תריסר יצרניות רכב, שחברות בשני ארגוני יצרנים שונים, הכריזו השבוע על הקמת מרכז מידע משותף לחקר אמצעי התגוננות מפני תקיפות מחשב על 'מכוניות מקושרות'.
תוכנית להקמת מרכז ניתוח ושיתוף-במידע (Information Sharing and Analysis Center) לתעשיית הרכב (Auto-ISAC), הוכרזה בדיוק לפני שנה, ביולי 2014, אבל השבוע הוא הכריז על קיומו באופן רשמי כשחברות בו בשלב ראשון, בין השאר, טויוטה, ג'נרל מוטורס, פורד, פיאט-קרייזלר, הונדה, ניסאן, מרצדס, ב.מ.וו, מאזדה וסובארו.
לדברי אנשיו, מטרת הפעילות היא "לסייע להפוך את המכוניות לבטוחות יותר על-ידי מתן אפשרות ליצרניות הרכב להחליף ביניהן נתונים ומידע שנוגעים לאבטחת סייבר, ולשמור אחת את השנייה מעודכנים באיומי הפריצה לכלי רכב העדכניים ביותר".
הסכנה שמפניה מבקשות יצרניות הרכב להתגונן ידועה וברורה: יותר מ-60% מכלי הרכב החדשים שיעלו על הכביש בשלהי השנה הבאה צפויים להיות מחוברים לאינטרנט.
בנוסף, מכוניות חדשות רבות מגיעות כבר כעת כשהן עמוסות בתוכנות ובחיישנים שנועדו לסייע לנהגים להימנע מתאונות, לשמור על נתיב הנסיעה, לבלום באופן אוטונומי בעת סכנה ולנווט ממקום למקום – ובקנה כבר ניצבת האפשרות שבתוך חמש שנים יוכלו מכוניות לנוע באופן אוטונומי לחלוטין.
לצורך זה מסתייעות חלק מן המערכות הממוחשבות בקשר עם תשתיות (V2X) ובקשר על מכוניות אחרות (V2V), ובין השאר אוספות ומעבירות ביניהן נתונים אודות מיקום, מהירות, ביצועי מנוע, תאונות ועוד.
היות שמדובר במידע שמועבר אלחוטית, ובמערכות ממוחשבות, מאליו ברור שקיימות דרכים לשבש את המידע הזה ובדרך זו להתחבר למכוניות ולגרום להן לבצע פעולות שיגרמו לתקלות במקרה הטוב, ולתאונות קטלניות במקרים הגרועים יותר. ברור גם שאם האפשרות הטכנולוגית לשיבושים קיימת – במוקדם או במאוחר יהיה מי שינצל אותה לרעה ויגרום נזק – ממש כפי שכבר חוו תעשיות שונות אחרות – החל מתעשיות האנרגיה והנפט, דרך חברות תקשורת וכלה במוסדות בנקאיים.
ככל הידוע, למרות מספר הדגמות יכולת שביצעו מומחי אבטחה ומוסדות מחקר, עד היום לא בוצעה פריצה לשיבוש פעולתה של מכונית על-ידי האקר שגרם לתאונה קטלנית – אבל גם אם פעולה כזאת לא דווחה אין זה אומר שהיא לא התרחשה, ובוודאי שאין זה אומר שהיא לא צפויה לקרות. יחד עם זאת, ההתארגנות של יצרני הרכב לכל הפחות מקדימה תרופה למכה, עם ISAC שמוקם לפני הפגיעה הכואבת ולא לאחריה.
רוברט סטרסבורגר ( Strassburger), סגן נשיא לבטיחות כלי רכב בהתאחדות יצרניות הרכב AAM, הסביר שהמרכז החדש יתמקד בהפצת מידע אודות האיום הקיברנטי ליצרניות הרכב "במטרה לשפר עוד יותר את המאמצים המתמשכים של התעשייה להגנה על מערכות אלקטרוניות ברכב… כמו גם לשתף את החברים בנקודות תורפה שנמצאו בכלי רכב וברשתות הקשורים בהם".
בניגוד להערכות שעלו בשנה שעברה מסתבר כעת שהברית עדיין לא כוללת אף אחד מספקי המשנה לתעשיית הרכב (או ספקי משנה שלהם, כמו אוטוטוקס הישראלית) אלא רק יצרניות רכב, וזאת עשויה להיות בעיה מפני שרוב הציוד הרלבנטי מפותח בעצם על-ידי ספקיות המשנה או בשיתופן. עם זאת, באיגוד מאמינים ומקווים שספקיות המשנה יצטרפו ליוזמה זו בקרוב.
גוגל כן, גוגל לא
ההתארגנות החדשה חושפת בין השאר את המתח העצום ששורר כעת בין יצרניות הרכב לבין ענקית האינטרנט גוגל, אשר מפתחת בימים אלה מכונית אוטונומית משלה.
מצד אחד, יצרניות הרכב מבינות היטב את האיום הדרמטי שגוגל בפרט, ומכוניות אוטונומיות בכלל, מציבות מעל למודל העסקי שלהן.
מצד שני, לגוגל יש ידע עצום בכל הקשור לתקשורת נתונים, תקשורת אינטרנט, ניהול משתמשים ועוד – ולכן החרגתה מן הארגון הזה מקטינה מאד את האפקטיביות שלו.
אלא שיצרני הרכב מבקשים להימנע ככל שהם יכולים מלשתף פעולה עם גוגל ובוודאי להימנע מלחשוף בפניה נתונים שונים שקשורים לפעילותן של מכוניות בזמן אמת.
ממשק בעייתי מאד אחר בין יצרניות הרכב וגוגל הוא ההתייחסות לממשלות: בעוד שגוגל ואפל עושות ככל שהן יכולות כדי להימנע מן הצורך בקשר עם ממשלות – ובעיקר להימנע מרגולציה שתסדיר או תגביל את פעילויותיהן, יצרניות הרכב נמצאות גם כך תחת תקינה מחמירה מאד של ממשלות בכל העולם, וממשלת ארה"ב אפילו מחייבת אותן להקים תשתית של תקשורת בין מכוניות לטובת הגברת הבטיחות בדרכים. היות שכך – יצרניות הרכב פונות כעת לסיוע ממשלתי כדי להילחם בפצחנים (האקרים) למיניהם ובאיומי האבטחה בכלל.
איגוד היצרניות בחר בחברת הייעוץ Booz Allen Hamilton כדי לסייע בהקמת ופיתוח המרכז, וג'ון אלן, מנהל הפתרונות המסחריים בחברת הייעוץ אמר השבוע שהמרכז יחלוק מידע בנוגע לנקודות תורפה ואיומים ידועים לפגיעה במערכות, "איומי אבטחה ופריצה עלולים להגיע מכיוונן של מדינות לאום אבל גם על-ידי פצחנים שיבצעו פגיעות קוד".
בין טכנולוגיות האבטחה שנמצאות כעת בפיתוח אפשר למנות חומות אש לרשת התקשורת, מערכות לניטור תוכנה, מערכות למניעת תקשורת נתונים זדונית ועוד, כמו גם כל הכרוך בצורך להגנה על פרטיות הנהגים והמשתמשים ברכב.