדוני).

בעיצומה של האזנה לדיווחים שונים בעולם האמיתי בכנס הזה, התגלו כמה דברים: יש גם חדשות טובות וגם חדשות רעות המבוססות על ההתמקדות הנדרשת מתמיד בתחום הקריטי הזה.

החדשות הרעות

במונחים הפשוטים ביותר שלה, החדשות הרעות הן שההתקדמות הטכנולוגית רק הופכת את הסבירות לאירועי היום הראשון. "רכבים חשמליים יוצרים יותר טכנולוגיה, מה שאומר שיש יותר איומים ומשטחי איומים", אמר ג'יי ג'ונסון, מחקר ראשי ממעבדות סנדיה הלאומיות. "יש כבר 46,500 מטענים זמינים נכון ל-2021, ועד 2030 הביקוש בשוק מצביע על כך שיהיו כ-600,000." ג'ונסון המשיך לשרטט את ארבעת ממשקי העניין העיקריים ותת-קבוצה ראשונית של נקודות תורפה שזוהו יחד עם המלצות, אך המסר היה ברור: צריכה להיות "קריאה לנשק" מתמשכת. זו, הוא מציע, הדרך היחידה להימנע מדברים כמו התקפות מניעת שירות (DoS) במוסקבה. "החוקרים ממשיכים לזהות נקודות תורפה חדשות", אומר ג'ונסון, "ואנחנו באמת צריכים גישה מקיפה של שיתוף מידע על חריגות, נקודות תורפה ואסטרטגיות תגובה כדי להימנע מהתקפות מתואמות ונרחבות על תשתיות".

מכוניות חשמליות ותחנות הטעינה הנלוות אליהן אינן הטכנולוגיות והאיומים החדשים היחידים. "הרכב המוגדר בתוכנה" הוא פלטפורמה ארכיטקטונית חדשה למחצה (*ככל הנראה הועסקה לפני 15 שנה על ידי ג'נרל מוטורסGM
ו-OnStar) שחלק מהיצרנים עומדים להילחם ב מיליארדי דולרים מתבזבזים על פיתוח מתמיד של כל רכב. המבנה הבסיסי כולל אירוח של חלק גדול מהמוח של הרכב מחוץ למטוס, מה שמאפשר שימוש חוזר וגמישות בתוכנה אך גם מציג איומים חדשים. לפי אותו דוח Upstream, 40% מההתקפות במהלך השנים האחרונות כוונו לשרתים עורפיים. "בואו לא נשלה את עצמנו", מזהיר חואן ווב, מנהל מנכ"ל מ- Kugler Maag Cie, "ישנם מקומות רבים ברחבי רשת הרכב שבהם עלולות להתרחש התקפות, החל מייצור ועד סוכנויות ועד שרתים מחוץ למטוס. בכל מקום שבו קיימת החוליה החלשה ביותר שהכי זול לחדור אליו עם ההשלכות הפיננסיות הגדולות ביותר, שם יתקפו ההאקרים".

שם, חלק ממה שנדון ב-escar היה החדשות הרעות-טובות (בהתאם לנקודת המבט שלך) של תקנת UNECE ייכנס לתוקף השבוע עבור כל סוגי הרכב החדשים: היצרנים חייבים להציג מערכת ניהול אבטחת סייבר (CSMS) ומערכת ניהול עדכוני תוכנה (SUMS) חזקה כדי שכלי רכב יאושרו למכירה באירופה, יפן ובסופו של דבר בקוריאה. "ההכנה לאישורים האלה היא מאמץ לא קטן", אומר תומס לידטקה, מומחה לאבטחת סייבר גם מ-Kugler Maag Cie.

החדשות הטובות

בראש ובראשונה, החדשות הטובות ביותר הן שחברות שמעו את זעקת הגיוס והחלו לפחות להטמיע את ההקפדה הדרושה כדי להילחם באויבי ה-Black Hat שהוזכרו לעיל. "בשנים 2020-2022, ראינו עלייה בתאגידים שרוצים לערוך ניתוח איום והערכת סיכונים או TARAR
א", קובע לידטקה. "כחלק מאותם ניתוחים, ההמלצה הייתה להתמקד בסוגי התקפות הנשלטות מרחוק מכיוון שהן מובילות לערכי סיכון גבוהים יותר".

ונראה כי כל הניתוח והקפדנות הללו משפיעים בהתחלה. לפי דו"ח שסיפקה סמנתה ("סם") איזבל ביומונט מ-IOActive, רק 12% מהחולשות שנמצאו בבדיקות החדירה שלהם ב-2022 נחשבו "השפעה קריטית" לעומת 25% ב-2016, ורק 1% היו "סבירות קריטית" לעומת 7% ב-2016. "אנחנו רואים שהאסטרטגיות הנוכחיות לשיקום סיכונים מתחילות להרוויח", קובע Beaumont. "התעשייה משתפרת בבנייה טובה יותר."

האם זה אומר שהתעשייה גמורה? בוודאי שלא. "כל זה הוא תהליך מתמשך של הקשחת העיצובים מפני התקפות סייבר מתפתחות", מציע ג'ונסון.

בינתיים, אני אחגוג את הבשורה האחרונה שליקטתי: ההאקרים הרוסים עסוקים בפריצת נכסים רוסיים ולא בפיד המדיה החברתית שלי.