Sähköajoneuvojen latausinfrastruktuuri tarjoaa sähköisen kyberhyökkäyksen mahdollisuuden

Sähköajoneuvojen (EV) latausinfrastruktuurin kiirehtiessä pysymään sähköajoneuvojen myynnin dramaattisen kasvun tahdissa Yhdysvalloissa, kyberhyökkääjät ja turvallisuustutkijat ovat jo alkaneet keskittyä infrastruktuurin tietoturvaheikkouksiin.

Helmikuussa energiaverkkojen kyberturvallisuusyrityksen Saiflow tutkijat löysivät Open Charge Point Protocol (OCPP) -protokollasta kaksi haavoittuvuutta, joita voidaan käyttää hajautettuun palvelunestohyökkäykseen (DDoS) ja arkaluonteisten tietojen varastamiseen. Ja Idahon kansallinen laboratorio havaitsi äskettäin, että jokainen sen tutkima laturi – joka tunnetaan muodollisemmin nimellä Electric Vehicle Supply Equipment (EVSE) – käytti Linuxin vanhentuneita versioita, niissä oli tarpeettomia palveluita ja se mahdollisti useiden palvelujen käytön root-palvelimella. Energies-lehdessä julkaistu kysely sähköajoneuvojen lataushaavoittuvuustutkimuksesta. Lehden mukaan muita mahdollisia hyökkäyksiä ovat AitM (AitM) ja julkiseen Internetiin altistuvat palvelut.

Riskit eivät ole vain teoreettisia: vuosi sitten, kun Venäjä hyökkäsi Ukrainaan, hacktivistit vaaransivat Moskovan lähellä sijaitsevat latausasemat sulkeakseen ne ja osoittaakseen tukensa Ukrainalle ja halveksuntaa Venäjän presidenttiä Vladamir Putinia kohtaan.

Kyberturvallisuusongelmat tulevat, kun sähköajoneuvojen myynti on lisääntynyt Yhdysvalloissa, ja sen osuus kaikista vuonna 5.8 myydyistä ajoneuvoista oli 2022 prosenttia, kun se edellisenä vuonna oli 3.2 prosenttia. JD Powerin mukaan. Tällä hetkellä Yhdysvalloissa on saatavilla alle 51,000 2 Level 130,000- ja DC Fast -latausasemaa, mikä vastaa kykyä ladata XNUMX XNUMX ajoneuvoa samanaikaisesti. Yhdysvaltain energiaministeriön mukaan. Yli 1.5 miljoonalla sähköautolla rekisteröity kesäkuussa 2022Tämä tarkoittaa, että jokaista julkista latausporttia kohden on 11 ajoneuvoa.

Pystyäkseen kysynnän tahdissa sähköautojen latausalan suurilla toimijoilla on kaikilla merkittäviä laajentumissuunnitelmia, ja Bidenin hallinto pyrkii lisäämään ajoneuvojen laturien määrää 500,000 2030 vuoteen XNUMX mennessä.

Vaikka kyberturvallisuusasiantuntijat ovat huolissaan siitä, että kiire luoda kattava latausinfrastruktuuri voisi olla mahdollista tulee kyberturvallisuuden kustannuksellaKysymys sen kyberturvallisuusvalmiudesta on erityisen kiintoisa, kun otetaan huomioon infrastruktuurin liitettävyys ja kyky mahdollisesti aiheuttaa vahinkoja käytettävissä olevan korkean jännitteen avulla, sanoo Phil Tonkin, teollisen kyberturvallisuuden tarjoajan Dragosin strategiajohtaja.

"Useimpia sähköajoneuvojen latureita voidaan pitää Internet of Things (IoT) -teknologiana, mutta ne ovat ensimmäisiä, jotka hallitsevat näin merkittävää sähkökuormaa", hän sanoo. Hän lisää: "Niiden laitteiden, jotka usein liitetään pieneen määrään yksittäisiä järjestelmiä, yhteenlaskettu riski tarkoittaa, että tämän tyyppiset laitteet on otettava käyttöön huolellisesti."

Sähköautojen laturit: IoT, OT ja kriittinen infrastruktuuri

Sähköautojen latausinfrastruktuuri edustaa monella tapaa täydellistä teknologioiden myrskyä. Laitteet yhdistetään mobiilisovellusten kautta, ja niihin liittyy samat riskit kuin muihin IoT-laitteisiin, mutta niistä on myös tulossa kriittinen osa Yhdysvaltojen liikenneverkkoa, kuten muutakin toimintateknologiaa (OT). Ja koska sähköajoneuvojen latausasemat on liitettävä julkisiin verkkoihin, niiden viestinnän salauksen varmistaminen on ratkaisevan tärkeää laitteiden turvallisuuden ylläpitämiseksi, Dragosin Tonkin sanoo.

"Hacktivistit etsivät aina huonosti suojattuja laitteita julkisista verkoista. On tärkeää, että sähköautojen omistajat ottavat käyttöön hallintalaitteet varmistaakseen, että ne eivät ole helppoja kohteita", hän sanoo. "Sähköautojen laturien operaattorien kruununjalokivet tulee olla heidän keskeisiä alustojaan, laturit itse luottavat luontaisesti keskeltä alas työnnettyihin ohjeisiin."

Myös kuluttajalaitteet ovat ongelma. Noin 80 % latauksesta tapahtuu kotona, ChargePoint-istuntotietojen mukaan. Mutta valitettavasti näitä laitteita voi olla helpompi häiritä, koska kuluttajat eivät ole keskittyneet kyberturvallisuuteen eikä heidän tarvitsekaan keskittyä siihen, Tonkin sanoo.

"Tavallisen kotimaisen asiakkaan ei ole käytännöllistä ottaa käyttöön oikeaa tietoturvaa, joten itse laitteen ja sen kommunikointimenetelmien pilvipohjaisten palvelujen kanssa tulee aina olla myyjällä", hän sanoo.

Hallituksen rooli sähköautojen kyberturvallisuudessa

Jotkut sanovat, että Yhdysvaltojen hallituksen tulisi saattaa yritysten käyttöön standardeja ja parhaita käytäntöjä kyberturvallisuuden heikkouksien estämiseksi. Esimerkiksi Sandia National Laboratories on suositellut useita aloitteita kyberturvallisuuden vahvistamiseksi, mukaan lukien sähköajoneuvojen omistajan todentamisen ja valtuutuksen parantaminen, latausinfrastruktuurin pilvikomponentin turvallisuuden lisääminen ja todellisten latausyksiköiden suojaaminen fyysistä peukalointia vastaan.

"Hallitus voi sanoa 'tuottaa turvallisia sähköajoneuvojen latureita', mutta budjettisuuntautuneet yritykset eivät aina valitse kyberturvallisimpia toteutuksia", Brian Wright, Sandian kyberturvallisuusasiantuntija, joka työskentelee haavoittuvuusprojektissa. sanoi lausunnossaan. "Sen sijaan hallitus voi suoraan tukea alaa tarjoamalla korjauksia, neuvoja, standardeja ja parhaita käytäntöjä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity