סדרת הפריצות האחרונות למאגרי מידע של חברות ביטוח, אתרי אינטרנט דוגמת "אטרף", מכונים רפואיים, מסחר מקוון ועוד העלו לשיח ולמודעות את רמת המוגנות של הנתונים האישיים של מאות אלפי ישראלים. אולם עם כל חוסר הנעימות של פרטים אישיים המסתובבים ברשת, חדירה ללב התשתיות התחבורתיות של ישראל ואף לכלי הרכב עצמם, עשויה להביא לפגיעות בנפש.
מי שערות להשפעה הזו הן בין השאר חברות הביטוח השונות שרואות בסוג כזה של מתקפה סיכון ממשי גם בטווח הזמן הקרוב ויותר מכך בטווח הרחוק יותר שלא לומר העתידי בו מכוניות אוטונומיות ברמות כאלו ואחרות יהוו יעד "נחשק" לגורמים עוינים. אותן חברות חברו לקבוצת חוקרים מהאוניברסיטה העברית בירושלים לצורך פרויקט שהעריך את רמת הסיכון הנשקפת. ומהם, אם בכלל, הצעדים שיש לנקוט ברמת המדיניות על מנת לצמצם את החשיפה להם.
תוצר המחקר הינו דו"ח עליו חתומים עמיתי מחקר במרכז פדרמן לחקר משפט ומדיניות סייבר של האוניברסיטה העברית, ד"ר חיים ויסמונסקי וגדי פרל. כאשר הדו"ח המסכם לפרויקט נכתב על ידי עמיתת המחקר במרכז, עו"ד ורד זליכה והוצג בכנס תחבורה חכמה שנערך באוניברסיטה העברית.
כשהמדינה מעלימה עין
הדו"ח מפרק את הסיכון שנשקף מפריצת סייבר לתחבורה למספר מרכיבים, בתחום הרכב ותחום התשתית, ובעיקר מפנה קריאה למדינה לנקוט גישה אקטיבית להתמודדות. לא להתמקד ב"קו ההגנה האחרון" של הרכב עצמו, אלא גישה רחבה יותר שכוללת השפעה על תקני הגנת סייבר גלובאליים על מנת שאלו יוטמעו במכוניות עוד בשלבי הייצור שלהן. בהיבט המקומי יותר, ההמלצות נוגעות לטיפול בפרצות הסייבר במכוניות החדשות לאורך כל מחזור חייהן. כך למשל, אחת מאותן "דלתות אחוריות" שעשויות לאפשר לתוקפים להגיע לכלי הרכב הן מערכות המולטימדיה המקושרות שעושות שימוש בכרטיסי סים לתקשורת סלולרית, במקרים אחרים זה יכול להתבצע עם חיבור הטלפון הנייד ה"נגוע" של המשתמש לרכב באמצעות שקע הטעינה המשמש גם להזרמת נתונים.
לפיכך ממליץ המחקר לבצע לא רק בדיקה ל"חסינות" הרכב עם הגעתו, אלא גם לאורך שנות השימוש בו עם התקנת מערכות מולטימדיה או רכיבי תקשורת אחרים באמצעות מבחן הרישוי השנתי וכן לאחר אירועי סייבר בהיקפים גדולים.
העניין שיש לחברות הביטוח במקרים האלו ברור, שכן בראיה שלהם, סיכון כזה עשוי להשפיע על האופן בו הן מחשבות את רמת המוגנות של הרכב. כיום אין התייחסות בפוליסות הביטוח למקרים של נזק או גניבה כתוצאה מאירוע סייבר.
אפשרות נוספת שמציינת עו"ד זליכה, המשמשת גם כראשת תחום סייבר ובינה מלאכותית במשרד עורכי הדין ליפא מאיר ושות' היא שבהיעדר רצון או יכולת של המדינה להוות גורם במערכת ההגנה הזו, ניתן יהיה לבחון אפשרות שחברות הביטוח יהיו אלו שיעודדו את הלקוחות שלהם לשפר את מוגנות הרכב שלהם לאירועים כאלו באמצעות תמחור משתנה של פוליסת הביטוח בהתאם ויפעלו למעשה בתור "רגולטור" בעניין, בדומה למה שנעשה היום עם אביזרי בטיחות או רכיבי GPS המנטרים את אופי הנהיגה על מנת להעריך מסוכנות של נהגים בפוליסה. מהלך דומה כבר מבוצע היום בתחום הביטוחים לארגונים בהם חברות הביטוח משקפות במחיר את רמת מוגנות ומוכנות הגוף המבוטח לאירועי סייבר.
משרד התחבורה? דואג לחברות הציבוריות
במשרד התחבורה לא מתעלמים מהסיכון שמהווה תחום הסייבר לתחבורה, אלא שמבחינתו, המשימה היא ההגנה על הענף ופחות ברזולוציה של המכוניות הפרטיות. בינואר 2021, שולח אגף ביטחון, חירום וסייבר במשרד התחבורה למנכ"לי חברות התחבורה הציבורית רשימת דרישות אבטחה בתחום הסייבר, אלו נועדו במטרה לצמצם את הפערים ברמת המוכנות של הענף להתמודד עם איומי סייבר.
מי שיהיה אחראי על הוא מרכז ניטור לאומי לאיומי סייבר בתחום התחבורה. הגוף הזה שיופעל על ידי רשות שדות התעופה, שכבר בעלת ניסיון להתמודדות עם הגנת סייבר בתחומה באמצעות חמ"ל הסייבר בנתב"ג.
מתי כל זה קורה בפועל? במשרד התחבורה לא אומרים. מה שכן, כאשר במסמכים מופיע המשפט: "בימים אלה מקדם המשרד פתרון קונסטרוקטיבי במטרה לגבש תמונת מצב ענפית, שתסייע לצמצם את הפערים ברמת הגנת הסייבר", אנחנו נופתע מאוד אם זה יהיה בטווח הזמן הקרוב.
גברת כהן תנשמי לרווחה
למרות הרוח שעולה מהדו"ח, אפשר להירגע. נכון להיום, האיום במקרים של פריצת סייבר, חטיפה או נזק מכוון לרכב ככל שמדובר במשתמש הקצה הפרטי הוא קלוש ביותר, בתפיסה זו מחזיקות גם חברות הגנת הסייבר בתחום הרכב. ביחס להשקעה הנדרשת למטרת פריצה, ה"פרס" במקרה של משתמש פרטי הוא פשוט לא משתלם. מי שכן יכולות להיות מאוימות ולחשוש אלו חברות המחזיקות בציי רכב גדולים, דוגמת חברות השכרה שיגלו בוקר אחד כי אלפי או עשרות אלפי המשתמשים שלהם מנועי גישה למכוניות עד שלא תשלם כופר להאקרים. איום שני נשקף במקרה של פריצות לתשתיות תחבורה מדינתיות החל בשיבושים בפעילות התחבורה הציבורית, ועד פגיעה בתשתיות ממש כמו מערכי רמזורים, איתות רכבות, שיבוש פעילות רכבי חירום והצלה ועוד. אולם אל מול אלו כאמור מנסה המדינה להתגונן באמצעות אותו מרכז להגנת סייבר בתחבורה.
אבל בסופו של דבר החשש הוא לא מפריצת סייבר למכונית הפרטית שלנו, אלא מהברירות הבעייתיות של הוספת עוד דרישה חדשה של המדינה לבדיקה במבחן הרישוי השנתי (ואף אחד לא יופתע אם תצורף לדרישה זו גם אגרה בצידה), או מהצד הצרכני, מהיום בו חברות הביטוח יחליטו שהן מחליפות "מרצון" את המדינה.