שני סנאטורים אמריקנים – אד מארקי וריצ'רד בלומנטל – החלו להניע תהליך חקיקה שיחייב את יצרניות המכוניות שנמכרות בארה"ב לעמוד בסטנדרטים חדשים להגנה מפני התקפות האקרים, ומפני איסוף מידע אישי אודות המשתמשים ברכב.
נדבך אחד של החקיקה מופנה אל הממשל עצמו, ומחייב רשויות כמו מינהל הבטיחות בדרכים האמריקני ונציבות הסחר הפדרלית להגדיר ולקבוע את הסטנדרטים שבהם יידרשו יצרניות הרכב לעמוד, כשהכוונה בעיקר לשיפור אבטחת מערכות התקשורת של כלי הרכב מפני האקרים, כמו גם לשמירה על מידע אישי, למשל רשומות אודות מיקום שנאספות בעת נסיעה.
החוק החדש קובע שהמינהל יגדיר מערכת דירוג – ממש כפי שמקובל בתחומי תצרוכת הדלק והבטיחות – אשר יוצג באמצעות מדבקה על מכוניות חדשות ויאפשר ללקוחות לדעת עד כמה בטוחות ו'דיסקרטיות' המכוניות שבהן הם מתעניינים.
"בזמן שיצרניות הרכב ממהרות להשיק את הדבר הגדול הבא", אמר בלומנטל, "הן לא הקפידו להגן עליהן טוב מספיק מפני האקרים, והן גם אוספות יותר מידי מידע אישי ופרטי אודות לקוחותיהן… מטרת החקיקה היא להגן על הציבור מפני פושעי אינטרנט שמנצלים את ההתקדמות המרגשת בטכנולוגיה, כמו נהיגה אוטונומית וחיבור של המכוניות לאינטרנט.
החוק הפדרלי חייב לספק סטנדרטים מינימליים ואמצעי הגנה שישמרו מפני האקרים ויגנו על פרטיות הנהגים. ביטחון ובטיחות לא צריכים להיות מוקרבים על מזבח ההבטחה לקידמה אלחוטית."
מבחינה מעשית כוללת הצעת החוק שלוש נקודות עיקריות: יצירת סטנדרטים, כאמור, על-ידי מוסדות המדינה (ובהם, למשל, דרישה להפרדה בין מערכות מופעלות תוכנה כמו לבין רשת התקשורת הפנימית של הרכב – CAN), העמדת המכוניות למבחנים חיצוניים ובלתי תלויים של מומחי אבטחת מידע, ושילובן של מערכות אבטחה פיזיות אשר יזהו ויגיבו לפקודות זדוניות ברשת התקשורת של המכונית.
שלישית, החוק יחייב כל מי שאוסף מידע אודות הנהגים והנוסעים או פוגע בדרך אחרת בפרטיותם ליידע את הנהגים והנוסעים כיצד נאספים הנתונים ולאפשר להם לבחור האם וכיצד ישמש המידע לצורך שיווק.
לפני כחצי שנה פרסם הצוות של סנטור מארקי דו"ח שבחן את המצב הנוכחי בארה"ב וגיבש מסקנה לפיה מיליוני כלי רכב שנעים על הכבישים פגיעים כיום לפריצה באמצעות טכנולוגיות אלחוטיות, מצב שמסכן את הבטיחות ואת הפרטיות.
הצוות של מארקי שלח שאלונים ל-20 מותגי רכב במטרה לבחון כיצד הם מטפלים בסוגיות אבטחה ופרטיות דיגיטליות, והתשובות שהתקבלו משש עשרה חברות (מתוך ה-20) שהגיבו לשאלונים לא מרגיעות במיוחד.
כמעט כולם השיבו שכלי הרכב שלהם מוצעים עם חיבורים אלחוטיים – בין אם לסלולאר, בלו-טות' או Wi-Fi, אבל שבעה הודיעו שהם מבצעים בדיקות אבטחה עצמאיות לבדיקת אבטחת כלי הרכב. רק שני מותגים השיבו שיש אצלם כלים שאמורים להגן מפני חדירת האקרים.
כמעט כל יצרניות הרכב משתמשות במערכות שלהן כדי לאסוף מידע אודות מיקום כלי הרכב של הלקוחות שלהם, אבל רובם הציגו רק נתונים מעורפלים אודות הצפנת הנתונים שנאספו.
מחברי הדוח בדקו ומצאו שעיקר החולשה כיום היא באבטחת החיבור לרכב באמצעות רשתות אלחוטיות, טלפונים חכמים, ואפילו מערכות בידור ומידע שחלקן מותקנות כציוד תקני ואחרות בהתקנה עצמאית ("אפטר מרקט").
יעזור או לא?
אם יש דבר שיצרניות רכב לא אוהבות הרי זאת רגולציה שמאלצת אותן להשקיע כספים ולפעול, ודובר התאחדות יצרניות הרכב בארה"ב, ווייד ניוטון, אכן מסר בתגובה שליצרניות יש חששות לגבי הצעת החוק.
"הדאגה הבסיסית שלנו היא שגישת הרגולציה המסורתית לא תהיה יעילה כדי להתמודד עם האיום המתפתח שמציבים האקרים זדוניים," הוא אמר. "התהליך הרגולטורי מסורבל וספק אם חקיקה או סטנדרטים יכולים להיות הכלי שיילחם בהאקר יצירתי. הטכנולוגיות, כמו גם נקודות התורפה שלהן, מתפתחות במהירות רבה ולכן שיטות מסורתיות הן ככל הנראה לא ישימות ויביאו לתוצאות בלתי מספקות ולא מועילות."
לדבריו, יצרניות הרכב כבר לקחו על עצמן מרצון סטנדרטים נוקשים של אבטחת מידע והצהירו על כוותן לטפל בכל הנושאים המרכזיים שהועלו בהצעת החוק.
אבל בין אם יצרניות הרכב לקחו או לא לקחו על עצמן סטנדרטים, נראה שאין מנוס מהתערבות רגולטורית שתעשה סדר בדברים: מוקדם יותר השנה הציגה תוכנית התחקירים "60 דקות" של רשת השידור CBS פריצה מרחוק לכלי רכב, יצרנית הרכב ב.מ.וו. ביצעה השנה תיקון יזום של פירצת אבטחה שאיפשרה לפתוח מרחוק את הדלתות ב-2.2 מיליון מכוניות מתוצרתה (ואפשר לשער שבעיות דומות קיימות גם אצל יצרניות נוספות), והשבוע פרסם מגזין המחשבים 'ווירד' תיעוד של השתלטות מרחוק על מכונית מדגם ג'יפ צ'רוקי.
אגב – כל הדוגמאות הללו מתגמדות ביחס למה שצפוי בעולם בעתיד, ככל שמתקדמת טכנולוגיית התקשורת בין מכוניות (V2V) וטכנולוגיות שקשורות במכוניות אוטונומיות או אוטונומיות למחצה.