בלעדי
משרד התחבורה ליבואני הרכב: כך תתגוננו מפני התקפות סייבר
משרד התחבורה הפיץ לראשונה טיוטת נהלים למוסכים ויבואני רכב כדי להטמיע הגנת סייבר על רכבים ומתקני שירות, זאת במטרה למנוע תקיפות סייבר וטרור. הנהלים מתמקדים בהגברת האבטחה על רכבים, עמדות טעינה ומערכות שירות - בדגש שמירה על בטיחות ופרטיות הנוסעים
כבר זמן רב שתקיפות סייבר על רכבים מהוות איום רציני על יצרנים, ספקי שירותים ויבואני רכב. מסיבה זו הפיץ היום (ד') לראשונה משרד התחבורה טיוטה בקרב יבואני הרכב נהלים להטמעות של הגנת סייבר במוסכים, רכבים ומתקנים של יבואני רכב.
מטרת המהלך: למנוע אירועי טרור עתידיים בהם גורמים עוינים יוכלו "לגרום לפגיעה משמעותית ברציפות התפקודית והעסקית, מניעת שירות לתהליכים מרכזיים במשק, ובמקרים מסוימים אף לסיכון חיי אדם". כלומר, למנוע מצבים בהם גורמי טרור יוכלו להשבית מכוניות, לפגוע ברשת הטעינה, לייצר פקקים ואפילו להשבית רכבי כוחות הביטחון.
בפועל, המסמכים והנהלים שמשרד התחבורה מפרסם הם ראשונים מסוגם ועוסקים באפשרות ממשית שגורמי טרור ישתלטו על מכוניות או על התשתיות התומכות במכוניות. למשל מוסכי שירות, אמצעי טעינה של רכב ועוד.
נהלי הסייבר של משרד התחבורה שנחשפים כעת לראשונה יוטמעו בשלב ראשון במועד שיקבע בקרוב במוסכי שירות של יבואני הרכב הישירים (היבואנים הוותיקים) - וגם במערכות המחשוב של היבואנים הגדולים, וכוללים את מה שבמשרד התחבורה מגדירים כ"הליך אסדרה וכתיבה של הנחיות סייבר ואבטחת מידע לעולם הרכב בהיבטים תהליכיים וטכנולוגיים אשר מטרתן לשמר את המענה ההגנתי הקיים ברכב בתקינה האירופית, לצמצם את סיכוני הסייבר לאורך כל מחזור חייו ולאפשר מתן שירות סדיר וזמין". כלומר, נהלי סייבר שיהיו תקפים לרוב המכוניות המודרניות שישווקו בישראל בשנים הקרובות.
הנהלים שמשרד התחבורה הפיץ הם כעת בגדר טיוטה בלבד, מדובר בקווים מנחים שנשלחו ליבואני הרכב - שלפיהם יגובשו בקרוב נהלי הגנת סייבר לרכבים בישראל באופן סופי. לפי עיקרי הנהלים, יבואני רכב ישירים יידרשו להסמכה מיוחדת של כל הארגון כך שיעמוד בתקן אבטחת סייבר שיקבע על ידי משרד התחבורה. היבואנים שיוסמכו יהיו חייבים לעמוד בחוק הגנת הפרטיות. כל יבואן יחויב להגיש למשרד התחבורה "מדיניות הגנת סייבר ארגונית" שתיבדק אחת לשנה בהתאם לאיומי סייבר משתנים ולחומרתם. יבואני הרכב יחויבו בהעסקת "ממונה הגנת סייבר" או לסירוגין אחראי תחום סייבר במיקור חוץ וגם להקים אצל כל יבואן "ועדת היגוי להגנת סייבר שתתכנס אחת חצי שנה לצורך עדכונים. הוועדה תקבע בין היתר אילו הדרכות סייבר יעברו עובדי היבואן – כולל הדרג הניהולי".
במשרד התחבורה מגדירים לראשונה גם את האיומים הפיזיים למכוניות ונוסעיהן על ידי האקרים ותקיפות סייבר מצד גורמים עוינים. כך, במשרד מגדירים כמה רמות פגיעה: פגיעה בבטיחות – האיום לפגיעה ברכב ורמת הבטיחות המסופקת למשתמש, פגיעה בשלמות ואמינות - פגיעה במעבר המידע בין היבואן למערכות השירות, או ניסיונות הונאה, פגיעה בזמינות - שיבוש של יכולת לספק מידע ושירות, למשל פגיעה בעמדות טעינה לרכב חשמלי- ודליפת מידע ופגיעה בצנעת הפרט.
במסגרת הטיפול באיומי הסייבר הטיוטה מפרטת גם שורה ארוכה של צעדי מנע שידרשו בעתיד מיבואני הרכב: מעקב אחר עדכוני אבטחת מידע במערכת ההפצה, ניטור של כל אירוע חריג ברכבים או במערכות של היבואן ודיווח עליו, ניהול יכולת עצמאית לטפל באירוע סייבר ברכב (לפני הדיווח עליו למשרד התחבורה) ואפילו מיפוי של הספקים החיצוניים של כל יבואן רכב מבחינת רמת הסיכון שהם עלולים להוות להגנות הסייבר שלו - כמו גם הפצת עלונים ללקוחות אשר יידעו אותם על סיכוני סייבר.
רשימת ההוראות המופיעות בטיוטה שמיועדת למוסכים כוללת גם היא עשרות דרישות שמיועדות למנוע מצב בו האקרים או גורמי טרור יחדרו למחשבי רכב דרך רשתות המוסכים. במסגרת זו, יידרשו מוסכים של יבואני הרכב הישירים (היבואנים הוותיקים) בכתיבת נהלי סייבר ועמידה בהם, מה שייבדק אחת לשנה על ידי יחידת הסייבר של משרד התחבורה. המוסכים עצמם יצטרכו להגדיר מראש מי יהיו העובדים שיורשו להתחבר לרכבים. כלומר לא כל עובד יהיה מורשה: "להשתמש בכלי תוכנה, קושחה, ציוד תמיכה , ציוד תעבורה רגיש ונקודות התמשקות", לשון המסמך. גם ביצוע עדכוני תוכנה לרכב יותר רק למי שמורשה לעשות זאת ויוגדר כבעל תפקיד שמורשה לפעולות סייבר. לפי מסמכי הטיוטה, עובדים שיהיה מורשי סייבר יוכלו לדוגמה לעסוק ב: "ביצוע עדכוני מערכת הפעלה ועדכונים אבטחתיים לכלי תוכנה, ציוד תמיכה והתקנים, בהינתן שקיים חומר קריפטוגרפי כגון תעודות, מפתחות וכיו"ב".
