בחודש שעבר קבוצת האקרים פרסמה פרטים רגישים על כ-116,000 נהגים, שנגנבו מתחנות טעינה לרכבים חשמליים ברחבי העולם. תחילה נטען כי הפריצה קשורה לתחנות הטעינה של טסלה, אך בדיקה מעמיקה גילתה כי המידע כלל נתונים ממגוון תחנות טעינה של חברות שונות ברחבי העולם - וגם מישראל. הנתונים, שפורסמו בפורום האקרים ידוע ברשת האפלה, כללו מידע אישי כמו כתובת מגורים, פרטי רכבים ומיקומים גאוגרפיים מדויקים, מה שמעלה חששות ביטחוניים משמעותיים.

חקירה של חברת Upstream Security הישראלית, שפיתחה פלטפורמת אבטחה מבוססת AI שמזהה תקיפות סייבר על רכבים ומציעה מערכת הגנה מתקדמת ליצרני רכב, אפליקציות, ספקי שירות וציי רכבים, הראתה שהפריצה קשורה לאפליקציית ניהול אנרגיה הודית המשותפת למספר מפעילי תחנות טעינה. מעבר לסיכון של גניבת זהות ומעשי הונאה פיננסיים, דליפת המידע כוללת גם פרטי תקשורת בין תחנות טעינה לכלי הרכב, ומצביעה על הצורך הקריטי בחיזוק אבטחת המידע ברשתות טעינה חשמליות הגלובליות. 

"יש הרבה נקודות רגישות בניהול תחנות טעינה לרכבים חשמליים", מסביר יואב לוי, מייסד שותף ומנכ"ל Upstream Security, בשיחה עם mako. "הן מחוברות לאינטרנט והן מנוהלות על ידי שרת אחד, שמסוגל לנהל גם עשרות אלפי תחנות טעינה - ככה שהרבה מאוד מתקפות שאנחנו רואים הן על השרת הזה, מה שנותן להאקרים שליטה על תחנות הטעינה. אם הצלחתי להריץ קוד ולפרוץ לתחנת הטעינה, אני למעשה יכול 'להדביק' רכבים אחרים בתוכנות זדוניות דרך אותה תחנה וגם לגנוב את כל הדאטה שיש ברכבים - מספר רכב, מיקום, פרטי הנהג ואפילו כרטיסי אשראי".

צוות Upstream security בפעולה (צילום: באדיבות Upstream)
צוות Upstream security בפעולה | צילום: באדיבות Upstream

לוי מסביר שסיכון נוסף מרכזי הוא שימוש בתוכנות כופר (Ransomware) - סוג של תוכנה זדונית (malware) שמטרתה לסחוט כסף מקורבנות על ידי נעילת גישה למידע שלהם או למערכת שלהם דרך הצפנת הנתונים במחשב, כשלמעשה התוקפים מצפינים את הנתונים על המחשב או הרשת של הקורבן, ולאחר מכן דורשים תשלום כופר בתמורה למפתח הפענוח שיאפשר גישה חזרה למידע.

לי כלקוח קצה שיש לו רכב חשמלי, יש בכלל מה לעשות נגד מתקפות כאלה?
"כרגע בחלק מהרכבים יש הגנות של אבטחת סייבר שמגנות גם מאירועים של השתלטות על תחנת טעינה. אנחנו יודעים בעצם להפריד בין רשת המחשב של התחנה, שמדברת עם הרכב, לאלמנטים קריטיים ברכב כמו מחשב, ברקסים וכו'. לך בתור לקוח קצה אין מה לעשות, חוץ מלבדוק גם על מערכת הגנת הסייבר ברכב החשמלי שאתה רוכש".

הפריצות של תחנות טעינה לרכבים חשמליים מהוות סכנה לא רק לנהגים, אלא לתשתיות שונות במדינה, שכן מתחנות הטעינה לרכבים, קל מאוד להגיע לתשתיות רגישות בהרבה כמו למשל תחנות חשמל. "בניסוי שהוא עשה כדי להראות עד כמה זה מסוכן, האקר בעל כובע לבן (האקר שמשתמש בידע שלו למטרות חיוביות ואתיות, ז.צ) יצר ביקוש מדומה באזור מסוים, גרם לכל תחנות הטעינה ביזור להתחיל טעינה, מה שייצר עומס על חברת החשמל שלא הצליחה לעמוד בזה והחשמל נפל. הוא הוכיח בעצם שכשמפעילים כמות גדולה של תחנות יחד - זה יכול לפגוע באספקת החשמל".

מעבר לפגיעה בתשתיות, היה כבר שימוש בפריצות האלה למטרות טרור או צבאיות?
 "במלחמה בין אוקראינה לרוסיה היו כמה התקפות של אוקראינה על רוסיה. האוקראינים השביתו עמדות טעינה לרכבים חשמליים ברוסיה, והשאירו הודעות נגד פוטין על המסך כשכתבו Putin Dickhead. בנוסף, רוסיה גנבה טרקטורים מאוקראינה והאוקראינים הצליחו להשתלט עליהם מרחוק - ולהשבית אותם. זה מראה בעצם כמה רכבים מחוברים (CV's וכו') חשופים למתקפות סייבר".

מה עם מקום של ממש לפגוע בבן אדם? האקר איראני יכול לפרוץ לי לרכב ולגרום לי לנסוע במהירות לתוך קיר למשל?
"את הדברים האלה עדיין לא ראינו, אבל אנחנו כן יודעים שמדינות מסתכלות על רכב מחובר בתור כלי ריגול. בארצות הברית נמצא בשלבי חקיקה אחרונים חוק שאוסר להכניס טכנולוגיה סינית או רוסית בתוך כלי רכב מחוברים שמגיעים לארצות הברית - גם ברמת התוכנה וגם ברמת החומרה. החשש הוא כל כך גדול שבארצות הברית אומרים שאפילו אם מרצדס יקנו תוכנה או חומרה מסין - אלה רכבים שלא יוכלו לעלות על הכביש במדינה".

ומה עם ישראל? "אנחנו מאחורה בכל מה שקשור לבירוקרטיה וחקיקה", מסביר לוי. "יש פה כמות רכבים סינית אינסופית שנוסעת, בלי שאף אחד מגדיר מה סיכוני האבטחה וכמה המידע שלי חשוף באותן רכבים. בארצות הברית רכבים סיניים למשל לא יכולים להיכנס, בעיקר מסיבות אבטחת סייבר. כן עברה לאחרונה החלטה שאומרת שאסור להיכנס לבסיסים צבאיים עם רכבים סיניים, כי מבינים את הסיכון של מידע כזה שעלול להגיע לסין".

מתקפת טרור זה משהו ריאלי שצריך להיזהר ממנו?
"דברים מסובכים יותר קרו כמו מבצע הביפרים. אחרי דבר כזה אתה אומר שהיכולות של מדינות הן אינסופיות ובאמת שקשה להתגונן מולן. בסוף אם מישהו מריץ ברגע נתון קוד שמפעיל משהו - זה משהו שאתה לא יכול לדעת לעולם עד שהוא יופעל. אז האם טרור יכול לקרות דרך רכב חשמלי? כן, בוודאות. זה עדיין לא קרה, אבל זה יכול לקרות".