Инфраструктура зарядки электромобилей открывает возможности для кибератак

По мере того, как инфраструктура зарядки электромобилей (EV) стремится идти в ногу с резким ростом продаж электромобилей в Соединенных Штатах, кибер-злоумышленники и исследователи безопасности уже начали сосредотачиваться на слабых местах безопасности в инфраструктуре.

В феврале исследователи из компании Saiflow, занимающейся кибербезопасностью энергетических сетей, обнаружили две уязвимости в протоколе Open Charge Point Protocol (OCPP), которые можно использовать для распределенной атаки типа «отказ в обслуживании» (DDoS) и для кражи конфиденциальной информации. А Национальная лаборатория Айдахо недавно обнаружила, что каждое исследованное ею зарядное устройство, более официально известное как оборудование для снабжения электромобилей (EVSE), работало под управлением устаревших версий Linux, имело ненужные службы и позволяло многим службам работать от имени пользователя root. обзор исследования уязвимости зарядки электромобилей в журнале Energies. Другие потенциальные атаки включают в себя злоумышленника посередине (AitM) и службы, открытые для общедоступного Интернета.

Риски не только теоретические: год назад, после того как Россия вторглась в Украину, хактивисты скомпрометировали зарядные станции под Москвой, чтобы вывести их из строя и продемонстрировать свою поддержку Украины и свое презрение к президенту России Владимиру Путину.

Проблемы кибербезопасности возникают в связи с ростом продаж электромобилей в Соединенных Штатах, на которые приходится 5.8% всех автомобилей, проданных в 2022 году, по сравнению с 3.2% в предыдущем году. по данным JD Power. В настоящее время в США доступно менее 51,000 2 станций быстрой зарядки уровня 130,000 и постоянного тока, что позволяет одновременно заряжать XNUMX XNUMX автомобилей. по данным Министерства энергетики США. Более 1.5 млн электромобилей зарегистрирован в июне 2022 г., это означает, что на каждый общественный зарядный порт приходится 11 автомобилей.

Чтобы не отставать от спроса, все основные игроки в секторе зарядки электромобилей имеют значительные планы расширения, и администрация Байдена стремится увеличить количество зарядных устройств для транспортных средств. до 500,000 к 2030 году.

Хотя эксперты по кибербезопасности опасаются, что спешка с созданием комплексной зарядной инфраструктуры может прийти за счет кибербезопасности, вопрос о его готовности к кибербезопасности стоит особенно остро, учитывая связанность инфраструктуры и возможность потенциально нанести ущерб, используя доступ к имеющемуся высокому напряжению, — говорит Фил Тонкин, старший директор по стратегии Dragos, поставщика промышленной кибербезопасности.

«Большинство зарядных устройств для электромобилей можно рассматривать как технологию Интернета вещей (IoT), но они одни из первых, которые контролируют такое значительное количество электрической нагрузки», — говорит он. Он добавляет: «Совокупный риск такого большого количества устройств, часто подключенных к небольшому количеству одиночных систем, означает, что устройства этого типа необходимо внедрять с осторожностью».

Зарядные устройства для электромобилей: IoT, OT и критическая инфраструктура

Во многих отношениях инфраструктура зарядки электромобилей представляет собой идеальный шторм технологий. Устройства подключаются через мобильные приложения и несут те же риски, что и другие устройства IoT, но они также должны стать важной частью транспортной сети в Соединенных Штатах, как и другие операционные технологии (OT). А поскольку зарядные станции для электромобилей должны быть подключены к общедоступным сетям, обеспечение шифрования их связи будет иметь решающее значение для обеспечения безопасности устройств, говорит Тонкин Драгоса.

«Хактивисты всегда будут искать плохо защищенные устройства в общедоступных сетях, важно, чтобы владельцы электромобилей установили контроль, чтобы гарантировать, что они не станут легкой мишенью», — говорит он. «Жемчужиной короны операторов зарядных устройств для электромобилей должны быть их центральные платформы, сами зарядные устройства по своей сути доверяют инструкциям, выдаваемым из центра».

Потребительские устройства также являются проблемой. Около 80% зарядки происходит дома, по данным сессии ChargePoint. Но, к сожалению, эти устройства может быть легче взломать, потому что потребители не сосредоточены, да и не должны быть сосредоточены на кибербезопасности, говорит Тонкин.

«Среднему внутреннему покупателю нецелесообразно устанавливать правильную защиту, поэтому само устройство и методы, которые оно использует для связи с облачными службами, всегда должны быть за поставщиком», — говорит он.

Роль правительства в обеспечении кибербезопасности электромобилей

Некоторые считают, что правительство США должно предоставить компаниям стандарты и лучшие практики, чтобы предотвратить уязвимости в области кибербезопасности. Например, Sandia National Laboratories рекомендовала ряд инициатив по усилению кибербезопасности, включая улучшение аутентификации и авторизации владельцев электромобилей, усиление безопасности облачного компонента инфраструктуры зарядки и защиту самих зарядных устройств от физического вмешательства.

«Правительство может сказать: «Производите безопасные зарядные устройства для электромобилей», но компании, ориентированные на бюджет, не всегда выбирают наиболее безопасные в киберпространстве решения», — говорит Брайан Райт, эксперт Sandia по кибербезопасности, работающий над проектом по выявлению уязвимостей. говорится в заявлении. «Вместо этого правительство может напрямую поддерживать отрасль, предоставляя исправления, рекомендации, стандарты и передовой опыт».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity