המהפכה הדיגיטלית בעולם הרכב בעיצומה, כאשר יצרניות הרכב משלבות הרבה יותר תוכנה ברכבים החדשים, לצד ביקוש גובר לרכבים חשמליים ותשתית מתאימה לפריסה של תחנות טעינה ברחבי הארץ. חברת C2A Security פיתחה את פלטפורמת ה-DevSecOps הראשונה לתעשיית הרכב, המאפשרת ליצרניות הרכב לשחרר במהירות וביעילות פתרונות תוכנה חדשניים לצרכנים, תוך מתן מענה לדרישות הרגולציה, אבטחת המידע והמחסור במהנדסים ומומחי סייבר.
הצמיחה בשוק המכוניות המחוברת, שוק שצפוי להגיע לשווי של 166 מיליארדי דולרים עד לשנת 2025, מחייבת את יצרניות הרכב להתמודד במהירות עם אתגר חדש: איזון בין דרישת הלקוחות לחוויית שימוש עשירה בתוך הרכב, לבין קצב ההשמשה של מוצרי תוכנה ופיצ’רים חדשים. כלי הרכב של היום כוללים הרבה יותר שורות קוד, יכולות תקשורת מתקדמות, סנסורים פנימיים וחיצוניים, ומערכות עזר לנהיגה מבוססות תוכנה, אשר הוסיפו מורכבות דיגיטלית לשרשרת הייצור המסורתית בתעשיית הרכב. כפועל יוצא, התוכן, התיעוש ומחזור החיים של פיתוח התוכנה כפופים כעת לסטנדרטים ולדרישות רגולציה מחמירות יותר ויותר בכל הקשור להגנת סייבר, כאשר יצרני הרכב חייבים להסתגל לכל אלו במהירות.
“שנת 2023 בפרט, היא שנה של שינוי משמעותי לתעשיית הרכב”, אומר רז מרידור, סמנכ”ל בכיר למוצר ואסטרטגיה ב- C2A Security. “מצד אחד, התהליכים של פיתוח תוכנה למכונית המחוברת והחשמלית כיום ‘על סטרואידים’ לאור התחרות העזה. מצד שני, יצרני הרכב וספקיהם בכל שרשרת האספקה נדרשים לעמוד ברגולציות מחמירות, בינלאומיות ואזוריות, בתחום אבטחת המידע, שנכנסות לתוקף בימים אלה. כל זאת, מבלי להשפיע על לוחות הזמנים של ייצור כלי הרכב החדשים. “
“הרכבים החכמים כיום, כולם בעלי חיבור לאינטרנט ומערכות ADAS (מערכות עזר לנהג) עם דרגה כזו אחרת של נהיגה אוטונומית. מדובר בסוג של מחשב על גלגלים, המונע על ידי תוכנה של מיליארדי שורות קוד. לכן, כשם שלא יעלה על הדעת לפתח תוכנה ללא סינרגיה בין צוותי הפיתוח, האופרציה ואבטחת המידע, כך לא ייתכן שתוכנות הניהול למערכות שונות ברכב יפותחו ללא כלי DevSecOps ייעודיים לתעשיית הרכב. “לשם תעשיית הרכב מכוונת כיום, עם טרנספורמציה דיגיטלית שנמצאת בעיצומה”, מסביר מרידור.
“עם זאת, בתעשייה ותיקה כזו, שעדיין מודדת מנועים לפי כוחות סוס, השינוי הזה אינו פשוט, ואם נוסיף לזה את המחסור ההולך וגובר באנשי סייבר ומהנדסי תוכנה, איומי הסייבר שרק גדלים, והרגולציה שנכנסה לתוקף לאחרונה, אין ספק שנדרשת כאן מהפכה תפיסתית ומתודולוגית, ובעיקר – אוטומציה.”
חברת C2A Security נוסדה בשנת 2016 על ידי היזם הישראלי מיכאל דיק, ממייסדי חברת NDS, שפיתחה מערכת הצפנה לשידורי טלוויזיה ורשמה אקזיט ענק כשנמכרה לענק התקשורת Cisco ב- 5 מיליארד דולר. “עוד בימי NDS התחלנו לחשוב על מכוניות מחוברות ואיך מגנים עליהן”, הוא מספר. אבל החלק הזה פחות עניין את Cisco, לכן אחרי הרכישה החליט להקים חברה חדשה שתעסוק רק בתחום של הגנה על הרכב ממתקפות סייבר, ומאז חל בעולם הזה זינוק רציני. “המשימה שלנו כיום היא לשנות את התפיסה שאבטחת מידע וסייבר הם גורמים מעכבים לחדשנות ביצרניות הרכב, אלא מכפילי כוח ליצירת ערך עסקי ארוך-טווח. אנחנו עובדים עם יצרניות רכב מהגדולות בעולם וחתמנו הסכמים לשיתוף פעולה טכנולוגי עם ספקיות משנה (Tier 1 suppliers) כדוגמת Valeo, Marelli ו-Segula, לסייע לתעשיית הרכב להסתגל לעולם החדש, תוך שימוש באוטומציה שמביאה חיסכון במשאבי זמן וכסף, ומאפשרת פריסה רחבה של רכבים חדשים ומאובטחים על הכביש.”
פלטפורמת ה-DevSecOps הראשונה לתעשיית הרכב:
מוצר הדגל של C2A Security , פלטפורמת EVSec, היא פלטפורמת DevSecOps אוטומטית המתאימה לכל סוגי הרכבים המחוברים ועומדת באופן מלא בדרישות הרגולציה המחמירות (WP.29, ISO21434). המערכת נוצרה מתוך הבנה כי נדרש פתרון הוליסטי המותאם לצרכים הייחודיים לאקוסיסטם של כלי הרכב החשמליים. הפתרון המוצע מספק הגנה לרכב המחובר מרמת השבב ועד לפרוטוקולי התקשורת ועמדות הטעינה החשמלית, כאשר שלבי המענה מתחילים בזיהוי איום הסייבר והערכת השפעתו על המערכת (Threat Analysis and Risk Assessment – TARA), יישום מנגנוני הגנה מפניו וחזרה להמשך ניטור איומים רציף ואיכותי.
התהליך כולו מבוצע בהתאם לחזון החברה באופן אוטומטי לטובת פישוט התקשורת הפנימית בין צוותי הפיתוח, המוצר, ואבטחת המידע בחברה, ליצירת שקיפות תהליכים, אחידות ברמת הביצוע ומיטוב האינטגרציה. כפלטפורמה אוטומטית, EVSec מחליפה את צורת העבודה המיושנת בה כל יצרן רכב מעסיק מספר קבוצות של אנשי אבטחת מידע, על כל האתגרים הנגזרים מכך: “אם קבוצה אחת שתפקידה זיהוי חולשות אבטחה מצאה חולשה, היא לא תדע איפה זה משפיע, באיזה מכוניות זה קיים, ועוד לא דיברנו על כמה זמן יקח לעדכן את הרכב, לפתח מענה לחולשה, וכך הלאה. מדובר בתהליך שדורש כ- 200 איש שאינם מסונכרנים זה עם זה, ובתהליך של כ- 6 חודשים עד לתיקון החולשה”, מסביר מרידור.
הפלטפורמה מאפשרת לנהל את תוכנת הרכב בהיקף עצום, ולתמוך בארגון גדול ברמת יצרן רכב על שלל ספקיו, לרבות מפעילי תחנות הטעינה החשמלית לצד הרכבים עצמם. כל זאת, באמצעות צוות חסכוני ומצומצם של מומחי אבטחת מידע אשר שמסתמכים על פלטפורמה אוטומטית, ובגישת DevSecOps שהוכיחה את עצמה גם בעולמות הסייבר ל-IT.
איך זה עובד?
הפלטפורמה של C2A Security מספקת תשתית מתקדמת לניהול סיכונים אוטומטי, אשר מבצעת ניתוח איומים דינמי, בנייה של “קטלוג” מסלולי התקפות פוטנציאלי ויצירת “תאום דיגיטלי” של ארכיטקטורת הרכב. התשתית מאפשרת למנוע למידת המכונה (machine learning) לקבוע סדרי עדיפויות וניהול של כלל אירועי אבטחת המידע, בכל שרשרת הייצור של הרכב, ולאורך כל מחזור חיי “המוצר” (הרכב) – משלב הקונספט, דרך העיצוב והפיתוח, וכלה בפריסה (deployment).
הפלטפורמה מתממשקת עם מערכות ניהול משימות כדוגמת Jira, IBM DOORS, RTC ואחרות, ויודעת לשלב את דרישות האבטחה במשימות של צוותי הפיתוח, על מנת לייעל תהליכי פיתוח תוכנה תוך שמירה על סטנדרטים ותקנים מקובלים בתעשיה. הגישה לפלטפורמה פתוחה לכלל הצוותים – אבטחה, מוצר, פיתוח, תיפעול, על מנת לספק שקיפות מירבית בתהליכי פיתוח המוצר, ולשמור על “ציון סיכון” (security risk) נמוך ככל שניתן.
שותפויות אסטרטגיות עם שחקני ענק בתעשיית הרכב
בשנה האחרונה גדל הביקוש לפתרונות של C2A Security , כולל מספר שותפויות אסטרטגיות עליהן חתמה החברה עם יצרני רכב, וספקיות משנה בארה”ב, אסיה ואירופה. כך למשל, בתערוכת CES בתחילת 2023 הוכרז על שיתוף פעולה אסטרטגי עם ספקית הרכב העולמית Valeo במסגרתו תשתמש האחרונה ב-EVSec Platform של החברה. במסיבת העיתונאים של Valeo בלאס וגאס, הגדיר ג’ופרי בוקו, סגן נשיא בכיר ו-CTO של התאגיד הגלובלי את C2A Security בתור: “העתיד של עולם הגנת הסייבר של כלי הרכב”.
לאחרונה, חברת NTT Data, ענקית בינלאומית יפנית בתחום שירותי ה-IT, בחרה בחברה להובלת הפרויקט הראשון של מרכזי גלובלי חדש לבדיקות אבטחה, ביחד עם ספקית הרכב Marelli מאיטליה. המרכז יספק מבחני אבטחה למכוניות מחוברות, על מנת להגן על לקוחות NTT Data ביותר מ-50 מדינות שונות ברחבי העולם.
רז מרידור, סמנכ”ל בכיר למוצר ואסטרטגיה C2A קרדיט צילום: יח”צ
הפתרון שנבדק באמצעות מוצר הדגל EVSec Platform כולל יצירה אוטומטית של מערכת בדיקות “Fuzz Testing” ,טכנולוגיה שמטרתה לחשוף באגים ופגיעויות ברכיבי המחשב (Electronic Control Unit) ברכב. רכב מודרני כולל יותר מ-70 רכיבי ECU שונים, לניהול כלל מערכות הרכב – המנוע, מיזוג האוויר, מערכות מולטימדיה, קישוריות חיצוניות, כריות האוויר, מערכות בטיחות מתקדמות, ועוד. הפרויקט שבוצע עם C2A Security ו-Marelli מכסה גם זיהוי חריג בתקשורת בין ECUs והוא חדשני במיוחד מכיוון שאלגוריתמי בינה מלאכותית יכולים לזהות כל התקפות שמתנהלות ולשלוח התראות למרכז בקרה (Vehicle Security Operation Center) של חברת NTT שיכול להתערב מיידית במקרה הצורך.
בימים אלה, חתמה C2A Security על הסכם נוסף לשיתוף פעולה, עם קבוצת SEGULA Technologies הבינלאומית. שתי החברות יציעו ללקוחותיהן בתעשיית הרכב – יצרניות מכוניות, אוטובוסים ומשאיות, ולספקים שלהן – אוסף מקיף של פתרונות סייבר המותאמים לאתגרים של תעשיית הרכב שנמצאת בעיצומה של מהפכה דיגיטלית.
“לתעשיית הרכב עוד דרך ארוכה בתחום הסייבר עד שתגיע לרמת הפעילות של תעשיית ה-IT המתמודדת עם אתגרים דומים, כבר מזה שנים רבות”, מסכם מרידור. עם זאת, ברור כי על קצב ההתקדמות להיות מהיר, במיוחד נוכח המציאות המשתנה והצורך במענה מקיף ואיכותי כאשר בקצה – לא פחות מהגנה על חיי אדם.
