Η υποδομή φόρτισης EV προσφέρει μια ευκαιρία ηλεκτρικής κυβερνοεπίθεσης

Καθώς η υποδομή φόρτισης ηλεκτρικών οχημάτων (EV) σπεύδει να συμβαδίσει με τη δραματική αύξηση των πωλήσεων ηλεκτρικών οχημάτων στις Ηνωμένες Πολιτείες, οι κυβερνοεπιτιθέμενοι και οι ερευνητές ασφάλειας έχουν ήδη αρχίσει να επικεντρώνονται στις αδυναμίες ασφάλειας στην υποδομή.

Τον Φεβρουάριο, ερευνητές της εταιρείας κυβερνοασφάλειας δικτύων ενέργειας Saiflow ανακάλυψαν δύο τρωτά σημεία στο Open Charge Point Protocol (OCPP) που θα μπορούσαν να χρησιμοποιηθούν σε μια κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS) και να κλέψουν ευαίσθητες πληροφορίες. Και το Εθνικό Εργαστήριο του Αϊντάχο ανακάλυψε πρόσφατα ότι κάθε φορτιστής που εξέτασε - πιο επίσημα γνωστός ως Εξοπλισμός Προμήθειας Ηλεκτρικού Οχήματος (EVSE) - εκτελούσε ξεπερασμένες εκδόσεις του Linux, είχε περιττές υπηρεσίες και επέτρεπε σε πολλές υπηρεσίες να εκτελούνται ως root, σύμφωνα με μια έρευνα για την ευπάθεια φόρτισης EV στο περιοδικό Energies. Άλλες πιθανές επιθέσεις περιλαμβάνουν το adversary-in-the-middle (AitM) και τις υπηρεσίες που εκτίθενται στο δημόσιο Διαδίκτυο, σύμφωνα με την εφημερίδα.

Οι κίνδυνοι δεν είναι μόνο θεωρητικοί: Πριν από ένα χρόνο, μετά την εισβολή της Ρωσίας στην Ουκρανία, οι hacktivists παραβίασαν τους σταθμούς φόρτισης κοντά στη Μόσχα για να τους απενεργοποιήσουν και να δείξουν την υποστήριξή τους για την Ουκρανία και την περιφρόνησή τους για τον Ρώσο πρόεδρο Vladamir Putin.

Οι ανησυχίες για την ασφάλεια στον κυβερνοχώρο έρχονται καθώς οι πωλήσεις ηλεκτρικών οχημάτων έχουν απογειωθεί στις Ηνωμένες Πολιτείες, αντιπροσωπεύοντας το 5.8% όλων των οχημάτων που πωλήθηκαν το 2022, από 3.2% το προηγούμενο έτος, σύμφωνα με την JD Power. Επί του παρόντος, λιγότεροι από 51,000 σταθμοί ταχείας φόρτισης επιπέδου 2 και συνεχούς ρεύματος είναι διαθέσιμοι στις ΗΠΑ, που αντιπροσωπεύουν τη δυνατότητα φόρτισης 130,000 οχημάτων ταυτόχρονα, σύμφωνα με το Υπουργείο Ενέργειας των ΗΠΑ. Με περισσότερα από 1.5 εκατομμύρια ηλεκτρικά οχήματα εγγεγραμμένο τον Ιούνιο του 2022, αυτό σημαίνει ότι υπάρχουν 11 οχήματα για κάθε δημόσια θύρα φόρτισης.

Για να συμβαδίσουν με τη ζήτηση, οι σημαντικότεροι παίκτες στον τομέα φόρτισης EV έχουν όλοι σημαντικά σχέδια επέκτασης και η κυβέρνηση Μπάιντεν στοχεύει να αυξήσει τον αριθμό των φορτιστών οχημάτων σε 500,000 έως το 2030.

Ενώ οι ειδικοί στον τομέα της κυβερνοασφάλειας ανησυχούν ότι η βιασύνη για τη δημιουργία μιας ολοκληρωμένης υποδομής φόρτισης θα μπορούσε εις βάρος της κυβερνοασφάλειας, το ζήτημα της ετοιμότητάς του για την κυβερνοασφάλεια είναι ιδιαίτερα έντονο, δεδομένης της συνδεσιμότητας της υποδομής και της ικανότητας να προκαλεί δυνητικά ζημιές χρησιμοποιώντας πρόσβαση στη διαθέσιμη υψηλή τάση, λέει ο Phil Tonkin, ανώτερος διευθυντής στρατηγικής στο Dragos, πάροχο βιομηχανικής ασφάλειας στον κυβερνοχώρο.

«Οι περισσότεροι φορτιστές EV μπορούν να θεωρηθούν τεχνολογία Διαδικτύου των Πραγμάτων (IoT), αλλά είναι από τους πρώτους που έχουν τον έλεγχο ενός τόσο σημαντικού ηλεκτρικού φορτίου», λέει. Προσθέτει, «Ο συνολικός κίνδυνος τόσων πολλών συσκευών, που συχνά συνδέονται με μικρό αριθμό μεμονωμένων συστημάτων, σημαίνει ότι οι συσκευές αυτού του τύπου πρέπει να εφαρμόζονται με προσοχή».

Φορτιστές EV: IoT, OT & Critical Infrastructure

Από πολλές απόψεις, η υποδομή φόρτισης EV αντιπροσωπεύει μια τέλεια καταιγίδα τεχνολογιών. Οι συσκευές συνδέονται μέσω εφαρμογών για κινητές συσκευές και ενέχουν τους ίδιους κινδύνους με άλλες συσκευές IoT, αλλά πρόκειται επίσης να γίνουν κρίσιμο μέρος του δικτύου μεταφορών στις Ηνωμένες Πολιτείες, όπως και άλλες λειτουργικές τεχνολογίες (OT). Και επειδή οι σταθμοί φόρτισης EV πρέπει να είναι συνδεδεμένοι σε δημόσια δίκτυα, η διασφάλιση ότι οι επικοινωνίες τους είναι κρυπτογραφημένες θα είναι κρίσιμη για τη διατήρηση της ασφάλειας των συσκευών, λέει ο Dragos' Tonkin.

«Οι χακτιβιστές θα ψάχνουν πάντα για κακώς ασφαλείς συσκευές σε δημόσια δίκτυα, είναι σημαντικό οι ιδιοκτήτες των EV να θέτουν ελέγχους για να διασφαλίσουν ότι δεν είναι εύκολοι στόχοι», λέει. «Η κορωνίδα των χειριστών φορτιστών EV πρέπει να είναι οι κεντρικές τους πλατφόρμες, οι ίδιοι οι φορτιστές εμπιστεύονται εγγενώς τις οδηγίες που ωθούνται προς τα κάτω από το κέντρο».

Οι καταναλωτικές συσκευές είναι επίσης ένα πρόβλημα. Περίπου το 80% της φόρτισης πραγματοποιείται στο σπίτι, σύμφωνα με τα δεδομένα περιόδου σύνδεσης ChargePoint. Όμως, δυστυχώς, αυτές οι συσκευές μπορεί να είναι πιο εύκολο να διαταραχθούν επειδή οι καταναλωτές δεν είναι επικεντρωμένοι, ούτε θα πρέπει να πρέπει να επικεντρωθούν στην ασφάλεια στον κυβερνοχώρο, λέει ο Tonkin.

«Δεν είναι πρακτικό για τον μέσο εγχώριο πελάτη να πρέπει να θέτει σε εφαρμογή τη σωστή ασφάλεια, επομένως φροντίζοντας η ίδια η συσκευή και οι μέθοδοι που χρησιμοποιεί για να επικοινωνεί με υπηρεσίες που βασίζονται σε cloud θα πρέπει πάντα να βρίσκονται στον προμηθευτή», λέει.

Ο ρόλος της κυβέρνησης στην κυβερνοασφάλεια των ηλεκτρικών οχημάτων

Η κυβέρνηση των ΗΠΑ θα πρέπει να διαθέτει πρότυπα και βέλτιστες πρακτικές στις εταιρείες για να αποτρέψει τις αδυναμίες στον κυβερνοχώρο, λένε ορισμένοι. Τα Εθνικά Εργαστήρια Sandia, για παράδειγμα, συνέστησαν μια σειρά πρωτοβουλιών για την ενίσχυση της ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της βελτίωσης της ταυτότητας και της εξουσιοδότησης κατόχου EV, της προσθήκης μεγαλύτερης ασφάλειας στο στοιχείο cloud της υποδομής φόρτισης και της σκλήρυνσης των πραγματικών μονάδων φόρτισης έναντι φυσικών παραβιάσεων.

«Η κυβέρνηση μπορεί να πει «παραγωγή ασφαλών φορτιστών ηλεκτρικών οχημάτων», αλλά οι εταιρείες που προσανατολίζονται στον προϋπολογισμό δεν επιλέγουν πάντα τις πιο ασφαλείς εφαρμογές στον κυβερνοχώρο», ο Brian Wright, ειδικός στον τομέα της κυβερνοασφάλειας της Sandia που εργάζεται στο έργο ευπάθειας. είπε σε μια δήλωση. «Αντίθετα, η κυβέρνηση μπορεί να υποστηρίξει άμεσα τον κλάδο παρέχοντας διορθώσεις, συμβουλές, πρότυπα και βέλτιστες πρακτικές».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity