מקושר ומאובטח

מהפיכה? בהחלט כן. האינטרנט של הדברים (IoT), שנכנס לחיי כולנו, דרך הבית החכם, הרכב המקושר ואפילו מברשת השיניים החשמלית, הוא אכן מהפיכה, אבל גורלה (וגורל מאות מיליוני המכשירים המקושרים) תלוי במידה רבה ביכולת ההגנה מפני האקרים זדוניים והתקפות סייבר

עולם האינטרנט של הדברים (IoT), מספק כבר שנים הבטחה לעולם בו אינספור מערכות ומכשירים אלקטרוניים שנמצאים מסביב לנו, בבית, בעבודה וברחוב, יהוו חלק מרשת אחת ענקית ולא רק זאת, הם אף יוכלו ל׳שוחח׳ האחד עם השני. והזמן הגיע. ההבטחה מתממשת ועוברת לזרם המרכזי. בין אם מדובר במחשוב לביש דוגמת משקפיים חכמים עמוסי חיישנים, מכוניות מקושרות עם מערכות אינפוטיינמנט שמחוברות לענן ועד מערכות ביתיות שמאפשרות לשלוט על התאורה והנעילה, בכולם מוטמעים רכיבים אלקטרוניים, תוכנה ולרבים מהם יש גם כתובת IP ייחודית שמחברת אותם לעולם הרחב, לענן, ולמכשירים ומערכות אחרים ברשת. החיים של כולנו נהיים נוחים יותר עם השימוש במכשירי ה-IoT. הם משפרים עבורנו את צריכת האנרגיה בבתים החכמים, מוצאים לנו חנייה בצמוד לבית, מגלים הצפות מים ואש, ואפילו אומרים לנו איזה לחץ להפעיל על מברשת השיניים החשמלית…

תמונה 1: המכשירים המקושרים מקיפים אותנו
מכל עבר: מהתרמוסטט החכם של ה- N

המדע הבדיוני של פעם, בו המקרר מזהה שנגמר החלב, ויוצר קשר עם מערך ההזמנות של הסופר עבר לשלב המציאות. והשלב הזה עמוס בסכנות שיש להתמודד עמן. סקר של חברת ForiGuard  מגלה קפיצות של עשרות אחוזים מרבעון לרבעון במספר ההתקפות המכוונות נגד מכשירי IoT. זאת ועוד: רמת התחכום שלהם עלתה במקביל. כך, קרוב ל-20 אחוז מהתקיפות היו בוט-נטים מוכווני IoT, כשאחת ההתקפות ש׳כיכבו׳ בחדשות בשנתיים האחרונות היתה של בוט-נט בשם ״סטורי״, שתקף מאות אלפי ראוטרים אלחוטיים ושאר מוצרי IoT… תוצרי הדור החדש – Reaper או Hajime, כך התברר, בניגוד לקודמיהם כוונו כדי לתקוף מספר מטרות במקביל, מצב שקשה בהרבה להתמודד עימו. עוד עולה מהדו״ח כי חלק נכבד מהתקפות הסייבר מכוון למצלמות הרשת המאוד פופולריות…

לפי סקר טרי של AT&T, רק 10 אחוזים מהנשאלים היו בטוחים לחלוטין שהמערכות המקושרות שלהם אכן מאובטחות ורק 12 אחוז יכלו לומר בביטחון מלא שהמערכות שנמצאות בשימוש שותפיהם העסקיים אכן ממוגנות כראוי. כפי שהמצב נראה בשטח, המנכ״לים של היום כבר לא צריכים לשכנע את מועצות המנהלים שהסיכון אמיתי, אלא כיצד לזהות סיכונים, ואיך לנטרלם בזמן לפני שיסבו נזק משי.

כבר לא נישה

תמונה 2: דרך המקרר שיודע לדווח על
מחסור בחלב

״צריך לקחת בחשבון שמערכות IoT כבר אינן משתייכות ל׳שוק נישה׳. הן מזמן עברו לבתים של כולנו ושם יש להן את ההשפעה הגדולה ביותר על חיינו״, אומר איציק הרפז, מנהל חברת הסטארטאפ סיגמאדוטס (SigmaDots), מבית קבוצת אסנס, שמביאה כיום את כח אבטחת הסייבר מבוססת טכנולוגיית בלוקצ׳יין לעולם ה-IoT. לדבריו, מוצרים מקושרים, כאלה ש׳מדברים אחד עם השני׳, מקיפים אותנו מכל כיוון והתחזיות מדברות על 25 מיליארד מכשירים/מוצרים/מערכות כאלה עד שנת 2021. ״דבר אחד עומד בפני הדרך להצלחה הגלובלית של התחום: חולשות האבטחה של המכשירים הללו, שיכולים למצוא עצמם, ודי בקלות, בפני התקפות נוזקה, התקפות DDoS וכל השאר, והנזקים יכולים להיות כבדים״.

בהרבה מקרים, אומר הרפז, רבות מהמערכות המקושרות שנמצאות בשוק לא נבנו עם חיבור לאינטרנט, או חשיבה על האבטחה שלהן ותוספת הקישוריות מותירה פרצות אבטחה רבות שמזמינות כניסה של האקרים ופושעי סייבר. המחקר של AT&T מדווח על עלייה של 458% בדיווחים על התקפות סייבר על מערכות IoT בשנת 2018. חמור מכך, הסקר מגלה כי רק 38% עושים שימוש במערכת ניהול מרכזית או תוכנה אחרת לזיהוי כל הרכיבים שיושבים על הרשת הארגונית.

תמונה 3: ועד מכונת הקפה שניתן
לתקשר איתה

נכון, אומר הרפז, בבתים החכמים של מחר, אם תתבצע התקפת סייבר על הטוסטר, או מכונת הקפה, לבד מעוגמת נפש על הרס ארוחת הבוקר, נזק ממשי לא יקרה. ״אבל, צריך לקחת בחשבון בסצינריו הזה, שרכיב ה-IoT יימצא בעוד הרבה מערכות אלקטרוניות שלחלקן דווקא כן יש השלכות שיכולות להיות קשות, דוגמת חדירה לחשבונות בנק עסקיים ועד פריצה לבתים ואפילו חטיפת כלי רכב בשליטה מרחוק ושלא לדבר על מכשירים רפואיים, דוגמת קוצבי לב שהפסקת פעולתם יכולה בקלות להסתיים במוות״. לדברי הרפז, לא צריך להיות מומחה IT גדול כדי להבין שהאינטרנט של הדברים צופן בחובו, בצד הבטחה גדולה לעתיד וורוד ומקושר, גם לא מעט סיכונים שיש להתגבר עליהם.

לדברי הרפז, האתגר האבטחתי גובר ככל שמכשירי IoT מתחילים לגשר בין העולם הדיגיטלי לעולם הפיזי. ״צריך לקחת בחשבון כי עשרות ומאות אלפי מערכות IoT כבר מפקחות על תשתיות פיזיות, דוגמת קווי ייצור במפעלים, שרשראות אספקה, תשתיות עירוניות, ושלא לדבר על כלי רכב ומטוסים. ״כך לדוגמה, במכוניות המקושרות, חיישני IoT אוספים כל זמן הנסיעה נתוני ביצועים של המכונית כדי לבחון מועדי תחזוקה, או לזיהוי בעיות וניתוח שימוש. חיישנים אחרים אחראים על תפעול קולי ברכב, מערכות אינפוטיינמנט ושלל אפליקציות מובייל אחרות. ובקיצור – יש בכל מכונית כזו כר פורה להתקפות מבחוץ״.

מי תקף את האוטו שלי?

ב-2017 עשתה כותרות פריצה של האקרים ׳לבנים׳ לרכב מודל S של טסלה שהצליחו להתחבר ליחידת הבקרה האלקטרונית ולשלוט על ידי כך ברכב. נכון, החברה הגיבה במהירות הבזק והפרצה נחסמה במהירות רואיה לשבח, אבל, המקרה עורר שאלה רצינית: בעולם של מכוניות מקושרות, כיצד ניתן לאבטחן ולמנוע פריצות? על פי סקר של Entrust, עד 2021 למעלה מ-82 אחוז מהמכוניות שיימכרו יהיו מקושרות, אבל, כולם בעצם כבר יודעים שקישוריות הולכת יד ביד עם עלייה במפלס הדאגה… וכאן כבר לא מדובר בחדירה לחשבון הבנק, או לפרטיות. כאן מדובר בחיי אדם. חדירה לאוטובוס עמוס נוסעים, בדיוק כמו לתחנת כח, אינה זהה לפריצה לסמארטפון. כאן מדובר בחיי אדם.

תמונה 4: במעבדת הרכב של HARMAN בהוד השרון מפתחים
את המענה להתקפות הסייבר על מכוניות

עברו יצרני הרכב עידן ה- IoT מהווה מגרש משחקים חדש ומסעיר בהכניסו רבדים חדשים לחלוטין לקונספט המסורתי של הרכב. המכוניות המקושרות, החכמות ובשלב מסויים גם האוטונומיות, מביאות איתן מהפיכה בדרך אנו נוהגים, אבל לא רק – גם בדרך בה אנו מתממשקים עם העולם שמחוץ למכונית. מהצעות של שירותי אינפוטיינמנט שמוזרמים היישר מהענן על ידי ספקי שירותים ועד לאינספור יישומים עבור המכונית המקושרת שיגיעו לנהגים ולנוסעים – תעשיית הרכב הולכת ותופסת מקום מכובד בזירת ה- IoT – וכמובן – הופכת ליעד עבור תקיפות סייבר.

יובל ויסגלס, סגן נשיא לפתרונות הגנת סייבר ב-HARMAN , שמפגינה נוכחות מסיבית בזירה הישראלית, עם מעל 200 עובדים הממוקמים במרכז מו״פ גדול ומעבדת רכב בהוד השרון, אומר כי כדי להגן על מערכות חצי-אוטונומיות, מערכות IoT ומערכות Advanced Driver Assistance Systems (ADAS) מפני איומי סייבר שונים, זה הזמן לאמץ גישה של Security by Design – הדוגלת בהטמעה של פתרון הגנת סייבר מהשלבים הראשונים של תכנון ועיצוב רכב חדש ביחד עם מערכות אחרות ברכב (אלקטרוניקה, תקשורת, עזרי נהיגה, בטיחות, ארכיטקטורת רשת וכו׳), ולפתח יכולות מעקב והגנה לא קונבנציונליים.

ויסגלס מספר כי אחד המוצרים עליו הכריזה החברה באחרונה (בכנס CES בחודש שעבר) מאפשר ליצרניות הרכב להתמודד בהצלחה עם איומי סייבר הנובעים מפגיעויות תוכנה (software vulnerabilities) לכל אורכה של שרשרת האספקה. ״יצרניות הרכב בתעשייה משלבות במוצריהם חומרה ותוכנה של יצרנים מצד שלישי, ללא גישה לקוד המקור לצורך אימות, או בחינת מהימנות הקוד. רכב מודרני “פועל” על 100 מיליון שורות קוד ועם ממוצע של 10-15 באגים לכל 1,000 שורות קוד – היעדר הגישה של יצרן הרכב לקוד המקור רק מחריפה את הבעיה. כעת, עם המוצר החדש של HARMAN – המצב השתנה.

תמונה 5: מערכות מקושרות וחכמות מכניסות מגוון חידושים
ואמצעי עזר להעשרת חוויית הנהיגה

המוצר החדש שמושק תחת פתרונות ה-OTA וHARMAN SHIELD ובשיתוף פעולה עם הסטארט-אפ הישראלי Cybellum תאפשר מעתה ליצרניות הרכב לבחון ולהעריך מראש סיכוני סייבר ולעצרם בזמן, אומר ויסגלס. ״הפתרון החדש יכול להעריך את הסיכון והפגיעות האפשרית ולקצר את זמן הטיפול בהם״. פתרון ה- OTA של HARMAN שמפותח ונמכר מישראל, ומצמצם את נפח חבילות התוכנה המועברות לרכב בעד 99 אחוז, כבר הפך לשם דבר בשוק הרכב העולמי – 23 יצרניות רכב בחרו בפתרון של הרמן המותקן על יותר מ-30 מיליון מכוניות ברחבי העולם.

לדברי ויסגלס, בין היכולות של המוצר החדש: יכולת לביצוע סריקות אוטומטיות מתוך מערכת ה-OTA  עוד לפני שלב עדכון הרכבים בפועל, יכולות זיהוי של רמת הסיכון האפשרית טרם התקנת רכיבי תוכנה חדשים ברכב, ניטור מתמשך וקבלת התרעות על פגיעות אפשרית וניתוח הערכה של מידת חשיפה של ציי רכב שלמים לסכנות אפשריות ואינטגרציה מלאה עם טכנולוגיית הסריקה של Cybellum, היודעת לזהות ולחסום התקפות סייבר  בשלב הראשוני ביותר שלה, הרבה לפני שהתוקף חדר למערכת.

בסוף היום, אומר ויסגלס, כל פתרון אבטחה ל- IoTבתעשיית הרכב, אינו יכול להיות מטופל רק על ידי יצרני הרכב. צריך שיתוף פעולה של לא מעט גורמים בשרשרת. ״קשה לומר שהתשתית שלך מאובטחת, אלא אם דאגת לאבטח את כל שרשרת האספקה שלך. הגנת סייבר לא יכולה להתחיל בפס הייצור אלא צריכה להתחיל כבר בשלב עיצוב השבבים והמודולים שמפותחים לרכב. רק כך נוכל לשמור על הרכבים והנוסעים בטוחים מפני איומי סייבר״.

תגובה מהירה ורגולציה

ע״פ סקר של מכון Ponemon, המתמחה בתעשיית הרכב, סוגיית הסיכון הטמון בהתקפות סייבר היא בעיה שיצרני הרכבים חייבים להתמודד עימה – ומהר – מסיבה פשוטה: בעידן החדש הן כבר לא רק יצרניות מכוניות. המציאות כפתה עליהן את ה׳תגית׳ המחייבת של ״חברות תוכנה״, שכן, תוכנה היא זו ה׳מריצה׳ חלקים נכבדים מכלי הרכב של היום. התלות גדלה והולכת. הדאגה המרכזית, עומרים הסוקרים, כפי שעולה מהמחקר (ששייכת הן ליצרנים והן לספקים שלהם) היא שהפרקטיקות של הגנת הסייבר שמיושמות אצלם אינן עומדות בקצב של ההתפתחויות הטכנולוגיות המאוד מהירות בתעשייה כולה. 62 אחוז אמור כי להערכתם יש סיכוי גדול להתקפה על רכיבים/תוכנה/טכנולוגיה שמותקנים במכוניות שלהם ב-12 החודשים הקרובים.

תמונה 6: מערכות מציאות רבודה, יסייעו לנהגים לנווט על הכבישים בתנאי אמת
ועם מגוון שכבות מידע

מעבר לכך, ל-30 אחוז מהנסקרים אין כלל תוכניות עבודה או פתרונות קיימים להגנת סייבר והנתון המפחיד מכולם: 63 אחוז מהמגיבים אמרו כי בפחות ממחצית המקרים הם מנטרים וסורקים פגיעויות ברכיבים שהם מכניסים למכוניות שהם בונים… ״היצרנים נסמכים לעתים על מאות ספקי משנה שנכנסים למוצר הסופי – כלי הרכב וזאת כדי לספק ללקוחות התובעניים את הטכנולוגיה והעיצוב המתקדמים ביותר. והתוצאה: 73 אחוז מהנסקרים (אנשי תעשיית הרכב) אומרים כי הם מודאגים ממצב ההאבטחה ברכיבים ובמכשירים שהם מקבלים מהספקים שלהם. מצד שני, רק 44 אחוז מהם אמרו כי הארגונים שלהם מציבים דרישות לאבטחת סייבר מהספקים… ״. על פי אנשי חברת המחקר, הן היצרנים והן הספקים שלהם חייבים לקחת בחשבון מה המשמעות של ״מכונית מקושרת״, עבור פרטיות הלקוחות ואבטחתם. ״ככל שיותר מכוניות מקושרות מגיעות לכביש, כך מערכות התוכנה שבהן הופכות ליעד להתקפות. הכשלון להתמודד בהצלחה עם האתגרים הללו יכול להיות טעות שתעלה מאוד ביוקר, כולל פגיעה באמון הלקוחות, פגיעה בפרטיות וכמובן פגיעה במותג. מנקודת הראייה הארגונית, כל פגיעה במערכת IoT יכולה להסתיים בנזק בלתי הפיך למחיר מניה, מיצוב בשוק, תדמית ובמקרים חמורים בהרבה – באובדן חיי אדם.

לדברי הרפז, ככל שגוברת הנהירה של חברות בתעשייה אחרי אופנת ה- IoT, כך חשוב יותר להבין את הסיכונים החדשים שיכולים להשפיע על תשתיות קריטיות ולשבש חיי מיליונים. ספקי שירות, שלא

תמונה 7: בחדר המצב, לוחמת סייבר של HARMAN מבצעת ניטור וחסימה בזמן אמת
של התקפה על כלי רכב

לדבר על יצרנים, חייבים להוסיף שכבת הגנת סייבר לכל הצעה ללקוח ולהבטיח את שלומו בבית ומחוצה לו. צריך רק לזכור: העקרונות הבסיסיים של האבטחה ה׳רגילה׳ תקפים כאן באותה מידה. ארגונים לא צריכים ללכת כעת ולפתח ולהמציא אמצעי בלימה חדשים, אלא למצוא פתרונות חכמים כיצד משתמשים בעקרונות האבטחה שכבר נלמדו – בסביבות החדשות. והיצרנים? הללו צריכים להיות מסוגלים לספק מספר שכבות הגנה ואבטחה לכל מוצר ומוצר שיוצא לשוק ובאספקת ׳אזור בטוח׳ ללקוחות הקצה.

הפעילים בתחומי הסייבר מסכימים ברובם שאחת ממילות המפתח כשמדברים על הגנת סייבר למוצרי ה-IoT, היא ״סטנדרטיזציה״. ״יש צורך במעטפת רגולטורית כדי שהמהפיכה תצלח״, אומר הרפז. ״חייבים שיצרני המערכות יהיו כפופים למסגרת רגולציה שתביא לאימוץ סטנדרטים בסיסיים למניעת התקפות סייבר. יש צורך בפרוטוקולי אבטחה שיבטיחו שכל אלמנט ברשת יקח חלק באסטרטגיה הכללית של ההגנה והמלחמה באיומים. אסור לאפשר חוליות חלשות וללא הגנה בשרשרת הזו״.

תמונה 8: יובל ויסגלס.
סייבר מהשלבים הראשונים

תמונה 9: איציק הרפז.
חייבים מעטפת הגנה למערכות ה- I

אבטחה חייבת להיות השיקול בכל פיתוח IoT ויישומו, ולא כרכיב שיתווסף בשלב מאוחר יותר. שילוב של מנגנוני אבטחה לתוך מכשירי ומערכות ה- IoT, מהשלב המקדמי ביותר, הוא רכיב מפתח בהגנה מאוחר יותר. יש צורך במספר שכבות ובקרי אבטחה, כולל קידוד, כדי להגן על פונקציות קריטיות. זה גם מחייב ארכיטקטורה שמתוכננת לנטר ולפקח על המערכות המקושרות ואולי אף לבודד אותן.

להערכתו של יפראן סייף, מנהל הערכת סיכונים בחברת המחקר ״דלויט״, החברות חייבות לחשוב על ״מטרייה״ של פתרונות לכל אורכו ורוחבו של הארגון, והמשמעות היא חשיבה על על מניעת הסיכונים ועצירתם עוד לפני שקרו, ניטור וצמצום נזקים תוך שהם קורים וחזרה לתפעול מלא בתום המאורע הבטיחותי.

״מה שקרה הוא שה-IoT עבר משלב הרעיון הגדול למציאות בקצב מהיר בהרבה מכל מה שצפו ומכל איך שהתכוננו לבואו״,  אומר סייף. ״ בלי קשר לרמת המוכנות, יש כאן הזדמנויות לא מעטות ליצירת ערך נוסף ולחדשנות ארגונית ולהציע שירותים ופתרונות לרווחת הלקוחות״.