ערים חכמות יכולות לשפר פלאים את איכות חייהם של תושביהן • אך הטכנולוגיה החדשה מביאה עמה אתגרי סייבר ופרצות חדשות לניצולם של פושעים • היכן וכיצד כדאי להיזהר…
בעבר גרו רוב האזרחים מחוץ לעיר – בכפרים, בפרברים ובשטחים פתוחים, שם הם גידלו מזון לצריכה אישית או למכירה בעיר הקרובה. אך כיום, במאה ה-21, כ-55% מהתושבים בעולם מתגוררים בערים. רק כדי לסבר את האוזן – בעולם קיימות 47 מגה-ערים, כלומר, ערים המונות מעל 10 מיליון תושבים (ולרוב הרבה יותר). לעומת העולם, בישראל הסטטיסטיקות משמעותיות אף יותר. לפי דו”ח של האו”ם בנושא אורבניזציה, כ-68% מאוכלוסיית המדינה תגור בערים עד שנת 2050, משמע: 2.5 מיליארד תושבים.
אך האם העיר של המחר תראה כמו העיר של האתמול? אנו רואים כבר היום שהתשובה לכך היא לא, עם התרבותן של ערים חכמות ברחבי העולם, כמו גם בישראל. ערים אלו משלבות טכנולוגיות מידע ותקשורת על מנת לשפר את איכות החיים של תושביהן – זאת על ידי ייעול האיכות והביצועים של השירותים המוניציפאליים, הורדת עלויות, שימוש מופחת במשאבים ומעל לכל, יצירת מנגנוני שיתוף ציבור.
ערים חכמות מספקות לתושבים ולמבקרים מספר אטרקציות ופינוקים שייחודים רק להן – למשל Wi-Fi חינמי ברחבי העיר. מצד אחד, רשת Wi-Fi כזו נשמעת כמו חלום: אינטרנט בכל מקום, בכל זמן, ללא חיובי הגלישה של חברות הסלולר. אך ישנה משמעות נוספת לדבר, וזו אולי אינה עולה על דעתם של רבים. עיריות רבות משתמשות ברשת הציבורית כדי לאסוף מידע על מיקומם של התושבים ושל האזורים החמים בעיר, כדי לקבוע אילו אזורים עמוסים מאוד, מידע המשמש אותם כדי להמליץ למשתמשים להימנע מהם.
על פניו, מדובר בשימוש תמים והולם בתמורה לשירות המסופק בחינם, אך מה קורה כאשר לצד המשתמשים ה”ניטרליים” מתחברים לרשת הזו גורמים זדוניים? השימוש ברשתות ציבוריות, בין אם היא מסופקת על ידי בתי קפה, מוזיאונים או העירייה עצמה, חושף את המשתמש למתקפת MiTM (אדם בתווך). מתקפה זו משמשת האקרים על מנת לצותת בסתר למידע שהמשתמש חושף לאתר או לאפליקציה, מידע העלול לשמש לגניבת זהותו של המשתמש ולביצוע פעולות בשמו.
בהמשך לכך, ערים רבות בעולם מרשתות את רחובותיהן במצלמות אבטחה המתעדות את הנעשה בעיר. הסיבות לקיום מצלמות אלו מגוונות – לונדון, למשל, היא אחת הערים המרושתות ביותר במצלמות מעקב, ומטרתן למנוע פשיעה ולהגביר את הביטחון האישי של התושבים והתיירים. בתל-אביב מוצבות מצלמות אבטחה במרחב הציבורי וכן מצלמות שתפקידן לתעד עבירות תנועה, כדוגמת נסיעה בנתיבי התחבורה הציבוריים בשעות בהן הדבר אסור.
לצד התועלת העצומה שבדבר, ניתן לראות כיצד מדובר בחרב פיפיות. גם כאן ישנה האפשרות לאסוף מידע על תושבים ועל מבקרים, לשימוש ראוי יותר או פחות. לדוגמה, העיר דוברובניק שבקרואטיה, שאת אתריה ההיסטוריים היפים וודאי ראיתם בלהיט הענק “משחקי הכס”, סובלת מנהירה של תיירים אשר עולה על יכולת ההכלה שלה, ועלולה לפגוע ברמת השירותים שהיא מספקת לתושביה. על כן נעזרת העיר ברשת מצלמות המזהה פנים ומונה את מספר האנשים שנכנסים לאתר מסוים. יש לציין כי תווי הפנים הם תכונה הייחודית לכל אדם, כמו טביעת אצבע, ולכן תמונת פנים של אדם מאפשרת זיהוי חד-חד ערכי שלו, אם ניתן להצליב אותה עם מידע הקיים באינטרנט או במאגרי מידע נגישים. לפי חוקי הגנת הפרטיות, מידע בנוגע לתווי פנים של אדם מסווג תחת “מידע רגיש” והוא קניין פרטי. למעשה, לפי ה-GDPR האירופי, לאדם ניתנת הזכות לבקש שמידע אודותיו לא ייכלל במאגרי מידע שכאלה.
טכנולוגיות זיהוי פנים התפתחו מאד בעת האחרונה, וכיום ישנם אלגוריתמים שבאמצעותם ניתן לזהות את פניו של אדם על סמך תמונה שהוזנה למערכת ממוחשבת וכך לאתר בקלות את מיקומו אם הוא מצולם במצלמה המוצבת במרחב הציבורי. כפי שגורמים לגיטימיים יכולים לעשות זאת, כך גם גורמים זדוניים יכולים לאכן את מיקומו המעודכן ביותר של האדם המצולם ולבצע פשע על רכושו, החל מכיוס פשוט, גניבת אשראי באמצעות NFC וכלה בפריצה לבית מגוריו, על ידי מציאת כתובתו במאגרים וברשתות והעברתה לעבריינים.
נושא נוסף הצובר תאוצה בקרב ערים חכמות הוא התחבורה. ההגדרה לתחבורה מאוד אינטואיטיבית לנו – רכב פרטי, תחבורה ציבורית, רכבת, אוטובוס ומוניות. אולם מעטים מאיתנו מבינים כי הרפורמה החדשה של משרד התחבורה, הדורשת מהנוסעים להשתמש ברב-קו המושתת על פעילות NFC, אינה מאובטחת במידה מספקת. כמו העיקרון שבעזרתו גונבים פרטי אשראי התומך ב-NFC, כך גם כרטיס הרב-קו פתוח להעברת הכסף הווירטואלי המוטען בו מהנוסע התמים אל הגנב – גניבת כרטיס “חופשי חודשי” או איסוף כספים קטנים לנסיעות, טיפין טיפין, ולמעשה צבירת נסיעות חינם אינסופיות, על חשבוננו.
באופן כללי, שירותים המושתתים על NFC פגיעים להאקרים. אם תוקף יודע על שירות מושתת NFC שמוצע לתושבי העיר, למשל מכשירים בחדר הכושר אשר עושים שימוש ב-NFC כדי לעקוב אחרי התקדמותו של המתאמן, ביכולתו להחליף את שבב ה-NFC ולהדביק כל מכשיר סלולרי שקורא את השבב בתוכנה זדונית. תוכנה זדונית שכזו עלולה לאפשר להאקר לעקוב אחר אותו מתאמן, להתחבר למצלמה שבטלפון ולקבל גישה לכל השמור בו – גלריה, אנשי קשר, התכתבויות שונות וכו’.
גם קודי QR עלולים לשמש פושעים. האקר יכול לבדוק את הנתונים הנדרשים ממשתמשים באפליקציה מסוימת, ולפי זה לדעת כיצד לבנות קוד QR חדש וזדוני. לדוגמה, האקר יכול להפיק קוד QR זדוני, להחליף את הקוד המקורי ולשטות במשתמש תמים, בכך שיסרוק את הקוד הזדוני ויספק פתח להאקר. מוצרים מושתתים QR בנויים כך שהם שואבים את הנתונים הנדרשים לשירות המוצע (לדוגמא, השכרת רכב על בסיס שעתי). בעצם הפקת QR מזויף, יכול ההאקר לשכפל את הנתונים הללו ולהעבירם לרכב אחר של אותה החברה – כך שאותו משתמש תמים ישלם פעמיים, על הרכב שלו ועל הרכב של ההאקר.
ובנדבך אחר של תחבורה שיתופית, מיקרו-תחבורה הוא מונח המתייחס להשכרת האופניים והקורקינטים המפוזרים ברחבי העיר לרווחת התושבים. פלטפורמות אלו משמשות תושבים לנסיעות קצרות בתוך העיר, אך דורשות מהמשתמשים לשלם באשראי על שירות זה, ומנטרות את מיקומו בעזרת אפליקציה העוקבת אחר רכוש החברה, ובצדק. אין אנו רומזים כי פלטפורמות אלו אינן מאובטחות דיה, אלא כי ישנה בעיה בעצם קיומן – מכיוון ותמיד ניתן למצוא תוקף מיומן מספיק שיוכל לנצל נקודות תורפה בתכנון שלהן.
לא ניתן לעצור את הקידמה – העולם שנולדנו אליו אינו זה שנשאיר אחרינו. ממש לא כדאי לעצור את הקידמה, עם הדברים הטובים שהיא מביאה בתחומי הרפואה, התקשורת, הטכנולוגיה וכו’. אך כמו בהיבטים רבים אחרים בחיים, גם בכל הנוגע לערים החכמות ולפתרונות המהירים, הנוחים והחדשניים שהן מציעות – גם כאן יש חשיבות להתנהגות חכמה ומושכלת. יכולותיהם של פושעים לשבש את חיינו משתכללות ומתפתחות עם שאר העולם, ועל כן תמיד יש לעצור ולשאול: האם המוצר או השירות שמוצג בפניי הוא מהימן?
זכרו: הרשת הציבורית היא מרחב ציבורי לכל דבר והיא דורשת זהירות כמו כל מרחב ציבורי – כפי שאתם נזהרים כשאתם חוצים את הכביש, כפי שאתם מקפידים לחבק אליכם את התיק ברחוב הומה, כפי שלא תתנו את כתובת ביתכם לאדם זר.
חברת IPV Security היא מומחית בתחום אבטחת המידע. בין לקוחותיה ניתן למצוא גם ערים חכמות, כדוגמת עיריית תל אביב. באם אתם קשורים בשלטון מקומי, שייכים להנהגת עיר או מועצה מקומית וחוששים לאבטחת המידע בעיר, אתם מוזמנים לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 09-7430130.