תשתית טעינת EV מציעה הזדמנות להתקפת סייבר חשמלית

כאשר תשתית טעינת רכב חשמלי (EV) ממהרת לעמוד בקצב העלייה הדרמטית במכירות של כלי רכב חשמליים בארצות הברית, תוקפי סייבר וחוקרי אבטחה כאחד כבר החלו להתמקד בחולשות האבטחה בתשתית.

בפברואר, חוקרים עם חברת אבטחת סייבר ברשת האנרגיה Saiflow גילו שתי נקודות תורפה ב-Open Charge Point Protocol (OCPP) שיכולות לשמש בהתקפת מניעת שירות מבוזרת (DDoS) וכדי לגנוב מידע רגיש. והמעבדה הלאומית של איידהו גילתה לאחרונה שכל מטען שהיא בחנה - הידוע יותר בשם Electric Vehicle Supply Equipment (EVSE) - הפעיל גרסאות מיושנות של לינוקס, היו לו שירותים מיותרים, ואיפשר לשירותים רבים לפעול כבסיס, לפי סקר של מחקר פגיעות טעינת EV בכתב העת Energies. התקפות פוטנציאליות אחרות כוללות יריב-באמצע (AitM) ושירותים חשופים לאינטרנט הציבורי, לפי העיתון.

הסיכונים הם לא רק תיאורטיים: לפני שנה, לאחר שרוסיה פלשה לאוקראינה, האקטיביסטים התפשרו על תחנות טעינה ליד מוסקבה כדי להשבית אותן ולהפגין את תמיכתם באוקראינה ואת הבוז שלהם לנשיא רוסיה ולדמיר פוטין.

חששות אבטחת הסייבר באים כאשר מכירות הרכב החשמלי המריאו בארצות הברית, מהווים 5.8% מכלל כלי הרכב שנמכרו בשנת 2022, לעומת 3.2% בשנה הקודמת, לפי JD Power. נכון לעכשיו, פחות מ-51,000 עמדות טעינה מהירה ברמה 2 ו-DC זמינות בארה"ב, המייצגות את היכולת להטעין 130,000 כלי רכב בו זמנית, לפי משרד האנרגיה האמריקאי. עם יותר מ-1.5 מיליון כלי רכב חשמליים נרשם החל מיוני 2022, כלומר יש 11 כלי רכב לכל יציאת טעינה ציבורית.

כדי לעמוד בקצב הביקוש, לשחקנים הגדולים במגזר טעינת EV יש לכולם תוכניות התרחבות משמעותיות, וממשלת ביידן שואפת להגדיל את מספר מטעני הרכב עד 500,000 על 2030.

בעוד מומחי אבטחת סייבר חוששים שהמהר ליצור תשתית טעינה מקיפה יכולה באים על חשבון אבטחת הסייבר, שאלת המוכנות שלה לאבטחת הסייבר היא פיקנטית במיוחד לאור המחוברות של התשתית והיכולת לגרום נזק פוטנציאלי באמצעות גישה למתח הגבוה הזמין, אומר פיל טונקין, מנהל אסטרטגיה בכיר ב-Dragos, ספקית אבטחת סייבר תעשייתית.

"רוב מטעני החשמל יכולים להיחשב כטכנולוגיית האינטרנט של הדברים (IoT), אבל הם מהראשונים שיש להם שליטה על כמות כה משמעותית של עומס חשמלי", הוא אומר. הוא מוסיף, "הסיכון המצטבר של כל כך הרבה מכשירים, המחוברים לעתים קרובות למספר קטן של מערכות בודדות, אומר שצריך ליישם מכשירים מסוג זה בזהירות".

מטענים EV: IoT, OT ותשתית קריטית

במובנים רבים, תשתית טעינת EV מייצגת סערה מושלמת של טכנולוגיות. המכשירים מחוברים באמצעות יישומים ניידים ונושאים את אותם סיכונים כמו מכשירי IoT אחרים, אבל הם גם אמורים להפוך לחלק קריטי ברשת התחבורה בארצות הברית, כמו טכנולוגיות תפעוליות אחרות (OT). ומכיוון שתחנות טעינת EV חייבות להיות מחוברות לרשתות ציבוריות, הבטחת התקשורת שלהן מוצפנת תהיה קריטית לשמירה על אבטחת המכשירים, אומר טונקין של דראגוס.

"האקטיביסטים תמיד יחפשו מכשירים מאובטחים בצורה גרועה ברשתות ציבוריות, חשוב שבעלי EV ישימו בקרות כדי להבטיח שהם לא מטרות קלות", הוא אומר. "תכשיטי הכתר של המפעילים של מטעני EV צריכים להיות הפלטפורמות המרכזיות שלהם, המטענים עצמם סומכים באופן מהותי על ההוראות שנדחפו למטה מהמרכז."

גם מכשירים לצרכן הם בעיה. כ-80% מהטעינה מתבצעת בבית, לפי נתוני הפעלה של ChargePoint. אבל למרבה הצער, ייתכן שקל יותר לשבש את המכשירים האלה מכיוון שהצרכנים אינם ממוקדים, וגם לא צריכים להיות ממוקדים, באבטחת סייבר, אומר טונקין.

"זה לא מעשי שלקוח מקומי ממוצע צריך להציב את האבטחה הנכונה, ולכן לוודא שהמכשיר עצמו והשיטות שהוא משתמש בו כדי לתקשר עם שירותים מבוססי ענן צריכים להיות תמיד אצל הספק", הוא אומר.

תפקיד הממשלה באבטחת סייבר חשמלית

על ממשלת ארה"ב להעמיד לרשות חברות תקנים ושיטות עבודה מומלצות כדי למנוע חולשות באבטחת סייבר, יש אומרים. Sandia National Laboratories, למשל, המליצו על מספר יוזמות לחיזוק אבטחת הסייבר, כולל שיפור האימות וההרשאה של בעלי EV, הוספת אבטחה רבה יותר לרכיב הענן של תשתית הטעינה, והקשחת יחידות הטעינה בפועל מפני שיבוש פיזי.

"הממשלה יכולה לומר 'לייצר מטענים מאובטחים לרכב חשמלי', אבל חברות מוכוונות תקציב לא תמיד בוחרות את ההטמעות המאובטחות ביותר בסייבר", בריאן רייט, מומחה לאבטחת סייבר של Sandia שעובד על פרויקט הפגיעות, אמר בהצהרה. "במקום זאת, הממשלה יכולה לתמוך ישירות בתעשייה על ידי מתן תיקונים, ייעוץ, תקנים ושיטות עבודה מומלצות."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity