האקרים יכולים לפרוץ למטוס דרך האייפון שלך

מזה שנים שגורמי אבטחת מידע מזהירים מפני מבצעי סייבר שיאפשרו להאקרים לחטוף מטוסים או לגרום להם להתרסק. בשנים האחרונות הפך האיום לסביר יותר, בשל שילוב מערכות WiFi בכלי הטיס להנאת הנוסעים. לפי דו"ח שפרסם ה-GOT, גוף ביקורת בלתי תלוי שמפקח על פעילות משרד האוצר האמריקאי - האיום הזה ישים מתמיד. לפי הדו"ח, יכולים האקרים לפרוץ דרך מכשירי מובייל שמביאים הנוסעים איתם אל מערכת התקשורת של המטוס וממנה - אל מערכות בקרת הטיסה. הדו"ח מתייחס לדגמי מטוסי נוסעים חדשים - בואינג 787, איירבוס A380 ו-A350 - בהם מערכת התקשורת הותקנה מראש ולא הותקנה בנפרד, כפי שבוצע במטוסים ישנים יותר.

לטענת ה-GOT, מערכות בקרת הטיסה ומערכות התקשורת והבידור מופרדות זו מזו במחיצות אבטחה מבוססות תוכנה, אך כולן פעילות על אותה הרשת במטוס. כך, יכול האקר לשתול קוד זדוני במכשיר של משתמש, לדעת מתי הוא נמצא על המטוס (לפי נתוני מיקום או דיווחיו ברשתות החברתיות) ולבצע פריצה למטוס מרחוק.

בואינג, מצידה, הסבירה כי בכל שלב יוכל הטייס לקחת בחזרה את השליטה על המטוס, גם אם ההאקר ישבש את מערכותיו באופן נקודתי. בנוסף, טענה דוברת החברה כי למרות שיש יכולת מעבר של מידע בין המערכות השונות, לבואינג יש כלי אבטחה מתקדמים במיוחד שמונעים יכולת השתלטות. החברה צפויה להציג לרשות את המענה שלה לאיומי הסייבר, בהיותה קבלנית גדולה של ממשלת ארה"ב הכפופה במידת מה למרותה. איירבוס, לעומתה, אמרה שתחום אבטחת המידע נמצא בראש מעייניה ושאין בכוונתה לחשוף מידע בנושא כדי שלא לסייע להאקרים בתכנון פעולותיהם.

אז כן, זה רשמי: יש מטוסים שניתנים לפריצה. אבל איך זה יכול להשפיע עליכם, הנוסעים? ככל הנראה שהגלישה במטוסים תנוטר, כדי לזהות פעילות חריגה של אחד המכשירים המחוברים לרשת. כך שהסבירות שהאקר יוכל גם להתגבר על כלי האבטחה הבסיסיים של הרשת, גם לחדור ממערכת הבידור והתקשורת אל מערכת בקרת הטיסה וגם לבצע שם שינוי שהטייס לא יראה הוא נמוך עד אפסי. פגיעה במערכת בקרת הטיסה היא קריטית במיוחד בעת המראה ונחיתה. יתכן שכדי לצמצם את הסיכון, חברות התעופה שמפעילות את הדגמים האמורים ייבחרו לנטרל את החיבור לאינטרנט בשלבים אלה - קצת כמו שקורה היום ברוב החברות שמפעילות מטוסים אחרים.

הסכנה האמיתית: Defacement

אז האקרים לא צפויים להפיל מטוסים מן השמיים. ואולם, אם יצליח לחדור למערכת הבידור, יוכל לגרום נזק עצום לחברות התעופה עצמן: למשל, להחליף את כל מסכי הבית של צגי תא הנוסעים בכיתוב "מטוס זה נפרץ על ידי דאעש ונחטף לעיראק" - מתקפת השחתת פני אתר (Defacement) כמו שעברייני אנונימוס עושים מפעם לפעם. כמובן שהמטוס לא נחטף אבל גם הדיילים הכי מקצועיים לא יצליחו להרגיע את הנוסעים בשלב הזה.

התוצאה: החברה תצטרך לבצע בדיקות אבטחה מקיפות, להחליף רכיבים, לבדוק אותם ולבדוק מחדש. כל הזמן הזה, המטוסים יהיו על הקרקע והחברה תפסיד הרבה כסף, במיוחד בעונות שיא. חברות תעופה קטנות יכולות לפשוט כך רגל בקלות. יש להניח שעלויות הביטוח נגד מתקפות סייבר בטיסות יהיו גבוהות מאוד ולא כל חברה קטנה תוכל להרשות אותן לעצמה.

אז מה עושים? פשוט מאוד: מקפידים על גלישה בטוחה ונבונה, לא לוחצים על לינקים חשודים, לא מורידים אפליקציות מחנויות בלתי מפוקחות ולא נבהלים; הסבירות שפריצה שכזו תתבצע נמוכה מאוד ולא מן הנמנע שההסתברות תדמה לסיכוי שהמטוס ייפגע בשל תקלה טכנית. זיכרו ששלושת דגמי המטוסים שהוזכרו בדו"ח הם אחוז זעום מכלל דגמי המטוסים שנפוצים בחברות התעופה המסחריות: יש בעולם רק שמונה A350, 258 מטוסי בואינג 787 ו-154 מטוסי A380. טיפה בים, מתוך כ-19,000 מטוסי נוסעים שנמצאים כיום בשימוש.