הדלקן האוניברסלי פרוץ לשכפולים וגניבות

בעוד 3 חודשים הייתה אמורה לצאת לדרך רפורמת הדלקנים שמשרד האנרגיה מקדם זה 18 שנה ■ כעת, בעקבות אזהרת NXP, מסרבות חברות הדלק להתקין את הדלקנים ■ משרד האנרגיה: "ועדת המומחים הייתה מודעת לחשש מפריצה"

דלק  / צלם: רויטרס
דלק / צלם: רויטרס

מבוכה במשרד האנרגיה: הדלקן האוניברסלי שהוא חייב את חברות הדלק להתקין כנראה פרוץ לשכפולים ולגניבות, כך לפחות לפי מכתב בהול ששלחה בחודש שעבר היצרנית הגרמנית, האחראית על ייצור מרכיב מהותי במערכת, לספקיות הישראליות של המערכת. חובת ההתקנה של המערכת בתחנות הדלק הייתה אמורה לחול בעוד שלושה חודשים, אלא שכעת חברות הדלק מסרבות לעשות זאת בטענה שהיא תסכן את הביטחון הפיננסי של הלקוחות.

מערכת הדלקן האוניברסלי הושקה בקול תרועה רמה במארס 2015 על ידי שר האנרגיה אז סילבן שלום. מדובר במערכת תדלוק שתאפשר לכל הנהגים שבכלי הרכב שלהם מותקן התקן אוניברסלי לתדלק באופן אוטומטי בכל תחנות הדלק ובמחיר מוסכם מראש. במשך 18 שנה מקדם משרד האנרגיה את "רפורמת הדלקנים" במטרה להגדיל את התחרות בשוק הדלק הקמעונאי. כך, במקום שלקוח דלקן יהיה מחויב לחברת דלק אחת, כפי שקורה היום, הוא יוכל להחליף ספקי שירות תדלוק ולחתום על הסכמים עם איזו חברה שירצה.

במשך שנים ניסו חברות הדלק הגדולות, ובהן פז, דלק וסונול, לסכל את הרפורמה ולשמור על הלקוחות שחתומים איתם באופן בלעדי. אלא שב-2010 עברה בקריאה שנייה ושלישית בכנסת הצעת החוק שחייבה את חברות הדלק להתקין דלקנים אוניברסליים אחידים בתחנות. לצורך קידום המהלך פנה משרד האנרגיה למכון התקנים כדי שיגבש את המפרט הטכני של המערכת - עבור תקן הזיהוי והמשדר שיותקנו ברכבים עצמם וגם עבור הקורא הכללי שיותקן בתחנות התדלוק. ההתקן אמור למנוע זיופים והונאות, לאפשר לחברות לזהות את הרכב שבו הוא מותקן כדי לבצע תדלוק אוטומטי ולחייב את הלקוח במערכות הממוחשבות של החברה.

ואכן, ב-2014 פרסם מנהל הדלק במשרד האנרגיה את התקן. הוחלט שבאפריל הקרוב תחויב כל תחנת דלק להתקין לפחות משאבה אוניברסלית אחת לכל סוג של דלק, וחצי שנה לאחר מכן להתקין בשני שלישים מהמשאבות את הטכנולוגיה החדשה. בינתיים, חברות טכנולוגיה ישראליות, ובהן אורפק ורוזמן הנדסה, פיתחו את המערכת הטכנולוגית לפי התקן שניסח מכון התקנים.

כעת מתברר שהתג המהווה חלק מהתקן הזיהוי ברכבים אינו מאובטח ופתוח לשכפולים וגניבות. במכתב ששלחה בחודש שעבר יצרנית התגים הגרמנית NXP (שמכון התקנים חייב את ספקיות הטכנולוגיה לרכוש ממנה את התג), היא טוענת כי לא ניתן להשתמש בו לטובת "פעולות רגישות" דוגמת העברת כספים. המשמעות היא שבכל פעם שנהג ישתמש בדלקן האוניברסלי, ניתן יהיה לפרוץ לצ'יפ ולהשתמש בו לטובת תדלוק בכל תחנת דלק. למעשה, התג שיותקן ברכבים יהפוך לסוג של כרטיס אשראי שניתן "לגהץ" עליו או במקרה הזה לתדלק איתו. "להבדיל מכרטיס אשראי,שבמקרה של אובדן ניתן לבקש מחברת האשראי לבטל אותו ואת החיובים שנעשו בו, במקרה הזה לא ניתן יהיה לעשות זאת", טוען בכיר במשק הדלק ומסביר כי "הדלקנים בכל התחנות יהיו זהים ופתוחים לכל הלקוחות, כך שלא ניתן יהיה לנטר איפה התבצעה העסקה ומי עשה אותה".

בעקבות המכתב של היצרנית הגרמנית מסרבות חברות הדלק להתקין את המשאבות. בכיר באחת חברות הדלק התרעם היום על משרד האנרגיה: "מה אני אגיד ללקוח שבא אליי ואומר לי שחייבו אותו בגין דלקים שלא צרך? למי אפנה אותו? אני לא יכול להגיד לו, 'סליחה, זה לא אני, זה היצרן'". עוד הוסיף: "זה שוק שמגלגל סכומים עצומים של כסף, זה לא כמו שוק סלולרי שאתה משלם עשרות או מאות שקלים. ההסכמים עם לקוחות הדלקן מגיעים למאות אלפי שקלים". נציין, כי במערכות הדלקנים בישראל עוברים מדי חודש כ-800 מיליון שקל.

חברות הדלק כמו גם חברות אורפק ורוזמן מחכות בינתיים להנחיות ממשרד האנרגיה. אם יחליט המשרד לשנות את התקן, ייאלצו החברות להתאים את הטכנולוגיה שפיתחו לתקן החדש.

ממכון התקנים נמסר: "מדובר בתקן מקורי ראשון מסוגו בעולם וטובי המומחים בארץ השתתפו בהכנתו. נושא אבטחת מידע נדון בכובד ראש בוועדה. אין זה נכון שאין מנגנוני אבטחה מידע. ההפך הוא הנכון, נוספו מנגנוני הגנה".

עוד הוסיף המכון: "אין זה מתפקידו של המכון לכתוב תקנים. התקנים נכתבים בוועדות ציבוריות שבהן שותפו מיטב המומחים מתחום אבטחת המידע ושותפו בהכנת התקן. יצרן הצ'יפ שלח ב-2013 הודעה לוועדת התקינה בנוגע לחשש לבעיות אבטחה. הוועדה התייעצה עם מומחי אבטחת מידע והמליצה על מנגנוני אבטחה נוספים שחלקם נכנסו לתקן וחלקם הומלצו על ידי משרד התשתיות במסגרת מנגנון היישום".

ממשרד האנרגיה נמסר: "הרכיב בתקן מערכת התדלוק האוטומטי האוניברסלי הינו חלק ממספר מעגלי אבטחה שנועדו למנוע גניבת דלק, ובהם גם מנגנוני בקרה ממוחשבים. ועדת המומחים של מכון התקנים שבחנה את נושא ההצפנה של הרכיב הייתה מודעת לחשש מפריצה והמליצה עליו כרכיב המיטבי אשר ייתן ביטחון מרבי ביחס לחלופות האפשריות. חשוב לציין כי בבדיקה מעמיקה שנערכה, לא נמצאו אינדיקציות למימוש איומי הפריצה וכי המשרד מנהל מעקב רציף אחר התהליך וההתפתחויות הטכנולוגיות השונות.

"שר האנרגיה ואנשי מינהל הדלק במשרד התשתיות הלאומיות, האנרגיה והמים, נחושים לקדם את התחרות במשק הדלק ולאפשר גם ללקוחות התדלוק האוטומטי תחרות חופשית ומעבר פשוט בין ספקים".