EV Charging Infrastructure tilbyder en mulighed for elektrisk cyberangreb

Da opladningsinfrastrukturen for elektriske køretøjer skynder sig at holde trit med den dramatiske stigning i salget af elektriske køretøjer i USA, er både cyberangribere og sikkerhedsforskere allerede begyndt at fokusere på sikkerhedssvagheder i infrastrukturen.

I februar opdagede forskere med energinetværks-cybersikkerhedsfirmaet Saiflow to sårbarheder i Open Charge Point Protocol (OCPP), som kunne bruges i et distribueret denial-of-service (DDoS)-angreb og til at stjæle følsom information. Og Idaho National Laboratory fandt for nylig ud, at hver oplader, den undersøgte - mere formelt kendt som Electric Vehicle Supply Equipment (EVSE) - kørte forældede versioner af Linux, havde unødvendige tjenester og tillod mange tjenester at køre som root, ifølge en undersøgelse af EV-ladningssårbarhedsforskning i tidsskriftet Energies. Andre potentielle angreb inkluderer adversary-in-the-middle (AitM) og tjenester udsat for det offentlige internet, ifølge avisen.

Risiciene er ikke kun teoretiske: For et år siden, efter Rusland invaderede Ukraine, kompromitterede hacktivister ladestationer nær Moskva for at deaktivere dem og vise deres støtte til Ukraine og deres foragt for den russiske præsident, Vladamir Putin.

Bekymringerne om cybersikkerhed kommer, efterhånden som salget af elektriske køretøjer er taget fart i USA og tegner sig for 5.8 % af alle solgte køretøjer i 2022, op fra 3.2 % året før, ifølge JD Power. I øjeblikket er der mindre end 51,000 Level 2 og DC Fast ladestationer tilgængelige i USA, hvilket repræsenterer muligheden for at oplade 130,000 køretøjer samtidigt, ifølge det amerikanske energiministerium. Med mere end 1.5 millioner elbiler registreret i juni 2022, det betyder, at der er 11 køretøjer til hver offentlig ladeport.

For at følge med efterspørgslen har de store aktører i EV-opladningssektoren alle betydelige ekspansionsplaner, og Biden-administrationen sigter mod at øge antallet af bilopladere til 500,000 i 2030.

Mens cybersikkerhedseksperter bekymrer sig om, at hastværket med at skabe en omfattende opladningsinfrastruktur kan gå på bekostning af cybersikkerhed, er spørgsmålet om dets cybersikkerhedsberedskab især pikant i betragtning af infrastrukturens forbundethed og evnen til potentielt at forårsage skade ved hjælp af adgang til den tilgængelige højspænding, siger Phil Tonkin, seniordirektør for strategi hos Dragos, en leverandør af industriel cybersikkerhed.

"De fleste EV-opladere kan betragtes som en Internet of Things-teknologi (IoT), men de er en af ​​de første, der har kontrol over en så betydelig mængde elektrisk belastning," siger han. Han tilføjer: "Den samlede risiko ved så mange enheder, ofte forbundet til et lille antal enkelte systemer, betyder, at enheder af denne type skal implementeres med omhu."

EV-opladere: IoT, OT og kritisk infrastruktur

På mange måder repræsenterer EV-opladningsinfrastrukturen en perfekt storm af teknologier. Enhederne er forbundet via mobile applikationer og bærer de samme risici som andre IoT-enheder, men de er også indstillet til at blive en kritisk del af transportnetværket i USA, ligesom anden operationel teknologi (OT). Og fordi EV-ladestationer skal være forbundet til offentlige netværk, vil det være afgørende at sikre, at deres kommunikation er krypteret, for at opretholde sikkerheden på enhederne, siger Dragos' Tonkin.

"Hacktivister vil altid lede efter dårligt sikrede enheder på offentlige netværk, det er vigtigt, at ejerne af EV sætter kontroller på plads for at sikre, at de ikke er lette mål," siger han. "Kronjuvelerne hos operatørerne af EV-opladere skal være deres centrale platforme, opladerne selv stoler i bund og grund på instruktionerne, der er skubbet ned fra midten."

Forbrugerudstyr er også et problem. Omkring 80 % af opladningen foregår i hjemmet, i henhold til ChargePoint-sessionsdata. Men desværre kan disse enheder være nemmere at forstyrre, fordi forbrugerne ikke er fokuserede, og de burde heller ikke være fokuserede på cybersikkerhed, siger Tonkin.

"Det er ikke praktisk for den gennemsnitlige indenlandske kunde at skulle indføre den rigtige sikkerhed, og derfor skal du sørge for, at selve enheden og de metoder, den bruger til at kommunikere med cloud-baserede tjenester, altid skal være hos leverandøren," siger han.

Regeringens rolle i el-cybersikkerhed

Den amerikanske regering bør stille standarder og bedste praksis til rådighed for virksomheder for at forhindre cybersikkerhedssvagheder, siger nogle. Sandia National Laboratories har for eksempel anbefalet en række initiativer til at styrke cybersikkerheden, herunder forbedring af EV-ejerautentificering og -autorisation, tilføjelse af mere sikkerhed til cloud-komponenten af ​​opladningsinfrastrukturen og hærdning af de faktiske opladningsenheder mod fysisk manipulation.

"Regeringen kan sige 'fremstil sikre opladere til elbiler', men budgetorienterede virksomheder vælger ikke altid de mest cybersikre implementeringer," Brian Wright, en Sandia-cybersikkerhedsekspert, der arbejder på sårbarhedsprojektet, sagde i en erklæring. "I stedet kan regeringen direkte støtte industrien ved at levere rettelser, rådgivning, standarder og bedste praksis."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity