עולם התעופה האזרחית לא מוכן למתקפת הסייבר

עם העלייה בתחכום ובמורכבות של מתקפות הסייבר, עולה הצורך לשאול: האם הרגולטור, חברות התעופה והיצרנים מוכנים להתמודדות עם האיום? בינתיים התשובה היא שלא

לפני חודש בדיוק, ב-14 לאפריל 2015, הגיש ה-FBI בקשה להחרים את ציוד המיחשוב של בחור בשם כריס רוברטס. במסגרת התצהיר, נטען כי יש יסוד לחשד שכריס פרץ למערכות האלקטרוניות של מטוסי נוסעים, תוך כדי טיסה, במשך 15 – 20 פעמים במהלך החמש שנים האחרונות.

רוברטס, כך נטען, הצליח, בין השאר, לגרום למנוע אחד להאיץ על ידי כך שהוא העביר למנוע פקודה של "טיפוס" במקום פקודת "שיוט" ומכיוון שהיה זה רק מנוע אחד, המטוס סיבסב (אף המטוס זז הצידה). כריס עצמו טוען שיש ביכולתו לשנות את הפקודה של כוון הטיסה, המועברת לטייס האוטומטי, להפיל את מסכות החמצן בתא הנוסעים וכיוצא באלו. עם העלייה בתחכום ובמורכבות של מתקפות הסייבר, עולה הצורך לשאול: האם הרגולטור, חברות התעופה והיצרנים מוכנים להתמודדות עם האיום?

לפי פרסומי המכון האמריקאי לאווירונאוטיקה ואסטרנאוטיקה – התעופה האזרחית אחראית להטסת 2.6 מיליארד נוסעים בשנה ו-48-מיליון טון מטען – בשנה אחת. זו תעשייה המחוללת 3.5% מהתוצר הלאומי הגולמי, בעולם כולו.

מטוס בשדה תעופה צילום: מתוך ויקיפדיה

לרוחב תעשיית התעופה כיום, מתבצעות פעולות רחבות היקף במטרה לאפשר לשלש את כמות הטיסות תוך כדי שיפור במחירים, בבטיחות וביכולת לעמוד בזמנים. היכולת המתוכננת לצופף את הטיסות נשענת, במידה רבה, על חיבור ממוחשב בין רשתות המחשבים של שדות התעופה השונים, שיפורים במכשירים האלקטרוניים שעל גבי המטוסים (מה שמכונה בלשון המקצועית "אוויוניקה"), איחוד של מכשירי הטיסה השונים ושיפור מתוכנן דרמטי ביכולת הבקרה והשליטה על התעבורה האווירית באמצעות מיכשור מתקדם שנמצא על המטוסים עצמם ונעזר בלוויני ה-GPS. בדומה ל"וויז" המוכרת לנו מעולם הניווט בכביש, הרעיון הוא שהמכשירים ישדרו אחד לשני ולקרקע את מיקומם העצמי בדיוק רב וכך ניתן יהיה לצופף את הטיסות מבלי להעלות את הסיכון.

כל השינויים האלה נשענים של רשתות מיחשוב ואלו, כידוע, פגיעות לאיומי סייבר. השאלה, אם כן, האם הרגולטור, יצרני המטוסים והמערכות שלהם, חברות התעופה, יחידות הבקרה, שדות התעופה וכל המערכות הקשורות לתעשייה הזו – מודעות לסיכונים ונוקטות בפעולות נכונות כדי לצמצמם, באותה רמה מקצועית המקובלת בעולם הזה – את סיכוני הסייבר?

כריס רוברטס חושב שלא.

לדבריו, רוברטס החזיק לפטופ שעל גביו היו "מכונות וירטואליות" הכוללות שכפול מלא של רשתות המיחשוב של כמה וכמה דגמי מטוסים מתוצרת חברת "בואינג" ומטוס אחד מתוצרת חברת "איירבאס". למעשה, כעשרה מטוסי נוסעים גדולים, היו "מקופלים", ברמת רשתות מחשוב, לתוך הלפטופ של רוברטס. כדי להוכיח את צדקתו, רוברטס נהג להתחבר למערכת המולטימדיה של המטוס, אותה מערכת שמקרינה סרטי ווידיאו לנוסעים ודרכה, לדבריו, הוא הצליח לדלג אל תוך רשתות האוויוניקה ששולטות במנועים ובעוד פרמטרים שונים של האווירון.

עולם התעופה האזרחית הוא אחד מענפי התחבורה הבטוחים ביותר. ההישג המדהים הזה נשען על מערכת מפותחת של רגולציה ועל תעשייה בוגרת ועתירת ניסיון. ואולם, העולם החדש של התקפות סייבר הוא עולם חדשני, דינמי והוא לא מוכר לשכבות הביורקרטיות הבכירות – לא אצל הרגולטור, לא בחברות התעופה, לא ברשויות המפעילות את שדות התעופה, לא ביחידות הבקרה האווירית ואפילו לא אצל חוקרי התאונות האווירות.

למעשה, יש פה חוסר איזון מובהק: אדם כמו רוברטס מכיר למעשה את רשתות המחשב של המטוסים יותר טוב מכל עובד בכל אחת מהחברות המעורבות בעולם התעופה. אף מהנדס בחברות אלו – לא מכיר את מערכות ההפעלה, ציוד התקשורת, הפרוטוקולים, החולשות ושיטות התקיפה של המטוסים באותה רמה כמו שיש לתוקף מיומן ונחוש. המגן צריך למצוא דרכים להגן על כל המערכת שלו ומפני כל שיטות התקיפה ואילו התוקף, מספיק שימצא נקודת תורפה אחת, דרך כניסה אחת אל מחשבי המטוס ומאותו רגע – יש לו יכולת להזיק למטוס, מערכותיו ו/או למערכות המבקרות אותו.

על עולם התעופה כולו להכיר בסיכון, לשנות את תרבות הטיפול בנושא, לעדכן את התקנים הנוגעים לייצור, תפעול ותחזוקה של כל מרכיבי המערכת.

הגופים השונים צריכים לעסוק באופן קבוע בניתוח של האיומים והסיכונים. הגישה לתכנון המטוסים, האוויוניקה, מערכות הבקרה וכל ה"אקו סיסטם" של עולם התעופה האזרחית – צריכה להיות גישה המביאה בחשבון את סיכוני הסייבר ולהתבסס על "ההנדסה המיטבית הזמינה" למתכנני המערכת – עוד משלבי התכנון הראשונים.
התעשייה הזו צריכה לפתח מנגנוני דיווח ושיתוף מידע על התקפות סייבר, להשקיע במחקר ופיתוח רלוונטיים ולקיים הערכות מצב קבועות לגבי מידת מוכנותה לאתגר. מדובר בשינוי תרבותי עמוק ונדרש. הדרך להתמודד עם סיכונים היא לגדר אותם ולא להתעלם מהם ויפה שעה אחת קודם.

דרור בן דוד היה ראש מחלקת אמצעי לחימה בחייל אוויר ובשנים האחרונות עוסק בהגנת סייבר על מערכות פיזיות מורכבות בחברת "מטריקס"