Infrastruktura do ładowania pojazdów elektrycznych stwarza okazję do cyberataku elektrycznego

Ponieważ infrastruktura do ładowania pojazdów elektrycznych (EV) pędzi, aby dotrzymać kroku dramatycznemu wzrostowi sprzedaży pojazdów elektrycznych w Stanach Zjednoczonych, zarówno cybernapastnicy, jak i badacze bezpieczeństwa zaczęli już skupiać się na słabych punktach bezpieczeństwa w infrastrukturze.

W lutym badacze z firmy Saiflow zajmującej się cyberbezpieczeństwem sieci energetycznych odkryli dwie luki w protokole Open Charge Point Protocol (OCPP), które mogą zostać wykorzystane w rozproszonym ataku typu „odmowa usługi” (DDoS) i kradzieży poufnych informacji. Idaho National Laboratory niedawno odkryło, że każda ładowarka, którą zbadała – bardziej formalnie znana jako Electric Vehicle Supply Equipment (EVSE) – miała przestarzałe wersje Linuksa, miała niepotrzebne usługi i pozwalała wielu usługom działać jako root, zgodnie z przegląd badań podatności na ładowanie pojazdów elektrycznych w czasopiśmie Energies. Inne potencjalne ataki obejmują adversary-in-the-middle (AitM) i usługi wystawione na publiczny Internet, zgodnie z artykułem.

Ryzyko nie jest tylko teoretyczne: rok temu, po inwazji Rosji na Ukrainę, haktywiści włamali się do stacji ładujących pod Moskwą, aby je wyłączyć i pokazać swoje poparcie dla Ukrainy i pogardę dla prezydenta Rosji Władimira Putina.

Obawy dotyczące cyberbezpieczeństwa pojawiają się, gdy sprzedaż pojazdów elektrycznych wzrosła w Stanach Zjednoczonych, stanowiąc 5.8% wszystkich sprzedanych pojazdów w 2022 r., w porównaniu z 3.2% w poprzednim roku, według JD Powera. Obecnie w Stanach Zjednoczonych dostępnych jest mniej niż 51,000 2 stacji ładowania poziomu 130,000 i DC Fast, co odpowiada możliwości jednoczesnego ładowania XNUMX XNUMX pojazdów, według amerykańskiego Departamentu Energii. Z ponad 1.5 miliona pojazdów elektrycznych zarejestrowany w czerwcu 2022 r, co oznacza, że ​​na każdy publiczny port ładowania przypada 11 pojazdów.

Aby nadążyć za popytem, ​​główni gracze w sektorze ładowania pojazdów elektrycznych mają znaczne plany ekspansji, a administracja Bidena zamierza zwiększyć liczbę ładowarek samochodowych do 500,000 o 2030.

Podczas gdy eksperci ds. cyberbezpieczeństwa obawiają się, że pośpiech w tworzeniu kompleksowej infrastruktury ładowania może odbywać się kosztem cyberbezpieczeństwa, kwestia jego gotowości do cyberbezpieczeństwa jest szczególnie pikantna, biorąc pod uwagę łączność infrastruktury i możliwość potencjalnego spowodowania szkód przy użyciu dostępnego wysokiego napięcia, mówi Phil Tonkin, starszy dyrektor ds. Strategii w Dragos, dostawcy cyberbezpieczeństwa przemysłowego.

„Większość ładowarek EV można uznać za technologię Internetu rzeczy (IoT), ale są one jednymi z pierwszych, które mają kontrolę nad tak znaczną ilością obciążenia elektrycznego”, mówi. Dodaje: „Zagregowane ryzyko związane z tak wieloma urządzeniami, często podłączonymi do niewielkiej liczby pojedynczych systemów, oznacza, że ​​urządzenia tego typu należy wdrażać ostrożnie”.

Ładowarki EV: IoT, OT i infrastruktura krytyczna

Pod wieloma względami infrastruktura ładowania pojazdów elektrycznych stanowi idealną burzę technologii. Urządzenia są połączone za pośrednictwem aplikacji mobilnych i niosą ze sobą takie same zagrożenia jak inne urządzenia IoT, ale staną się również krytyczną częścią sieci transportowej w Stanach Zjednoczonych, podobnie jak inne technologie operacyjne (OT). A ponieważ stacje ładowania pojazdów elektrycznych muszą być podłączone do sieci publicznych, zapewnienie szyfrowania komunikacji będzie miało kluczowe znaczenie dla utrzymania bezpieczeństwa urządzeń, mówi Tonkin z Dragos.

„Haktywiści zawsze będą szukać słabo zabezpieczonych urządzeń w sieciach publicznych, ważne jest, aby właściciele EV wprowadzili kontrole, aby upewnić się, że nie są łatwymi celami” – mówi. „Klejnotami koronnymi operatorów ładowarek EV muszą być ich centralne platformy, same ładowarki z natury ufają instrukcjom wypchniętym z centrum”.

Problemem są również urządzenia konsumenckie. Około 80% ładowania odbywa się w domu, zgodnie z danymi sesji ChargePoint. Ale niestety te urządzenia mogą być łatwiejsze do zakłócenia, ponieważ konsumenci nie są skoncentrowani, ani nie powinni się skupiać na bezpieczeństwie cybernetycznym, mówi Tonkin.

„Niepraktyczne jest, aby przeciętny klient domowy musiał wprowadzać odpowiednie zabezpieczenia, dlatego upewniając się, że samo urządzenie i metody, za pomocą których komunikuje się z usługami w chmurze, zawsze leżą po stronie dostawcy” — mówi.

Rola rządu w cyberbezpieczeństwie pojazdów elektrycznych

Niektórzy twierdzą, że rząd USA powinien udostępniać firmom standardy i najlepsze praktyki, aby zapobiegać lukom w cyberbezpieczeństwie. Na przykład Sandia National Laboratories zaleciła szereg inicjatyw mających na celu wzmocnienie cyberbezpieczeństwa, w tym poprawę uwierzytelniania i autoryzacji właścicieli pojazdów elektrycznych, zwiększenie bezpieczeństwa komponentu chmurowego infrastruktury ładowania oraz zabezpieczenie rzeczywistych jednostek ładujących przed fizycznymi manipulacjami.

„Rząd może powiedzieć „produkuj bezpieczne ładowarki do pojazdów elektrycznych”, ale firmy zorientowane na budżet nie zawsze wybierają najbardziej bezpieczne implementacje cybernetyczne”, Brian Wright, ekspert Sandia ds. w oświadczeniu. „Zamiast tego rząd może bezpośrednio wspierać branżę, dostarczając poprawki, porady, standardy i najlepsze praktyki”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity