הקשר בין אבטחת מחשוב ובטיחות בעולם התחבורה

כתב: אבי נגר, מנכ"ל סקיורנט מקבוצת אמן

מגזר התחבורה מתפתח בצורה מהירה וכמו ענפים רבים אחרים, מתרחבים בו השירותים והפתרונות הקשורים ולעתים אף תלויים בעולם המחשוב. לארגונים רבים בענף, כמו גם למוסדות מדינה, יש כיום מודעות גבוהה לנושא המחשוב שחודר לתחומים רבים. עם זאת, המודעות לנושאי אבטחת מידע והאיומים למגזר זה אינה מספקת.

מאז שנות ה-80, מרבית מחשוב התחבורה התרכז בעולם התעופה (ענף בתוך המושג הכולל של התחבורה) ומעט בתחבורת המונים. בעשור האחרון חלה קפיצה גדולה קדימה בכל הקשור למחשוב גם בתחומים אחרים בענף התחבורה. כיום ניתן לראות מערכות מידע ומחשבים כמעט בכל תחום בתחבורה, מתשתיות כבישים, מערכות שילוט והכוונה, כירטוס וולידציה באמצעות כרטיס חכם ואמצעים ממוחשבים, מרכזי תכנון ובקרה, ומחשבי רכב עצמם או בשרותים הקשורים להם – למשל, גט טקסי (GeTaxi) בשירותי מוניות. הצרכים של מגזר זה מחייבים גם את ספקי השירותים במערכות הנלוות להשקיע רבות במחשוב תהליכים ובסינכרונם אל מול הגופים המתפעלים בכל תחום.

מחשוב במגזר התחבורה מתחלק לארבעה נדבכים מרכזיים: מערכות תומכות תשתית כגון יכולת בקרה של ניהול זמנים ומסלולים, בעיקר בתחבורה הציבורית וברכבות; מערכות שו"ב ותחזוקה, כגון מערכות תכנון ומערכות בקרה וניהול צי רכב; מערכות כספיות, בהן כבישי אגרה ותשלום בחניונים; ומערכות מחשוב ברכבים, בין אם באמצעות מחשבים ברכבים שמגבילים מהירות או אפילו יוצרים תנועה אוטומטית. באופן כללי, ניתן לראות בתחום התחבורה התפשטות של יכולת מחשוב מתקדמות מעולמות התחבורה להמונים גם לעולמות התחבורה הפרטית. ועדיין, נדמה כי בניגוד לנושאים אחרים בהם מתפתח המחשוב, המודעות לסיכוני אבטחת המידע אינה גבוהה.

בעולם המערבי נוצרה קריאה להסדרת כל הנוגע לאבטחת המידע במטוסים ובשדות התעופה כבר לפני למעלה מעשור. בארצות הברית הוקמה מחלקה בתוך המשרד לבטחון לאומי (Department of Homeland Security) שתפקידה להסדיר סוגיות אבטחה, תוך דגש על נושאי תעופה וסחר (גם ימי). באירופה פועלים כבר שנים ליצירת תקן אחיד בנושא אבטחת מידע בתחומי התחבורה. עם זאת, נדמה כי הדרך עוד ארוכה וכי הדגש הינו עדין על נושאים כמו תעופה ובקרות תנועה וכי עדין אין הבנה מלאה של הרמה העמוקה בה המחשבים נמצאים בתוך עולם התחבורה, ועל הצורך להגן עליהם.

מאחר וחלקים במגזר התחבורה בישראל מהווים תשתית קריטית למשק, וכידוע המחשוב בתחום הולך ומפתח לעוד ועוד רבדים ותחומים בו, חייבים לתת דגש לאיומי אבטחת מידע וסייבר במגזר התחבורה, בדומה לתשתיות קריטיות אחרות. חשוב להבהיר, אלה לאו דווקא בעיות אבטחת מידע חדשות, כי אם כאלו שקיימות בכלל עולם המחשוב, אך האיומים השתנו והשתכללו ועם השיפור האדיר במחשוב גדל מאוד גם פוטנציאל הנזק. האיומים כוללים את כל מרכיבי תשתית התחבורה, החל מתסריטי חבלה בדרכים שמאפשרת פגיעה בתשתיות באופן יזום, בהיבט פשיעה או אסטרטגי, ועד לחבלה או שיבוש התפקוד של כלי רכב. פוטנציאל האיומים כולל היבטים של נזק תדמיתי ותודעתי, כמו גם נזקים כלכליים ועד ביטחוניים. גם התוקפים מוכרים מעולמות מחשוב אחרים אקטיביסטיים אפילו כאלו שפועלים לפגיעה בתשתיות כסוג של שעשוע, ארגוני פשיעה למטרות שונות וכמובן כתשתית בעלת ערך אסטרטגי, גם איומיים מדינתיים.

כאמור, בהגנה על תשתיות התחבורה אין הבדל משמעותי מהתפישה הנדרשת במגזרים אחרים שצריכים להגן על תקשורת הנתונים ועל מערכות המידע בכלל. אולם יש לנתח את האיומים והסיכונים בדומה לתשתיות קריטיות המספקות שרותים לכל בית אב (כדוגמת הולכת חשמל, מים ואחרים) ולמצוא פתרונות מתאימים דרך הגורמים השונים של המגזר הפועלים בכל מרכיבי התשתית שפרטתי לעיל וכמובן בהתייחס להיקף הבעיה ופוטנציאל ההתפשטות שלה בכל מרכיב תשתית בנפרד.

על כן, לטעמי, יש צורך ליצור תקינה בנושא שתעזור לגופים השונים במגזר להערך באופן מיטבי ותאפשר קבלת תמונת מצב לגופים המפקחים ברמה המגזרית כתשתית לאומית. בכל גורם משמעותי בענף, וכל גוף שאחראי על תחום במגזר התחבורה, נדרשת יכולת שליטה בנתונים ובתהליכי עבודה של המערכות הממוחשבות. גופי התחבורה צריכים להסתכל על יכולת ניטור ארועי המחשוב וניתוח משמעותן בדיוק באופן המקצועי ועתיר הנסיון בו הם מבצעים ניתוחים דומים בתחום התחבורה עליו הם אמונים. בכלל זה נדרשים ברוב הגופים הללו שיפור ושידרוג משמעותי של יכולת ניטור וזיהוי התהליכים האנומליים ברשת, תוך קבלת תמונת מצב, של מערך המחשוב הכולל, יציבותו ואמינותו, לצד תמונת המצב העסקית והתחבורתית בצורה שתשקף למקבלי ההחלטות תמונה נאמנה של הבעיה, גורמיה והשלכותיה ומתוך הבנה מלאה על הקשר ההדוק בין הנושאים. מאחר ומדובר על תשתית לאומית בחלק מתחומי המגזר ומאחר וקיימות השלכות בין התחומים השונים בתוך המגזר, על המדינה להסדיר את הנושאים הללו, כפי שעשתה במגזרים אחרים.

בחברת החשמל, לדוגמה, לצד התפעול והייצור של מערך החשמל והביקורת הקפדנית עליו, נבנה מערך מקיף של ניטור הסייבר והאבטחה כחלק בלתי נפרד מהיכולת של החברה לנתח איומים בתמונה רחבה ולספק מענה מהיר ומתאים לאיום במטרה להמשיך ולספק שירות רציף ואמין. כפי שפועל בנושא משרד האנרגיה, כך גם משרד התחבורה חייב לתקנן ולהבין את אחריותו בקביעת הקריטריונים והפיקוח. בהתאם יצטרכו הגופים המפוקחים ליישר קו. זהו שינוי תפישה שיתחיל מהרגולטור ויגיע לספקי השרות בכל אחד מהתחומים של המגזר ועד לייצרנים בנושאים מסויימים.

אנו, באמן, פועלים בנושא עם גופים במגזרים שונים ואני מאמין שהגיע הזמן לקדם את תחום הסייבר גם בתחבורה תוך הרחבת תשתיות אבטחת המידע והסייבר, קידום רגולציה מתאימה והקמת מרכז SOC מגזרי ומערכות איסוף, ניתוח ודיווח בגופים השונים. באופן זה יוכלו כל הגורמים לקבל תמונת מצב ולזהות אירועים בצורה מתוחכמת יותר ולהגיב להם בצורה מתאימה ומהירה יותר.