קיצור טווח מרחוק, איסוף מידע ואיסור על רכב סיני בצה"ל: היכן ההגנה על נהגים מאיומי סייבר?
בישראל הוגשה בקשה לתביעה ייצוגית נגד החברה הסינית BYD והיבואנית שלמה מוטורס, בה נטען כי הנהגים לא ידעו כנדרש על איסוף מידע עליהם והעברתו לסין; חוק הסייבר שאמור להסדיר את התחום עדיין תקוע בכנסת
בשבוע שעבר התרחש בסין מאורע חשוב: לפי דיווח בסוכנות הידיעות הממשלתית China Media Group, בעלי מכוניות BYD שביצעו עדכוני OTA גילו שמכוניותיהם עברו "נעילת סוללה". התוצאה: בעוד ש-BYD הצהירה שמדובר במכונית שמסוגלת לנסוע 500 קילומטרים לפי התקן הגרמני, במציאות המכוניות יכולות לנסוע רק 300 קילומטרים לאחר העדכון. מדובר בפגיעה משמעותית ביכולות הרכב.
עדכוני OTA הם עדכונים שיצרני הרכב יכולים לשדר למכוניות מרחוק (OTA: Over The Air). בעלי מכוניות מודרניות מכירים את הפרקטיקה היטב: בעל הרכב מקבל הודעה במסך המכונית, בדיוק כמו בסמארטפון, ובה היצרן מודיע על עדכון מערכת. בעל הרכב מאשר את העדכון — ולעיתים הוא כלל אינו נדרש לאשר — ואחרי כמה שעות הרכב עובר שינוי: תפריטי המסך מסודרים מחדש, או שמערכות הסייבר משודרגות. שינויים אלה מוגבלים למישור התוכנה בלבד; עדכוני OTA אינם יכולים לתקן פתח מזגן שנשבר או זוויות הגה — אך בעולם ההנעה החשמלית, בין אם מדובר בפלאג-אין היברידי ובין אם ברכב חשמלי מלא, יכולותיהם נרחבות מאוד. העובדה שעדכוני OTA מסוגלים לגרוע מהטווח החשמלי של מכונית היא קריטית: ברכב בנזין, הטווח נקבע לפי נפח מיכל הדלק — שלא ניתן לשנות מהאוויר. לעומת זאת, מגבלת טעינה על סוללה היא פרמטר שניתן לשנות בעדכון מרחוק.
עדכונים מרחוק של מערכות רכב, ולסירוגין גם היכולת של גורמים זדוניים "לשאוב" מידע מן הרכב, אינם נושא חדש. בצה"ל כבר הובן בשנה שעברה שרכבים חשמליים עשויים לשדר מידע לגורמים עוינים. בקשה לתביעה ייצוגית שהוגשה לאחרונה נגד BYD והיבואנית בישראל, קבוצת שלמה מוטורס, קובעת לכאורה כי מכוניות BYD אוספות מידע על הנהגים ומעבירות אותו לחו"ל, מבלי שהיבואנית או היצרנית יידעו את הלקוחות כנדרש.
באופן כללי, קשה להתעלם מכך שבישראל הנושא של הגנות סייבר על רכבים רחוק מלהיות אטום. בכל הנוגע לסייבר, אבטחת רכב ופיקוח על עדכוני OTA, מדינת ישראל מתבססת במידה רבה על התקינה האירופית. באירופה קיימים תקני "יורו" למכוניות הכוללים דרישות לזיהום אוויר — אך בתקן החדש, שייכנס לתוקף בנובמבר הקרוב, לא יסתפקו עוד בדרישות סביבתיות בלבד: תקן יורו 7 יכלול לראשונה גם דרישות סייבר. הבעיה היא שדרישות הסייבר האירופיות נועדו למנוע זיהום, לא טרור. הסעיפים העיקריים שתקן יורו 7 מגדיר הם: מניעת פריצה למחשב הרכב להגברת הספק על חשבון פליטות; מניעת ביטול חיישני ניטור זיהום; מניעת מחיקת קודי תקלות דרך שקעי הדיאגנוזה; ומניעת חסימת התקנת תוכנה שמוודאת עמידה בתקני פליטות. כללים אלה מתאימים למי שרוצה אוויר נקי — לא למי שחושש שיצרן הרכב יקצר את טווח הנסיעה שלו, או שגורמים עוינים יגרמו לרכבו לצלם בסיס צבאי ולשדר את המידע לסין.
כאן ישראל כן מעורבת: בספטמבר 2025 פורסם תזכיר חוק רישוי שירותים ומקצועות בענף הרכב העוסק בסייבר, המגדיר מי יהיה אחראי על עניינים אלה. לפי עיקרי התזכיר: "מאז נכנס החוק לתוקף, סוגיית הסייבר ברכבים הולכת ותופסת מקום יותר ויותר משמעותי, הן לנוכח המגמה של גידול השימוש במחשבים וציוד דיגיטלי ברכבים, ומנגד, לנוכח התגברות תקיפות הסייבר במרחב. במטרה לתת מענה להתפתחויות אלה, מוצע להסמיך את שר התחבורה לקבוע דרישות והוראות סייבר שיחולו על בעל רישיון לפי החוק." כלומר, שרת התחבורה היא שתקבע מה מותר ומה אסור בעולם הרכב המקושר. מה בדיוק יקבעו הכללים? לעת עתה אין תשובה — אך סביר שיגדירו מה מותר בעדכוני OTA, איזה מידע רשאים רכבים לאסוף ולשדר, מה מותר ליצרן לנטרל מרשימת האבזור (חימום, טווח נסיעה ועוד), ומה תהיה עמדת המערכת הביטחונית בנושא.
לקביעת כללי סייבר יש משקל מכריע על ענף הרכב הישראלי. ישראל היא מדינה שבה, מצד אחד, רכב חשמלי סיני אסור להיכנס לבסיסים צבאיים — ומצד שני, עיקר ההיצע שמקבלים עובדי חברות הייטק גדולות, חלקן עובדות גם עם מערכת הביטחון, כולל רכבים סינים חשמליים. כללים מגבילים עלולים להוות חסם משמעותי. יבואני הרכב ממעטים להתייחס לנושא ומשדרים עסקים כרגיל, אך פה ושם ניתן למצוא התייחסויות של מי שמחויב בדיווח. כך, בדוחות 2025 של קבוצת קרסו, יבואנית צ'רי, מציינת החברה כי תזכיר חוק רישוי הרכב העוסק בסייבר "עלול להביא לפגיעה בפעילות החברה ובתוצאותיה העסקיות." במהלך החודשים האחרונים קיימו נציגי יצרני הרכב הסינים שיחות עם גורמים בממשלה ובמשרד התחבורה בנושא. חלקם אף הציעו שרכיבים מסוימים יגיעו ארצה בנפרד מהרכב ויותקנו בישראל על ידי עובדים ישראלים תחת השגחה — אך עד כה יוזמה זו לא התקדמה.
ממשרד התחבורה נמסר: "הצעת החוק להסמכת המנהל בעניינים הקשורים לסייבר פורסמה בהצעות חוק ממשלה בדצמבר 2025 והוגשה למזכירות הכנסת לצורך אישורה בקריאה ראשונה והמשך הליך החקיקה, אשר טרם התקדם בפועל בכנסת. במקביל, משרד התחבורה כבר פועל לגיבוש מעטפת הנחיות מקצועיות לגורמים המקצועיים במשק, תוך בחינת המשמעויות הנגזרות מכך על המשק וציבור בעלי הרכבים, במטרה לייצר את המנגנונים המתאימים ולשפר את רמת ההגנה בפני מתקפות סייבר בשוק הרכב בישראל. לכשיושלמו התהליכים, המשרד יפיץ את ההנחיות בדרכים שתיקבענה."
