חוקרים: ד"ר חיים ויסמונסקי, מר גדי פרל, עו"ד ורד זליכהמרכז פדרמן לחקר הסייבר בפקולטה למשפטים של האוניברסיטה העברית בירושלים
המחקר נערך בחסות קרן מחקרים שליד אגוד חברות הביטוח בישראל
תקציר הדו"ח:רקעבמסגרת פרויקט מחקרי בהובלת מרכז פדרמן של האוניברסיטה העברית לחקר משפט ומדיניות סייבר, לבחינת מהלכי רגולציה ביחס להגנת סייבר בתחבורה חכמה בישראל, נערכו סדנאות מומחים במרכז פדרמן, וכן נכתבו שני מחקרים האחד על ידי ד"ר חיים ויסמונסקי ומאי הר-שי והשני על ידי מר גדי פרל. בהמשך למחקרים אלה, גיבשה עו"ד ורד זליכה דו"ח מפורט הכולל דגשים נוספים מהתייעצויות ומבחינת בבליוגרפיה עדכנית נוספת, כמו גם תובנות, מסקנות והמלצות מסכמות לפרויקט. הדו"ח נועד לסייע בהמשך החשיבה בנושא, בין היתר עבור הרגולטור הישראלי ועבור שוק הביטוח.
מסקנות מרכזיות המובאות בדו"ח המסכם: טקסונומיה (הגדרות והמשגה) - המושגים "תחבורה" ו - "חכמה" הינם רבי משמעויות. לנוכח רוחב היריעה, טרם הידרשות כלשהי לנושא איומי סייבר בתחבורה חכמה, חשוב להבהיר מהם גבולות הגזרה של הדיון, ולבחור במושגים מוגדרים ומותאמים היטב למטרת העיסוק בנושא. הדו"ח המסכם מתמקד בעיקרו בהיבטים הנוגעים לאיומי סייבר בכלי רכב פרטיים (להבדיל מתחבורה ציבורית כגון רכבות, אוטובוסים וכיו"ב, וכמעט שאינו עוסק בתשתיות תחבורה כגון רמזורים, מדרכות וכיו"ב); שהינם "חכמים" (דהיינו, בכלי הרכב מותקנים רכיבים מקושרים לאינטרנט אך הם אינם אוטונומיים, אלא ישנה מעורבות אנושית פעילה בנהיגה).
מה בין צעדים רגולטוריים לשיפור הגנת הסייבר של הרכב החכם, ובין היבטים משפטיים בהתמודדות אוחרת? בתחום התחבורה החכמה ואיומי הסייבר, קיים מרחב נושאים לאסדרה, בהם שאלות ניתן לאפיינן כשאלות מ"סדר ראשון" - מידת מעורבות המדינה באסדרה ושאלת המסגרת נורמטיבית, להעלאת רמת הגנת הסייבר ברכב החכם; וסוגיות שיכולות להיחשב "מסדר שני", הנוגעות בין היתר, לאחריות אזרחית בפן הנזיקי, הצרכני והביטוחי, או לאחריות פלילית, לאחר שנגרם אירוע סייבר. בעיסוק בנושא הדין והכלים הרגולטוריים, חשוב להבחין בין הרמות הנורמטיביות השונות לבחינה. הדו"ח המסכם מתמקד בעיקרו בשאלות מן "הסדר הראשון" - דהיינו, רמת המעורבות המדינתית והמסגרת הנורמטיבית הנוגעת לרמת הגנת הסייבר ברכב ומניעת סיכוני הסייבר. אגב הדיון ברגולציה, ניתנה התייחסות קצרה אף לסוגיית הביטוח.
בשאלת הצורך ברגולציה ורמת המעורבות המדינתית הראויה - המסקנה העולה מהדו"ח היא כי נכון לשקול תפיסה מקיפה, הכוללת סל כלים מדינתיים "רכים", ולצידם בהקשרים מסוימים גם רגולציה מחייבת, והכל בהתאם למאפייני שוק כלי הרכב בישראל ולמידת השפעתו של הרגולטור הישראלי בשלבים רלוונטיים.
כלומר, בהינתן שיצרניות כלי הרכב אינן ישראליות, יש מקום לכך שישראל תפעל להשפעה על תקני הגנת סייבר גלובאליים, בפורומים בינלאומיים שונים, תוך מיצוי האקוסיסטם הישראלי הייחודי בסייבר ובשיתוף פעולה בין גורמי ממשל, תעשיית הסייבר הישראלית ואקדמיה, ותאמץ תקנים גלובאליים שהתגבשו. בנוסף, עשויים לעמוד בידי הרגולטור הישראלי, מגוון כלים רגולטוריים להעלאת רמת הגנת הסייבר ברכב, אשר הפעלתם צריכה להיעשות בראי מחזור חיי הרכב (לדוגמא - עם יבואו לארץ; עם התקנת רכיבים "חכמים" ברכב; במסגרת מבחן כשירות שנתי; לאחר אירוע סייבר וכיו"ב). כפי הנראה, כלים אלה יכולים להתבסס בחלקם על רגולציה קיימת בתחום בטיחות הרכב כמפורט מטה.
בין השיקולים שמוצע להתחשב בהם בגיבוש מדיניות - • אופי שוק כלי הרכב בישראל - שוק של יבואני רכב, ולא של יצרני רכב; יכולת ההשפעה על הגנת סייבר של רכיבים aftermarket לכלי רכב "חכמים"; איפיון כלי הרכב ה"חכמים" מבחינת מידת הקישוריות (וכפועל יוצא רמת החשיפה לסיכונים).• איומי הסייבר המרכזיים.• פערי המודעות בקרב צרכנים, ופערי הידע צרכנים - יצרנים.• חלוקת האחריות הראויה בין יצרני כלי רכב, יצרני רכיבים, יבואנים, נהגים.• הגנת סייבר כמרכיב בבטיחות הרכב בהיבטים רלוונטיים.• יכולת השפעתו של הרגולטור על השוק ועל הציבור, והתועלות והעלויות הכרוכות ברגולציה, לפי תחנות במחזור חיי הרכב, בכל שלב לפי העניין.
צעדים שננקטים כבר היום על ידי הרשויות ועל ידי הרגולטורים בישראל, ובפרט מרכז התחבורה החכמה המוקם בבאר שבע - אשר צפוי לפתח פתרונות חדשניים בתחום הסייבר, לרבות קידום היבטים רגולטוריים - עשויים לשמש פלטפורמה מתאימה גם לבחינתן של המלצות המוצעות בדו"ח זה ולקידומן.
לדו"ח צורפה טבלה המסכמת בתמצית את ההמלצות הקונקרטיות הכוללות סל כלים מדינתיים "רכים", כמו גם הצעות לרגולציה פוטנציאלית מחייבת.
הגנת סייבר ב"רכב חכם" עשויה להיתפס כחלק בלתי נפרד מבטיחות הרכב - בבחינת הכלים הרגולטוריים הפוטנציאליים המוצעים בדו"ח, עולה, כי במקרים לא מועטים ניתן להתבסס על רגולציה קיימת הנוגעת לבטיחות הרכב, ולהחיל אותה תוך ההתאמות הנדרשות, בהתייחס לסיכוני סייבר. נראה, כי גישה הרואה בסיכוני סייבר כחלק בלתי נפרד מבטיחות הרכב, עשויה לשמש הן את הרגולטורים הן את שוק הביטוח, בהמשך הבניית העיסוק בנושא. נכון להעמיק בהשלכות גישה זו, בין היתר בהתאמה להקשר שבו הדבר מתעורר.
שאלת הצורך בביטוח סייבר לכלי רכב חכמים - אגב המחקרים, עלתה שאלת הצורך בביטוח ייעודי לכלי רכב, מפני איומי הסייבר. בהקשר זה יש לציין, כי כמות הרכיבים המקושרים עשויה להשתנות מרכב לרכב, ורמת הקישוריות משליכה על רמת החשיפה של הרכב לסיכוני הסייבר. גישה אחת סברה, כי השוק אינו בשל דיו לקביעות בנושא, בין היתר כיוון שאיומי הסייבר בתחבורה חכמה אינם ברורים דיים, וקיים קושי להעריך ולכמת אותם, ובהתחשב בכך ששוק התחבורה החכמה עשוי להתפתח לשיתופי, ולהצריך סוג ביטוחים אחר. גישה שנייה סברה, כי רצוי להחיל חובת ביטוח, על מנת לייתר התדיינויות.
בדו"ח נאמר, מבלי להידרש לנושא בהרחבה, כי בהיעדר החרגה מפורשת בפוליסה, ייתכן שקיימת אפשרות להעלות טיעונים, לכך שביטוחי הרכב הקיימים, מכסים כבר היום גם נזקים מסוימים בגין אירועי סייבר, ואולם הדבר נתון לחוסר ודאות משפטית.
לפיכך, על פי הדו"ח המסכם, מוצע לבחון את האפשרות כי כחלק מתמחור הביטוח המקיף כיום, מבטחים יתחשבו גם באמצעי הגנת הסייבר ברכב חכם, בהתאם לרמת החשיפה הספציפית ומידת הקישוריות של רכב (בדומה להערכת אמצעי אבטחה ובטיחות אחרים). בכך עשויים המבטחים לשמש כעין "רגולטור" להעלאת רמת הגנת הסייבר ברכב החכם, תוך מתן תמריץ עקיף לבעלי הרכב להצטייד באמצעי הגנת סייבר לשם הפחתת תמחור פוליסת המקיף. כן מוצע לבחון בהמשך הדרך את ההצעה לעניין חובת ביטוח סייבר לכלי רכב חכמים, וזאת בין היתר, בהתחשב בפרמטרים הנוגעים לרמת הסיכון ולרמת החשיפה של כלי הרכב החכם, ובהתאמה להתפתחויות בתרחישי הייחוס ואיומי הסייבר והאפשרות להעריכם ולכמתם.
ורד זליכה, עו"ד, עמיתת מחקר
מרכז פדרמן לחקר הסייבר - תכנית משפט וסייבר, האוניברסיטה העברית.
קרדיט צילום: איה בן עזרי.
ד"ר חיים ויסמונסקי. קרדיט צילום: משרד המשפטים.
מר גדי פרל. קרדיט צילום: גדי פרל.
