Laddningsinfrastruktur för elbilar erbjuder en möjlighet till elektriska cyberattacker

När laddinfrastrukturen för elfordon skyndar sig att hålla jämna steg med den dramatiska ökningen av försäljningen av elfordon i USA, har både cyberattackare och säkerhetsforskare redan börjat fokusera på säkerhetssvagheter i infrastrukturen.

I februari upptäckte forskare med cybersäkerhetsföretaget Saiflow för energinätverk två sårbarheter i Open Charge Point Protocol (OCPP) som kan användas i en DDoS-attack (distributed denial-of-service) och för att stjäla känslig information. Och Idaho National Laboratory fann nyligen att varje laddare den undersökte – mer formellt känd som Electric Vehicle Supply Equipment (EVSE) – körde föråldrade versioner av Linux, hade onödiga tjänster och tillät många tjänster att köras som root, enligt en undersökning av EV-laddningssårbarhetsforskning i tidskriften Energies. Andra potentiella attacker inkluderar adversary-in-the-middle (AitM) och tjänster exponerade för det offentliga Internet, enligt tidningen.

Riskerna är inte bara teoretiska: För ett år sedan, efter att Ryssland invaderade Ukraina, kompromissade hacktivister laddningsstationer nära Moskva för att inaktivera dem och visa sitt stöd för Ukraina och sitt förakt för Rysslands president Vladamir Putin.

Oron för cybersäkerhet kommer när försäljningen av elbilar har tagit fart i USA och står för 5.8 % av alla sålda fordon 2022, upp från 3.2 % föregående år, enligt JD Power. För närvarande finns mindre än 51,000 2 nivå 130,000 och DC snabbladdningsstationer tillgängliga i USA, vilket representerar förmågan att ladda XNUMX XNUMX fordon samtidigt, enligt det amerikanska energidepartementet. Med mer än 1.5 miljoner elfordon registrerat i juni 2022, det betyder att det finns 11 fordon för varje offentlig laddningsport.

För att hålla jämna steg med efterfrågan har de stora aktörerna inom elbilsladdningssektorn alla betydande expansionsplaner, och Biden-administrationen har som mål att öka antalet fordonsladdare till 500,000 2030 år XNUMX.

Medan cybersäkerhetsexperter oroar sig för att brådskan att skapa en omfattande laddningsinfrastruktur kan komma på bekostnad av cybersäkerhet, frågan om dess cybersäkerhetsberedskap är särskilt pikant med tanke på infrastrukturens uppkoppling och förmågan att potentiellt orsaka skada med tillgång till den tillgängliga högspänningen, säger Phil Tonkin, senior chef för strategi på Dragos, en leverantör av industriell cybersäkerhet.

"De flesta EV-laddare kan betraktas som en Internet of Things-teknik (IoT), men de är en av de första som har kontroll över en så betydande mängd elektrisk belastning", säger han. Han tillägger, "Den sammanlagda risken med så många enheter, ofta kopplade till ett litet antal enstaka system, innebär att enheter av denna typ måste implementeras med försiktighet."

EV-laddare: IoT, OT & Critical Infrastructure

På många sätt representerar laddningsinfrastrukturen för elbilar en perfekt storm av teknik. Enheterna är anslutna via mobila applikationer och har samma risker som andra IoT-enheter, men de är också inställda på att bli en kritisk del av transportnätverket i USA, precis som annan operativ teknologi (OT). Och eftersom laddstationer för elbilar måste vara anslutna till offentliga nätverk, kommer det att vara avgörande att säkerställa att deras kommunikation är krypterad för att upprätthålla säkerheten för enheterna, säger Dragos Tonkin.

"Hacktivister kommer alltid att leta efter dåligt säkrade enheter på offentliga nätverk, det är viktigt att ägarna av EV sätter in kontroller för att säkerställa att de inte är lätta mål", säger han. "Kronjuvelerna hos operatörerna av EV-laddare måste vara deras centrala plattformar, laddarna själva litar på de instruktioner som trycks ner från mitten."

Konsumentenheter är också ett problem. Cirka 80 % av laddningen sker i hemmet, enligt ChargePoint-sessionsdata. Men tyvärr kan dessa enheter vara lättare att störa eftersom konsumenterna inte är fokuserade, och inte heller borde de behöva vara fokuserade, på cybersäkerhet, säger Tonkin.

"Det är inte praktiskt för den genomsnittliga inhemska kunden att behöva sätta rätt säkerhet på plats, därför bör man se till att själva enheten och metoderna den använder för att kommunicera med molnbaserade tjänster alltid ska finnas hos leverantören", säger han.

Regeringens roll i EV Cybersecurity

Den amerikanska regeringen bör göra standarder och bästa praxis tillgängliga för företag för att förhindra cybersäkerhetssvagheter, säger vissa. Sandia National Laboratories, till exempel, har rekommenderat ett antal initiativ för att stärka cybersäkerheten, inklusive att förbättra EV-ägarens autentisering och auktorisering, lägga till mer säkerhet till molnkomponenten i laddningsinfrastrukturen och förstärka de faktiska laddningsenheterna mot fysisk manipulering.

"Regeringen kan säga 'tillverka säkra laddare för elfordon', men budgetorienterade företag väljer inte alltid de mest cybersäkra implementeringarna," Brian Wright, en cybersäkerhetsexpert från Sandia som arbetar med sårbarhetsprojektet, sade i ett uttalande. "Istället kan regeringen direkt stödja branschen genom att tillhandahålla korrigeringar, råd, standarder och bästa praxis."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity