Ο νόμος για τις επενδύσεις στην υποδομή και τις θέσεις εργασίας , όπως εγκρίθηκε από το Κογκρέσο τον περασμένο Νοέμβριο, επιτρέπει 7,5 δισεκατομμύρια δολάρια για
την επίτευξη του στόχου του Προέδρου των ΗΠΑ Τζο Μπάιντεν για εγκατάσταση 500.000 σταθμών έως το 2030. Ο Μπάιντεν στοχεύει να αντιπροσωπεύουν τα EV τα μισά από όλα τα νέα οχήματα που πωλούνται στις ΗΠΑ έως το 2030 Όμως, καθώς αυξάνεται ο αριθμός των σταθμών, αυξάνεται και ο αριθμός των τρωτών σημείων.Τα τελευταία αρκετά χρόνια, οι χάκερ ήταν απασχολημένοι στοχεύοντας τις επιθέσεις τους σε τρωτά σημεία του ηλεκτρικού συστήματος . Στην περίπτωση των σταθμών φόρτισης, μερικά από αυτά τα μαλακά σημεία βρίσκονται μέσα στους σταθμούς. Ορισμένα βρίσκονται μέσα στον εξοπλισμό που ελέγχει τις συνδέσεις μεταξύ του δικτύου και του σταθμού. και ακόμα, άλλα είναι μέσα σε περιουσιακά στοιχεία που βρίσκονται στην πλευρά του πλέγματος της σχέσης, και αυτά ανήκουν κυρίως σε επιχειρήσεις κοινής ωφέλειας. Οι εταιρείες αιολικής ενέργειας που εδρεύουν στην Ευρώπη (Deutsche Windtechnik AG, Enercon GmbH και Nordex SE) έχουν υποστεί επιθέσεις που επικεντρώνονται στη διακοπή της ροής ηλεκτρονίων, επιθέσεις κλοπής ταυτότητας και κλοπές πληρωμών. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορεί να είναι διακοπές υπηρεσιών που επηρεάζουν τους πελάτες και μειώσεις εσόδων για τους παρόχους ηλεκτρονίων ή/και τους κατόχους περιουσιακών στοιχείων.
Οι χάκερ αναζητούν διαρκώς τρόπους να χρησιμοποιήσουν όλες τις ευπάθειες του συστήματος προς το μέγιστο πλεονέκτημά τους . Αυτό είναι πρόβλημα για τον καταναλωτή, όπως και για τις εμπορικές επιχειρήσεις. Προστέθηκε στις πιέσεις που δημιουργούνται από διάφορους τύπους διαταραχών χάκερ—φυσική καταστροφή. ηλεκτρονική εμπλοκή? δημιουργώντας μια "Άρνηση υπηρεσίας"—είναι ανησυχίες σχετικά με αδύναμα συστήματα ελέγχου. Από τη θέση του στο PlugInAmerica.org, ο Ron Freund ανησυχεί ότι το υπάρχον υλικό εποπτικού ελέγχου και απόκτησης δεδομένων είναι πρωτεύον.
"Δεν χειρίζεται τα απλά σφάλματα με χάρη και δεν είναι αξιόπιστο, πολύ λιγότερο επεκτάσιμο. Αλλά επίσης δεν είναι ακόμη στο Διαδίκτυο, επομένως είναι απρόσιτο (ως επί το πλείστον). Στην πραγματικότητα, είναι τρομακτικό πόσο πρωτόγονα είναι μερικά από αυτά τα συστήματα εξακολουθούν να είναι», μου είπε ο Freund.
Προστατέψτε το backend σας
Στην καρδιά της υποδομής EV βρίσκονται σταθμοί που συνδέονται με μια κεντρική μονάδα ελέγχου, που συνήθως αναφέρεται ως "the backend". Αυτό το backend επικοινωνεί μέσω ενός ασύρματου δικτύου χρησιμοποιώντας την ίδια τεχνολογία με μια κάρτα SIM (με άλλα λόγια, χρησιμοποιεί επικοινωνίες μηχανής με μηχανή). Οι σταθμοί συλλέγουν ευαίσθητα δεδομένα, όπως δεδομένα πληρωμής, δεδομένα τοποθεσίας και δημογραφικά δεδομένα που μπορεί να περιλαμβάνουν διευθύνσεις email και αριθμούς IP. Εφόσον χρησιμοποιείται μια εφαρμογή για κινητά ή μια κάρτα RFID για την πρόσβαση στο σταθμό, συλλέγονται επίσης ευαίσθητα δεδομένα στις εφαρμογές, συμπεριλαμβανομένων των δεδομένων τοποθεσίας και του ιστορικού συμπεριφοράς στο διαδίκτυο.
Σύμφωνα με τον Τόμας Ράσελ του Εθνικού Κέντρου Κυβερνοασφάλειας, «αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν για την εύρεση μοτίβων καθημερινής ρουτίνας και δεδομένων τοποθεσίας καθώς και ιδιωτικών πληροφοριών». Οι δικτυωμένοι σταθμοί έχουν προφανή πλεονεκτήματα για τους χειριστές, οι οποίοι μπορούν να παρακολουθούν τη χρήση και την αξιοπιστία σε πραγματικό χρόνο, αλλά το να είναι δικτυωμένοι σημαίνει ότι είναι ευάλωτοι.
Σύμφωνα με τον Joe Marshall στη Cisco Talos, "Τα πιο ευάλωτα στοιχεία ενός σταθμού φόρτισης ηλεκτρικών οχημάτων θα είναι συνήθως το σύστημα διαχείρισης EV (γνωστό και ως EVCSMS). πραγματοποιούν συντήρηση και διαθέτουν τις υπηρεσίες τους σε ηλεκτρικά οχήματα." Κατά συνέπεια, αυτό μπορεί να εκθέσει τους σταθμούς τους σε εισβολείς που μπορεί να επιδιώξουν να εκμεταλλευτούν αυτό το EVCSMS.
Ο Marshall στενοχωριέται που τα EVCSMS είναι «ευάλωτα με πολλούς τρόπους». Πολλά έχουν αναπτυχθεί με κακές πρακτικές ασφάλειας—από διαπιστευτήρια με σκληρό κώδικα (και επομένως κλοπή) έως κακή ανάπτυξη κώδικα ασφαλείας που επιτρέπει στους εισβολείς να εκμεταλλεύονται τις διεπαφές διαχείρισης για να υπονομεύσουν το σύστημα. Πιστεύει ότι «αυτό δεν είναι διαφορετικό από πολλές σύγχρονες συσκευές IoT, όπως οι κάμερες web ή οι δρομολογητές στο σπίτι» που παραδοσιακά έχουν κακώς σχεδιασμένη ασφάλεια. Το σύστημα διαχείρισης EV είναι απίστευτα παρόμοιο με άλλα προϊόντα και αγορές IoT.
Το Critical Infrastructure Security Agency (CISA) είναι ο ομοσπονδιακός οργανισμός αναφοράς των ΗΠΑ που είναι υπεύθυνος για τις αποκαλύψεις ασφαλείας. Η CISA εξέδωσε πολλές ειδοποιήσεις ασφαλείας για συστήματα EVCS. Υπάρχουν πολλές εταιρείες στον χώρο του EVCS, λέει ο Marshall, οι οποίες, κοιτάζοντας αυτή τη λίστα εταιρειών, «είναι δύσκολο να πούμε ποιος γνωρίζει τις ευπάθειες ασφαλείας τους, αν και σίγουρα εάν έχει εκδοθεί μια κοινή ευπάθεια και έκθεση (CVE), είστε να γνωρίζετε ότι υπάρχουν τρωτά σημεία στο προϊόν σας."
Εξετάζοντας το πλήρες εύρος του προβλήματος, ο Μάρσαλ δεν φαίνεται να έχει πολλά καλά νέα να προσφέρει.
"Εκτός από τις γνωστές ειδοποιήσεις ασφαλείας, δεν φαίνεται να υπάρχει μεγάλη πρόσθετη έρευνα ασφάλειας για το EVCS ή τα συστήματα διαχείρισής τους", είπε ο Μάρσαλ. Κατά την άποψή του, η πρόγνωση για το μέλλον "δεν είναι καλή" και αναφέρει "μια βιασύνη από εταιρείες [που] θέλουν να ενταχθούν στην αγορά EVCS καθώς τα ηλεκτρικά αυτοκίνητα γίνονται πιο εμφανή στους δρόμους μας. Αυτές οι εταιρείες συνήθως κάνουν την ασφάλεια ως εκ των υστέρων σκέψη, εάν καθόλου, στα προϊόντα τους».
Χρειαζόμαστε ένα πρότυπο ασφάλειας στον κυβερνοχώρο;
Ο Μάρσαλ προβλέπει ότι η ρυθμιστική δράση της κυβέρνησης είναι σίγουρα μια πιθανότητα, όπου πρέπει να τηρείται ένα ελάχιστο πρότυπο ασφάλειας - και θα επιβληθεί. Αυτό που θα μπορούσε να είναι μια πιο πιθανή λύση είναι ότι, καθώς η αγορά ωριμάζει, το ίδιο ισχύει και για την ασφάλεια εντός των προϊόντων. Μπορεί να προκύψουν λύσεις τρίτων για να βοηθήσουν τις εταιρείες να εξετάσουν τις απειλές για την ασφάλεια και τρόπους ανάπτυξης EVCS/MS που ενσωματώνουν βέλτιστες πρακτικές ασφαλείας στον κύκλο ανάπτυξής τους.
Στο Ινστιτούτο Έρευνας Ηλεκτρικής Ενέργειας (EPRI), η Sunil Chhaya έχει επικεντρωθεί σε δύο βασικά ζητήματα. "Δεν υπάρχει κανένα ενιαίο πρότυπο κυβερνοασφάλειας στο οποίο να μπορούν να καθοριστούν, να σχεδιαστούν, να κατασκευαστούν ή να δοκιμαστούν. Ακόμα κι αν μεμονωμένοι σύνδεσμοι πληροφοριών είναι ασφαλείς στον κυβερνοχώρο, δεν υπάρχει καμία διαβεβαίωση ότι το σύστημα στο σύνολό του είναι ασφαλές στον κυβερνοχώρο", είπε ο Chhaya.
Ο Chhaya υποστηρίζει μια συστηματική προσέγγιση όπου «οι οργανισμοί προτύπων, οι ρυθμιστικές αρχές, οι εμπορικές ενώσεις, τα ερευνητικά εργαστήρια, καθώς και οι πάροχοι εξοπλισμού και τεχνολογίας πρέπει να συνεργάζονται για τον καθορισμό, το σχεδιασμό, την κατασκευή, τη δοκιμή και την ανάπτυξη συστημάτων και όχι μόνο τμημάτων του συστήματος. που είναι ασφαλείς στον κυβερνοχώρο», είπε. Πράγματι, η EPRI έχει δημιουργήσει μια Πλατφόρμα Διαχείρισης Κυβερνοασφάλειας Φόρτισης EV που θα είναι σύντομα διαθέσιμη για δημόσια χρήση. Αναπτύχθηκε μαζί με επιχειρήσεις κοινής ωφέλειας, τρίτους παρόχους, εθνικά εργαστήρια, κατασκευαστές εξοπλισμού και κατασκευαστές EV, επιτρέπει σε έναν επαγγελματία να διαμορφώσει μια δεδομένη τοπολογία υποδομής φόρτισης, να αξιολογήσει τους κινδύνους και τις «επιφάνειες επίθεσης» και να παρέχει λύσεις και στρατηγικές μετριασμού σε ένα σύστημα - σε ευρεία βάση εφαρμόζοντας τις βέλτιστες πρακτικές και τα πρότυπα του κλάδου στην περίπτωση της υποδομής EV.
Σαφώς, όλοι πρέπει να είναι μέρος της λύσης: προμηθευτές υποδομής EV, κατασκευαστές chipset, OEM αυτοκινήτων και οι προμηθευτές τους, φορείς τυποποίησης όπως η IEEE, κυβερνήσεις και εμπορικές ενώσεις, για να αναφέρουμε μόνο μερικά. Ολόκληρο το οικοσύστημα πρέπει να συνενωθεί για να διασφαλίσει ότι η ασφάλεια στον κυβερνοχώρο δεν αποτελεί εκ των υστέρων σκέψη.
Ένας εμπορικός σύλλογος υπηρεσιών κοινής ωφέλειας, η American Public Power Association (APPA), εργάζεται για αυτό το πρόβλημα. Ο Alex Hofmann, αντιπρόεδρος της APPA, επισημαίνει ότι «κάθε συσκευή που είναι συνδεδεμένη στο Διαδίκτυο αποτελεί πιθανό σημείο εισόδου για κακόβουλη εισβολή — είτε πρόκειται για μια μεγάλη τοποθεσία φόρτισης ηλεκτρικών οχημάτων είτε για κάτι τόσο απλό όσο ένας «έξυπνος» θερμοστάτης ή μια συσκευή οικιακής ασφάλειας».
Η APPA επικεντρώνεται στο να πείσει τα βοηθητικά προγράμματα μελών της να κάνουν "στοχαστικές αναπτύξεις" όλων των συνδεδεμένων στο Διαδίκτυο συσκευών με έμφαση στην "κοινή ευθύνη" μεταξύ κατασκευαστών (που πρέπει να δημιουργήσουν εύλογες διασφαλίσεις) και καταναλωτών (που πρέπει να κάνουν πράγματα όπως αλλαγή προεπιλογής κωδικούς πρόσβασης και λάβετε άλλα κοινά βήματα υγιεινής στον κυβερνοχώρο). Η κυβέρνηση και η ακαδημαϊκή κοινότητα διαδραματίζουν επίσης ρόλο καθώς μπορούν να εργαστούν στα άκρα για να κάνουν πράγματα όπως ο εντοπισμός απειλών και η σύσταση ενημερώσεων κώδικα, διορθώσεις και διασφαλίσεις για τη βιομηχανία και τους καταναλωτές. Το μεγάλο μήνυμα του Hofmann προς τις επιχειρήσεις κοινής ωφέλειας είναι απλό: «Όσο πιο πανταχού παρούσες είναι οι συνδεδεμένες στο διαδίκτυο συσκευές, τόσο πιο προσεκτικοί πρέπει να είμαστε όλοι».
