התרסקות הבואינג הציבה תמרור אזהרה בפני תעשיית ההייטק

לפני כשבועיים התרסק מטוס בואינג 737 של חברת אתיופיאן איירליינס, כשעל סיפונו היו 157 איש. זאת הייתה ההתרסקות השנייה של אותו דגם בתוך מספר חודשים, והיא הובילה לקרקוע של הדגם.

חוקרי שתי ההתרסקויות הקטלניות צריכים להתמודד עם שילוב כלאיים של טכנולוגיות ישנות וחדשות, במסגרתו שולטת תוכנה חדישה על משאבות הידראוליות ומנועים שאינם שונים בהרבה מהמנועים שהיו בשימוש כשלינדון ג'ונסון היה נשיא ארה"ב, לפני יותר מ-50 שנה.

דגם 737, שעוצב לראשונה בשנות ה-60, עבר מאז שדרוגים טכנולוגיים שלוש פעמים, וכך נוצרו רבדים כרונולוגיים של טכנולוגיות שהורכבו זו על גבי זו.

תעשיית התעופה הייתה בין הראשונות לאמץ מחשבים לצורכי בקרת ציוד פיזי, והיא תמיד התקדמה באיטיות ותוך בדיקות אינטנסיביות. החוקרים בודקים כעת אם שילוב תוכנת בקרת טיסה חדשה (MCAS) - שעלולה בנסיבות מסוימות לדחוף את חרטום המטוס כלפי מטה ולבלבל את הטייסים - בוצע בידי בואינג באופן שעומד בסטנדרטים של התעשייה.

תופעה זו, של התקנת טכנולוגיות דיגיטליות בציוד ישן, קיימת במגוון של מוצרים - החל במכשירי בית חכם ששולטים על מערכות חימום ביתיות וכלה במחשבים מרכזיים שמפקחים על רשתות חשמל בנות עשרות שנים. מערכות בקרה דיגיטליות צצות בכל מקום ברחבי היקום המכאני.

כמובן שתוכנות הן חלק מהעולם הווירטואלי מרגע היוולדו, והן אחראיות לפוטנציאל שלו במקביל, גם למידת הפגיעות שלו. מגמת "האינטרנט של הדברים" (חיבור של מכשירים פיזיים לאינטרנט) תופסת תאוצה וכיום מחוברים יותר מכשירים מאי פעם. במגמה תומכת היכולת לייצר חיישנים קטנים יותר וכן ירידה בעלות הייצור. בנוסף, רשתות התקשורת מאפשרות להעביר יותר נתונים ובקצב מהיר יותר.

עוד לפני ש"האינטרנט של הדברים" החל להיות מוחשי, הביעו מומחי טכנולוגיה וממונים על ביטחון הציבור חששות מנקודת המפגש של העולם הווירטואלי והעולם האמיתי, אותו הם מכנים ביטחון סייבר-פיזי. החשש הוא מכך שמהנדסים מכפיפים מערכות מכאניות לשליטתם של מחשבים ואלגוריתמים, מבלי להבין את ההשלכות האפשריות. התוצאה היא בלבול לגבי אופן הפעולה של מנגנוני הבקרה, באגים בתוכנות שמובילים לתאונות פיזיות, והבעיה המדאיגה מכל: מתקפות סייבר על תשתיות כמו תחנות חשמל או מפעלי כימיקלים, שעלולות לגרום לקטסטרופה.

מערכות סייבר-פיזיות "משובצות כמעט בכל ההיבטים של החיים שלנו", אמר כריסטוס פפדופולוס, מנהל תוכנית מערכות סייבר-פיזיות במנהלת המדע והטכנולוגיה של המשרד לביטחון המולדת (SHS). בשש השנים האחרונות מנסה DHS לזהות ולטפל בנקודות חולשה פוטנציאליות במערכות סייבר-פיזיות תוך שיתוף פעולה עם מוסדות אקדמיים ומכוני מחקר. למשל, נבדק שילוב טכנולוגיות במכוניות, ציוד רפואי, פיקוח בנייה ורשתות חשמל.

"שינוי הדרגתי שעשוי לגרום לאסון"

בשנת 2015 התגלה כי חברת פולקסווגן זייפה את נתוני בדיקת הזיהום של מנועי דיזל כדי לעקוף את בדיקות פליטת הגזים בארה"ב. מהנדסי פולקסווגן ביצעו את הזיוף תוך ניצול של נקודות חולשה שנוצרו מהתקנת טכנולוגיות דיגיטליות בציוד ישן. נקודות חולשה כאלו נוצלו גם על ידי האקרים רוסיים שתקפו תשתיות אמריקאיות.

פשעי סייבר ותוכנות זדוניות קיימים זה זמן רב בעולם הווירטואלי, אך רק לעתים נדירות נגרם נזק פיזי ישיר מפריצה למאגרי נתונים, גניבה וסחיטה. באגים בתוכנה יכולים לצוץ גם בציוד פיזי שעוצב מלכתחילה כציוד בעל מערכות בקרה דיגיטליות, כמו מכוניות חשמליות, ציוד רפואי ורחפנים. ואולם במקרה כזה, המפתחים של המערכות משלבים בין החומרה והתוכנה כבר בשלבים התחלתיים, ומהנדסים מבצעים בדיקות של המוצרים.

ואולם מומחים מציינים כי ציוד שבו הותקנו מערכות דיגיטליות לאחר ייצורו אינו נבדק באופן יסודי. "יש פיתוי גדול יותר לא לבדוק דברים כשאתה מבצע רק שינוי קטן באמצעות הוספת אוטומציה", אמר ג'סטין קאפוס, פרופסור למדעי המחשב בבית הספר להנדסה טנדון באוניברסיטת ניו יורק. לדבריו, כל תוספת כזאת עלולה ליצורו פוטנציאל לבעיות שעלולות להצטבר מבלי שמישהו יבחין בכך. "מדובר בשינוי מאוד הדרגתי שתוצאותיו עלולות להיות הרות אסון", ציין קאפוס.

האוטומציה מספקת תועלות אדירות גם כשמדובר בציוד מכני בן עשרות שנים. מחשבים יכולים להפעיל כמעט כל מכונה במהירות, בדייקנות וביעילות רבות יותר מבני אדם. למרות שהאוטומציה עשויה להוביל לפיטורי עובדים, היא יכולה גם לשים קץ לעבודה פיזית קשה ולסכנה. עם זאת, שילוב מחשבים במכונות "מטומטמות" כרוך באתגרים.

בריט סטורקסון, מעצב מנגנוני בקרה אלקטרוניים לציוד שאובה תעשייתי בעיר The Dalles במדינת אורגון, אומר שהרכבה רשלנית של מחשבים בציוד מכני הפכה ל"בעיה חמורה שאותה רואים כל הזמן בתעשייה". הוא ראה מעבדי מחשב ננעלים ומפסיקים לחמם ולקרר ציוד, פסי ייצור ומערכות תעשייתיות.

"זה לא רק שהתוכנה אינה עובדת. זה שהיא לא עובדת בכל התנאים", אמר סטוקסטון. ומכיוון שפיתוח תוכנה אינו קשור לעיצוב ציוד, "מפתחי תוכנה אינם יודעים איזו השפעה תהיה להוראה מסויימת בהמשך התהליך".

האקרים מנצלים חולשות במערכות הישנות

תאונות עלולות לגרום נזק בעלות גבוהה, אך הן אינן מתקרבות להיקף הנזק שגורמות פריצות למערכות מחשבים. מרטין תומאס, פרופסור אמריטוס לטכנולוגיות מידע בקולג' גרישאם בלונדון, ומתמחה במערכות בטיחות קריטיות, מציין כי תוכניות הבטיחות בעולם הפיזי התבססו בעבר על ההנחה שכשלים מתרחשים במקרה. ההסתברות לתאונה קטלנית יורדת אם נוצרים תנאי סכנה רק לאחר התרחשותם של שני כשלים. "אך תוכנה זדונית נועדה לגרום שני כשלים בו-זמנית. חוסר הביטחון במרחב הסייבר משנה את הכול", אמר פרופ' תומאס.

בשנים האחרונות פגעו מתקפות תוכנה זדונית כמו WannaCry ו-NotPetya במכשירי סריקה רפואיים בבריטניה, במתקני ההובלה הימית של A.P. Moller-Maersk A/S ברחבי העולם, ובייצור, במחקר ובפעילות המכירה של ענקית התרופות Merck. מגזר התעופה לא סבל ממתקפות משמעותיות מכיוון שבמטוסים מותקנת תוכנה מיוחדת בעלת רמת בטיחות גבוהה.

לדברי דייויד גראוט מחברת הסייבר FireEye, קשה יותר להגן על מערכות דיגיטליות שהתוקנו על גבי ציוד ישן. תוכנת זדונה בשם Triton כמעט שהוציאה מכלל פעולה את תוכנת הבטיחות התעשייתית במפעל פטרוכימי סעודי, וייתכן שאפשרה להאקרים לשלוט במפעל ולשחרר כימיקלים רעילים, לפי FireEye.

Triton נחשף רק לאחר שמנהל במפעל נאלץ לאתחל ציוד מחדש שלוש פעמים, ותהה מהי הסיבה לכך. FireEye חושדת כי האקרים שפועלים בחסות ממשלתית - קרוב לוודאי ממשלת רוסיה - הם שביצעו את המתקפה. "היעד שלהם היה להראות לעולם כולו שהם קיימים ושביכולתם לפעול ברגע שהם מחליטים", אמר גראוט.