C2A Security

C2A תאבטח את מערכת ההפעלה לרכב של ThunderSoft

פורסם בתאריך ע"י Techtime

בתמונה למעלה: Macan SUV של פורשה. נאלצה להפסיק את שיווקו בשל אי-עמידה ברגולציית סייבר

לפני כחודש השיקה ענקית התוכנה הסינית ThunderSoft מערכת הפעלה לכלי-רכב, DISHUI OS. פיתוח מערכת ההפעלה בוצע בשיתוף כ-18 חברות, ובהן בלקברי, ARM, אמזון, Horizon Robotics, מיקרו-צ'יפ, יצרניות הרכב הסיניות GAC Aion, Dongfeng Motor ו-Neta Auto – וכן חברת C2A Security הישראלית. ThunderSoft ו-C2A משתפות פעולה מזה כשנה וחצי, כאשר חברת התוכנה הסינית משמשת כמפיצה של C2A Security בסין.

DISHUI OS היא מערכת הפעלה אגנוסטית, שיצרניות רכב יכולות להטמיע כתשתית התוכנה של המחשב המרכזי ברכב. המערכת מיועדת לנהל את כלל יישומי והתקשורת הרכב. לדברי ThunderSoft, המערכת עושה שימוש במודלי שפה גדולים (LLM), והיא תומכת בווירטואליזציה של קונטיינרים (containers) ותוכנות-ביניים (SDV Middleware), וזאת כדי לאפשר ליצרניות הרכב גמישות בעיצוב הממשק והטמעת יישומים חדשים. לדברי ThunderSoft, מערכת ההפעלה כבר מוטמעת בפלטפורמת מחשוב לרכב (cockpit) בשוק הרכב המקומי' מערכת ההפעלה כבר מוטמעת בפלטפורמת מחשוב לרכב (cockpit) בשוק הרכב המקומי.

ניהול אבטחת הסייבר, עד שהרכב יורד מהכביש

הפתרון של C2A Security אחראי להיבט אבטחת הסייבר של מערכת ההפעלה. בשיחה עם Techtime הסביר מנכ"ל C2A Security, רועי פרידמן, על חשיבות הפרויקט. "מעטות הן חברות התוכנה שיכולות להוציא לפועל פרויקט פיתוח בסדר גודל כזה, כפי שעשו ThunderSoft עם השקת מערכת ההפעלה לכלי-רכב. מערכת הפעלה מאגדת המון פונקציות, חיבור לענן, ושבבים. זה אקוסיסטם שלם, שמתבטא במספר הרב של השותפות בפרויקט. אנחנו אחראים למעטפת של אבטחת הסייבר של המוצר."

C2A Security פיתחה פלטפורמה בשם EVSEC, המאפשרת ליצרניות רכב וספקיות מערכות לנהל את כל היבטי הסייבר משלב הפיתוח ולכל אורך מחזור החיים של הרכיבים והמערכות גם לאחר יציאת הדגם לכביש. הפלטפורמה כוללת כלים אוטומטיים שמוודאים כי רכיבי התוכנה ביחידות הבקרה האלקטרוניות (ECUs) ברכב עומדים ברגולציות ובתקנים השונים המקובלים כיום בתעשיית הרכב כמו WP.29 ו-ISO 21434.

המחדל של פורשה

הפתרון גם מספק הגנת "חומת אש" על התקשורת בערוץ CAN, ותוכנת המזהה חדירות לרשת ובולמת אותן באמצעות שילוב של בדיקת פרמטרים שונים ביחד עם הפעלת תוכנת לימוד מכונה המאתרת חריגות בלתי מוסברות בהתנהגות הרשת. פרידמן: "הרגולציה הקשורה להגנת סייבר ברכבים הולכת ומחמירה. המערכת שלנו מבטיחה שמערכת ההפעלה ברכב תעמוד בדרישות הרגולטוריות".

בחודש שעבר הודיעה יצרנית הרכב פורשה כי תפסיק לשווק בחודשים הקרובים את הדגם Macan SUV באיחוד האירופי, וזאת מאחר שהדגם אינו עומד בתקנה 155 של האו"ם, המחייבת יצרניות רכב להטמיע מערכת ניהול איומי סייבר בדגמים חדשים, בדומה למערכת של C2A Security. מדובר באחד הדגמים הפופולריים ביותר של פורשה, שמכרה במחצית הראשונה של 2023 כ-47,500 מכוניות מהדגם זה. פורשה מסרה כי תיקון הליקוי לאחר יציאת הדגם לכביש הינו יקר מדי – ולכן החליטה לחדול משיווק הדגם.

"כיום חברות רכב מקימות מרכזי בקרת סייבר פנימיים"

פורסם בתאריך ע"י yochais

על רקע התגברות איומי הסייבר בעולם הרכב, והדרישה של הרגולציה לעמידה בתקני הגנת סייבר מחמירים יותר, יצרניות רכב (OEM) וספקיות מערכות (Tier-1) מקימות כיום באופן פנימי (in-house) מרכזי בקרה ושליטה בתחום הסייבר, מה שקרוי Security Operations Center (SOC). ממרכזי הבקרה הללו, שמקובלים בתעשיות אחרות, מנהלים אנשי אבטחת המידע באופן שוטף את היבטי הסייבר של מערך התפעולי.

בדרך כלל, פעילות ה-SOC מתבססת על ניטור של תעבורת המידע, במטרה לזהות אנומליות ואירועים חריגים שעשויים להצביע על איום סייבר – ולהגיב בהתאם. חברת C2A Security מירושלים השיקה באחרונה פיתרון תוכנה וירטואלי חדש, vSOC Analyzer, אשר מיועד להטמעה באותם חדרי בקרה. ה-vSOC Analyzer מספק לאנשי אבטחת הסייבר בארגון מידע מרובד יותר שמסייע להם לנהל את הסיכונים ולהגיב לאירועים בצורה יעילה וממוקדת יותר.

הפיתרון הוא למעשה רכיב במוצר הדגל של C2A, פלטפורמה בשם EVSEC, המאפשרת ליצרניות רכב וספקיות מערכות לנהל את כל היבטי הסייבר משלב פיתוח ולכל אורך מחזור החיים של הרכיבים והמערכות גם לאחר יציאת הדגם לכביש. הפלטפורמה כוללת כלים אוטומטיים שמוודאים כי רכיבי התוכנה ביחידות הבקרה האלקטרוניות (ECUs) ברכב עומדים ברגולציות ובתקנים השונים המקובלים כיום בתעשיית הרכב כמו WP.29 ו-ISO 21434.

יותר שורות קוד מבמטוס קרב

רז מרידור [בתמונה למעלה], סמנכ"ל המוצר והאסטרטגיה של C2A הסביר ל-Techtime. "זוהי פלטפורמת DevSecOps לתחום הרכב. היא מאפשרת ליצרניות רכב וספקיות מערכות לייעל את כל תהליכי אבטחת הסייבר והעמידה ברגולציה. כיום כל רכיב ברכב חייב לעמוד בתקינה מחמירה. רכב כולל כיום הרבה יותר שורות קוד ממטוס קרב, והתהליכים האלה מתבצעים בצורה ידנית. הפלטפורמה שלנו מלווה את הלקוחות בכל שלבי הפיתוח, משלב התכנון ועד הייצור ופוסט-ייצור, והופכת את התהליכים לאוטומטיים ויעילים יותר מבחינת זמן, עלויות והיכולת לגלות טעויות."

כאמור, הפיתרון החדש לחדרי הבקרה מספק לאנשי האבטחה מידע קריטי השואב מכל מחזור החיים של הרכיב, וזאת כדי להבין טוב יותר כיצד, ועל אילו רכיבים ומערכות, עשויה המתקפה או חולשת הסייבר שהתגלתה להשפיע על ציי הרכב. "כיום, ה-SOC בתעשיית הרכב מתבססים בעיקר על כלים סטטיסטיים כדי לזהות חריגות. אבל הדבר החשוב בניהול האירוע הוא להבין עד כמה ההתראה חשובה ומסוכנת. גם כשהרכב נמצא על הכביש מתגלות חולשות, וכשמתגלות חולשות לא פשוט לאתר לאיזה פרויקט ורכיב היא רלוונטית וכיצד היא תשפיע ומה רמת הסיכון. המודול שלנו עושה את זה באופן אוטומטי."

מרידור מצביע על נקודת תורפה נוספת בתשתית הציבורית של רכבים חשמליים: עמדות טעינה. גם בעמדות טעינה יש המון משטחי תקיפה, וגם לכך הפלטפורמה שלנו נותנת מענה. שוק הרכב הוא שוק מסורתי מצד אחד, אך הוא נע מאוד מהר בגלל מהפכת הרכב החשמלי והאוטונומי. אין עדיין רגולציה שנוגעת לעמדות טעינה, וזאת למרות שהן עשויות לכלול חולשות בשל החיבור לרשת החשמל. תוקפים יכולים להשתלט על עמדת הטעינה ולגרום לטעינת יתר או נזק אחר."