זהו זמן קשוח להיות בעלים של רכב מתוצרת קיה ויונדאי. קבוצה של בחורים צעירים ממילווקי, ארה"ב, הנקראת KIA Boyz, מצאה בשנה האחרונה דרך לפרוץ בצורה קלה ופשוטה לרכבים של חברת Hyundai וחברת הבת של Kia. אתגר טיקטוק שהפך פופולרי מסביב לעולם חושף כיצד ניתן להניע רכבים אלו באמצעות כבל USB בלבד. המוני צעירים, ואף קטינים, מצלמים את עצמם מבצעים את הפריצה ונוסעים ברכבים בחופשיות. מדובר בכמות עצומה של 4 מיליון רכבים ברחבי ארה"ב, המונעים באמצעות מפתח בלבד (רכבי KIA משנת 2011 ועד שנת 2021, רכבי Hyundai משנת 2015 ועד שנת 2021). במילווקי, למשל, כמות גניבות הרכבים גדלה ב-2,500% בשנה החולפת, ככל הנראה "הודות" לאתגר הטיקטוק.

מדובר בכשל אבטחתי בתהליך הייצור והתכנון, שנמשך כבר שנים רבות ומתגלה רק עכשיו בגלל KIA Boyz. המפתח של הרכב הופך להיות לא רלוונטי ומאפשר לכל אדם עם כבל USB טיפש להניע רכבים ולנסוע לדרכו. אנשי Hyundai & Kia כבר זימנו אליהם כמיליון רכבים על מנת לעדכן אותם ולהתקין להם מערכת הגנה שתנסה למנוע גניבה בקלות. תהליך השדרוג וההתקנה אורך כשעה וכולל בתוכו עדכון תוכנה שאמור למנוע גניבה בכזאת פשטות. על אף זאת, אין ספק שמדובר בכאב ראש תפעולי גדול מאוד לחברות, וכמובן פוגע תדמיתית באיכות המותג.

אז מה עושים?

יצרניות הרכב מוכרחות לבקר את עצמן באופן קבוע, ולבחון האם הרכבים שלהם מוגנים ברמה הבסיסית ביותר. ביקורות אלו צריכות לכלול, בין היתר, בדיקות חדירות וסקר סיכונים מפורט, כדי לגלות סיכוני אבטחה כבר בתהליך התכנון והייצור.

תעשיית הרכב העולמית מאמצת טכנולוגיות שיאפשרו לעדכן ולאבטח את הרכבים מרחוק דרך רשת האינטרנט (OTA). יצרנית הרכב הראשונה שביצעה עדכוני תוכנה מרחוק (OTA) היא טסלה ובעקבותיה הגיעו גם GM ו-Ford. מצד אחד, חיבור רכבים לרשת האינטרנט יאפשר ליצרניות הרכבים שליטה ויכולת לבצע עדכוני אבטחה מרחוק, ובכך יקצר באופן משמעותי את זמן התגובה לפרצות אבטחת מידע שיתגלו בעתיד. אולם מאידך, חיבור של רכבים לרשת האינטרנט יביא עמו אתגרים רבים בתחום אבטחת המידע ויהווה קרקע פורייה להאקרים.

@tommygdocumentaries

Kia Boyz Documentary

♬ original sound - Tommy G

ניתן רק לצפות ולהעריך כי תוקפים ינסו לשבש את חבילות העדכון באמצעות רוגלות שונות על מנת לחדור למערכות הרכב, לקבל שליטה ולגנוב מידע אישי. כדי להימנע ממצבים כאלה, חברות הרכבים יצטרכו לאבטח את ערוצי התקשורת השונים, לנטר את הרכבים באופן קבוע ולצמצם ככל שניתן את משטח התקיפה.

כבר משנת 2020 קיימים חוקי רגולציה בארה"ב כלפי תעשיית הרכב בהיבטי Cyber Security, והם חלים על כל יצרני הרכב שמוכרים רכבים לשוק האמריקאי. חברות הרכבים יחברו ליצרניות אבטחת מידע כבר בשלב הייצור על מנת לייצר כלי אבטחה ייעודיים, שיגנו על הרכבים ויאפשרו ערוץ מאובטח לביצוע עדכונים מרחוק.

מכונית של טסלה  (צילום:  TierneyMJ, shutterstock)
צילום: TierneyMJ, shutterstock

אמנם אנו מדברים על ארה"ב, אך מניסיוננו כל מה שמתרחש שם – תוך זמן מה יגיע גם אלינו כאן. גם בישראל אנו רואים את החיבוריות לאינטרנט ואת הכיוון אליו הולכת התחבורה החכמה (הפרטית והציבורית). יש מה לדאוג, אבל יש גם מוחות שיספקו את הפתרונות.

הכותב הוא מנהל ארכיטקטורת תוכנה בחברת אבטחת המידע Trend-Micro ישראל