מיצובישי אימצה את הפלטפורמה של C2A Security הישראלית

[בתמונה: רכב של מיצובישי. מקור: אתר מיצובישי מוטורס]

שיתוף פעולה משמעותי נוסף לחברת C2A Security בתעשיית הרכב העולמית. יצרנית הרכב היפנית מיצובישי מוטורס תאמץ את פלטפורמת EVSec של C2A Security לצורך ניהול תהליכי אבטחת סייבר ברכבים של מיצובישי. ההסכם בין יצרנית הרכב היפנית וחברת הסטארט-אפ הישראלית נחתם באמצעות חברת הייעוץ Accenture. 

 

בחודש מרץ דיווחה C2A Security כי דיימלר משאיות (Daimler Truck AG), יצרנית המשאיות והרכבים המסחריים הגדולה בעולם, אימצה את הפלטפורמה. מיצובישי, שבסיסה בטוקיו, היא חלק מברית רנו-ניסאן-מיצובישי, ולמעשה חברת ניסאן מחזיקה בכשליש מהבעלות על מיצובישי. בשנת 2023 ייצרה מיצובישי כמיליון כלי-רכב.

פלטפורמת EVSEC של C2A Security מאפשרת ליצרניות רכב וספקיות מערכות לנהל את כל היבטי הסייבר משלב הפיתוח ולכל אורך מחזור החיים של הרכיבים והמערכות גם לאחר יציאת הדגם לכביש. הפלטפורמה כוללת כלים אוטומטיים שמוודאים כי רכיבי התוכנה ביחידות הבקרה האלקטרוניות (ECUs) ברכב עומדים ברגולציות ובתקנים השונים המקובלים כיום בתעשיית הרכב כמו WP.29 ו-ISO 21434. הפתרון גם מספק הגנת "חומת אש" על התקשורת בערוץ CAN, ותוכנה המזהה חדירות לרשת ובולמת אותן באמצעות שילוב של בדיקת פרמטרים שונים ביחד עם הפעלת תוכנת לימוד מכונה המאתרת חריגות בלתי מוסברות בהתנהגות הרשת.

בשנים האחרונות אנחנו עדים לגידול משמעותי בחדשנות הטכנולוגית מבוססת-תוכנה של הרכבים,  אשר בתורה מרחיבה את כמות הפונקציות והמידע שיש להגן עליו, מה שמחייב כלים אוטומטיים כמו של C2A Security.

מיצובישי גם נערכת לפרוס במהלך 2024 שירות טעינה חכמה לרכבים חשמליים מבוססי תוכנה מתוצרתה, שגם עבורו נדרשת הגנת סייבר מחמירה כך שהמערכת של C2A Security תשמש אותה גם לאבטחתו.

מיצובישי מוטורס מצטרפת לרשימה של יצרניות רכב וספקיtier 1  שכבר עובדים עם C2A Security כלקוחות, שותפים, ופרויקטי POC, בהם: Daimler Truck AG (דיימלר משאיות), קבוצת BMW Innovation Labs, VinCSS, Marelli, NTT Data, Siemens, Valeo, Evvo Labs, ThunderSoft ואחרים. 

C2A תאבטח את מערכת ההפעלה לרכב של ThunderSoft

בתמונה למעלה: Macan SUV של פורשה. נאלצה להפסיק את שיווקו בשל אי-עמידה ברגולציית סייבר

לפני כחודש השיקה ענקית התוכנה הסינית ThunderSoft מערכת הפעלה לכלי-רכב, DISHUI OS. פיתוח מערכת ההפעלה בוצע בשיתוף כ-18 חברות, ובהן בלקברי, ARM, אמזון, Horizon Robotics, מיקרו-צ'יפ, יצרניות הרכב הסיניות GAC Aion, Dongfeng Motor ו-Neta Auto – וכן חברת C2A Security הישראלית. ThunderSoft ו-C2A משתפות פעולה מזה כשנה וחצי, כאשר חברת התוכנה הסינית משמשת כמפיצה של C2A Security בסין.

DISHUI OS היא מערכת הפעלה אגנוסטית, שיצרניות רכב יכולות להטמיע כתשתית התוכנה של המחשב המרכזי ברכב. המערכת מיועדת לנהל את כלל יישומי והתקשורת הרכב. לדברי ThunderSoft, המערכת עושה שימוש במודלי שפה גדולים (LLM), והיא תומכת בווירטואליזציה של קונטיינרים (containers) ותוכנות-ביניים (SDV Middleware), וזאת כדי לאפשר ליצרניות הרכב גמישות בעיצוב הממשק והטמעת יישומים חדשים. לדברי ThunderSoft, מערכת ההפעלה כבר מוטמעת בפלטפורמת מחשוב לרכב (cockpit) בשוק הרכב המקומי' מערכת ההפעלה כבר מוטמעת בפלטפורמת מחשוב לרכב (cockpit) בשוק הרכב המקומי.

ניהול אבטחת הסייבר, עד שהרכב יורד מהכביש

הפתרון של C2A Security אחראי להיבט אבטחת הסייבר של מערכת ההפעלה. בשיחה עם Techtime הסביר מנכ"ל C2A Security, רועי פרידמן, על חשיבות הפרויקט. "מעטות הן חברות התוכנה שיכולות להוציא לפועל פרויקט פיתוח בסדר גודל כזה, כפי שעשו ThunderSoft עם השקת מערכת ההפעלה לכלי-רכב. מערכת הפעלה מאגדת המון פונקציות, חיבור לענן, ושבבים. זה אקוסיסטם שלם, שמתבטא במספר הרב של השותפות בפרויקט. אנחנו אחראים למעטפת של אבטחת הסייבר של המוצר."

C2A Security פיתחה פלטפורמה בשם EVSEC, המאפשרת ליצרניות רכב וספקיות מערכות לנהל את כל היבטי הסייבר משלב הפיתוח ולכל אורך מחזור החיים של הרכיבים והמערכות גם לאחר יציאת הדגם לכביש. הפלטפורמה כוללת כלים אוטומטיים שמוודאים כי רכיבי התוכנה ביחידות הבקרה האלקטרוניות (ECUs) ברכב עומדים ברגולציות ובתקנים השונים המקובלים כיום בתעשיית הרכב כמו WP.29 ו-ISO 21434.

המחדל של פורשה

הפתרון גם מספק הגנת "חומת אש" על התקשורת בערוץ CAN, ותוכנת המזהה חדירות לרשת ובולמת אותן באמצעות שילוב של בדיקת פרמטרים שונים ביחד עם הפעלת תוכנת לימוד מכונה המאתרת חריגות בלתי מוסברות בהתנהגות הרשת. פרידמן: "הרגולציה הקשורה להגנת סייבר ברכבים הולכת ומחמירה. המערכת שלנו מבטיחה שמערכת ההפעלה ברכב תעמוד בדרישות הרגולטוריות".

בחודש שעבר הודיעה יצרנית הרכב פורשה כי תפסיק לשווק בחודשים הקרובים את הדגם Macan SUV באיחוד האירופי, וזאת מאחר שהדגם אינו עומד בתקנה 155 של האו"ם, המחייבת יצרניות רכב להטמיע מערכת ניהול איומי סייבר בדגמים חדשים, בדומה למערכת של C2A Security. מדובר באחד הדגמים הפופולריים ביותר של פורשה, שמכרה במחצית הראשונה של 2023 כ-47,500 מכוניות מהדגם זה. פורשה מסרה כי תיקון הליקוי לאחר יציאת הדגם לכביש הינו יקר מדי – ולכן החליטה לחדול משיווק הדגם.

"כיום חברות רכב מקימות מרכזי בקרת סייבר פנימיים"

על רקע התגברות איומי הסייבר בעולם הרכב, והדרישה של הרגולציה לעמידה בתקני הגנת סייבר מחמירים יותר, יצרניות רכב (OEM) וספקיות מערכות (Tier-1) מקימות כיום באופן פנימי (in-house) מרכזי בקרה ושליטה בתחום הסייבר, מה שקרוי Security Operations Center (SOC). ממרכזי הבקרה הללו, שמקובלים בתעשיות אחרות, מנהלים אנשי אבטחת המידע באופן שוטף את היבטי הסייבר של מערך התפעולי.

בדרך כלל, פעילות ה-SOC מתבססת על ניטור של תעבורת המידע, במטרה לזהות אנומליות ואירועים חריגים שעשויים להצביע על איום סייבר – ולהגיב בהתאם. חברת C2A Security מירושלים השיקה באחרונה פיתרון תוכנה וירטואלי חדש, vSOC Analyzer, אשר מיועד להטמעה באותם חדרי בקרה. ה-vSOC Analyzer מספק לאנשי אבטחת הסייבר בארגון מידע מרובד יותר שמסייע להם לנהל את הסיכונים ולהגיב לאירועים בצורה יעילה וממוקדת יותר.

הפיתרון הוא למעשה רכיב במוצר הדגל של C2A, פלטפורמה בשם EVSEC, המאפשרת ליצרניות רכב וספקיות מערכות לנהל את כל היבטי הסייבר משלב פיתוח ולכל אורך מחזור החיים של הרכיבים והמערכות גם לאחר יציאת הדגם לכביש. הפלטפורמה כוללת כלים אוטומטיים שמוודאים כי רכיבי התוכנה ביחידות הבקרה האלקטרוניות (ECUs) ברכב עומדים ברגולציות ובתקנים השונים המקובלים כיום בתעשיית הרכב כמו WP.29 ו-ISO 21434.

יותר שורות קוד מבמטוס קרב

רז מרידור [בתמונה למעלה], סמנכ"ל המוצר והאסטרטגיה של C2A הסביר ל-Techtime. "זוהי פלטפורמת DevSecOps לתחום הרכב. היא מאפשרת ליצרניות רכב וספקיות מערכות לייעל את כל תהליכי אבטחת הסייבר והעמידה ברגולציה. כיום כל רכיב ברכב חייב לעמוד בתקינה מחמירה. רכב כולל כיום הרבה יותר שורות קוד ממטוס קרב, והתהליכים האלה מתבצעים בצורה ידנית. הפלטפורמה שלנו מלווה את הלקוחות בכל שלבי הפיתוח, משלב התכנון ועד הייצור ופוסט-ייצור, והופכת את התהליכים לאוטומטיים ויעילים יותר מבחינת זמן, עלויות והיכולת לגלות טעויות."

כאמור, הפיתרון החדש לחדרי הבקרה מספק לאנשי האבטחה מידע קריטי השואב מכל מחזור החיים של הרכיב, וזאת כדי להבין טוב יותר כיצד, ועל אילו רכיבים ומערכות, עשויה המתקפה או חולשת הסייבר שהתגלתה להשפיע על ציי הרכב. "כיום, ה-SOC בתעשיית הרכב מתבססים בעיקר על כלים סטטיסטיים כדי לזהות חריגות. אבל הדבר החשוב בניהול האירוע הוא להבין עד כמה ההתראה חשובה ומסוכנת. גם כשהרכב נמצא על הכביש מתגלות חולשות, וכשמתגלות חולשות לא פשוט לאתר לאיזה פרויקט ורכיב היא רלוונטית וכיצד היא תשפיע ומה רמת הסיכון. המודול שלנו עושה את זה באופן אוטומטי."

מרידור מצביע על נקודת תורפה נוספת בתשתית הציבורית של רכבים חשמליים: עמדות טעינה. גם בעמדות טעינה יש המון משטחי תקיפה, וגם לכך הפלטפורמה שלנו נותנת מענה. שוק הרכב הוא שוק מסורתי מצד אחד, אך הוא נע מאוד מהר בגלל מהפכת הרכב החשמלי והאוטונומי. אין עדיין רגולציה שנוגעת לעמדות טעינה, וזאת למרות שהן עשויות לכלול חולשות בשל החיבור לרשת החשמל. תוקפים יכולים להשתלט על עמדת הטעינה ולגרום לטעינת יתר או נזק אחר."