Δίκτυα φόρτισης ηλεκτρικών οχημάτων και κυβερνοασφάλεια

Δίκτυα φόρτισης ηλεκτρικών οχημάτων και κυβερνοασφάλεια

Ο νόμος Infrastructure Investment and Jobs Act όπως ψηφίστηκε από το Κογκρέσο το Νοέμβριο του 2021, προβλέπει τη δαπάνη 7,5 δισ. δολαρίων για την εγκατάσταση 500.000 σταθμών φόρτισης ηλεκτρικών οχημάτων έως το 2030. Στις ΗΠΑ φιλοδοξούν τα ηλεκτρικά οχήματα να αποτελούν τις μισές πωλήσεις νέων οχημάτων έως το 2030. Αλλά καθώς αυξάνεται ο αριθμός των σταθμών φόρτισης, αυξάνεται και ο αριθμός των τρωτών σημείων που σχετίζονται με την κυβερνοασφάλεια.

Disclaimer: Απαγορεύεται η αναδημοσίευση, αναπαραγωγή, ολική, μερική ή περιληπτική ή κατά παράφραση ή διασκευή ή απόδοση του περιεχομένου του παρόντος διαδικτυακού τόπου με οποιονδήποτε τρόπο, χωρίς αναφορά στο RAWMATHUB.GR (με ενεργό link) ή χωρίς την προηγούμενη γραπτή άδεια του RAWMATHUB.GR. 

Τα τελευταία χρόνια, οι κυβερνοεγκληματίες έχουν εξαπολύσει μεγάλο αριθμό επιθέσεων σε δίκτυα ηλεκτροδότησης, στοχεύοντας τα τρωτά τους σημεία. Στην περίπτωση των σταθμών φόρτισης, υπάρχουν τρωτά σημεία εντός των σταθμών, για παράδειγμα, μέσα στον εξοπλισμό που ελέγχει τις συνδέσεις μεταξύ του δικτύου ηλεκτροδότησης και του σταθμού. ενώ άλλα εντοπίζονται στο ίδιο το δίκτυο ηλεκτροδότησης και είναι ευθύνη των εταιρειών κοινής ωφελείας.

Εταιρείες αιολικής ενέργειας που εδρεύουν στην Ευρώπη (όπως η Deutsche Windtechnik AG, η Enercon GmbH και η Nordex SE) έχουν υποστεί κυβερνοεπιθέσεις που επικεντρώνονται στη διακοπή του ηλεκτρικού ρεύματος, σε κλοπή ταυτότητας χρήστη και στοιχείων πληρωμών. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορεί να είναι διακοπές υπηρεσιών που επηρεάζουν τους πελάτες και μειώσεις εσόδων για τις εταιρείες ηλεκτρικής ενέργειας ή τους ιδιοκτήτες των δικτύων διανομής.

Οι κυβερνοεγκληματίες αναζητούν διαρκώς νέους τρόπους για να εκμεταλλευτούν όλες τις ευπάθειες ενός συστήματος για δικό τους όφελος. Αυτό είναι πρόβλημα για τον καταναλωτή όπως και για τις εμπορικές επιχειρήσεις. Πέρα από τις πιέσεις που δημιουργούνται από διάφορους τύπους κυβερνοεπιθέσεων - αχρήστευση του συστήματος, ηλεκτρονικές παρεμβολές, άρνηση παροχής υπηρεσιών λόγω υπερφόρτωσης (Distributed Denial of Service, DDoS) - εγείρονται επιπλέον ανησυχίες λόγω της ύπαρξης ευπαθών συστημάτων ελέγχου. Από τη θέση του στο PlugInAmerica.org, ο Ron Freund ανησυχεί ότι ο υπάρχον εξοπλισμός εποπτικού ελέγχου και συλλογής δεδομένων είναι «πρωτόγονος».

«Ο υπάρχον εξοπλισμός δε διαχειρίζεται τα απλά σφάλματα αποτελεσματικά και δεν είναι αξιόπιστος, ενώ δεν είναι και εύκολα επεκτάσιμος για να δεχθεί μεγάλο αριθμό συσκευών προς παρακολούθηση. Επιπροσθέτως, δεν είναι ακόμη προσβάσιμος μέσω Internet. Στην πραγματικότητα, είναι τρομακτικό πόσο πρωτόγονα είναι ακόμα μερικά από αυτά τα συστήματα», τονίζει ο Freund.

Η σημασία του κεντρικού συστήματος ελέγχου

Στην καρδιά της υποδομής για τα ηλεκτρικά οχήματα βρίσκονται οι σταθμοί φόρτισης που συνδέονται με ένα κεντρικό σύστημα ελέγχου (Βackend). Αυτό το σύστημα επικοινωνεί μέσω ενός ασύρματου δικτύου χρησιμοποιώντας την ίδια τεχνολογία με μια κάρτα SIM (με άλλα λόγια, χρησιμοποιεί machine-to-machine επικοινωνία). Οι σταθμοί συλλέγουν ευαίσθητα δεδομένα, όπως δεδομένα πληρωμών, δεδομένα τοποθεσίας και δημογραφικά δεδομένα που μπορεί να περιλαμβάνουν διευθύνσεις email και διευθύνσεις IP. Εφόσον χρησιμοποιείται μια εφαρμογή για κινητά ή μια κάρτα RFID για την πρόσβαση στο σταθμό, συλλέγονται επίσης ευαίσθητα δεδομένα στις εφαρμογές κινητών τηλεφώνων που χρησιμοποιούνται, συμπεριλαμβανομένων των δεδομένων τοποθεσίας και του ιστορικού συμπεριφοράς στο διαδίκτυο.

Σύμφωνα με τον Thomas Russell του Εθνικού Κέντρου Κυβερνοασφάλειας, «αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν για την εύρεση μοτίβων καθημερινής δραστηριότητας, δεδομένων κινητικότητας, καθώς και προσωπικών πληροφοριών». Οι σταθμοί με σύνδεση στο διαδίκτυο έχουν προφανή πλεονεκτήματα για τους χειριστές, οι οποίοι μπορούν να παρακολουθούν τη χρήση και την αξιοπιστία σε πραγματικό χρόνο, αλλά το να είναι συνδεδεμένοι στο διαδίκτυο σημαίνει, εκ προοιμίου, ότι είναι ευάλωτοι.

Σύμφωνα με τον Joe Marshall της εταιρείας Cisco Talos «Το πιο ευπαθές σημείο ενός σταθμού φόρτισης ηλεκτρικών οχημάτων είναι συνήθως το σύστημα διαχείρισης των σταθμών (γνωστό και ως EVCS/MS). Οι ιδιοκτήτες των σταθμών πρέπει να μείνουν συνδεδεμένοι με τους σταθμούς μέσω Internet για να επεξεργαστούν πληρωμές, να προβούν σε συντήρηση και να διαθέσουν τις υπηρεσίες τους στους ιδιοκτήτες ηλεκτρικών οχημάτων». Κατά συνέπεια, όλο αυτό μπορεί να εκθέσει τους σταθμούς τους σε κυβερνοεπιθέσεις που μπορεί να επιδιώξουν να εκμεταλλευτούν τις ευπάθειες του EVCS/MS.

Ο Marshall ανησυχεί ότι τα EVCS/MS είναι «ευάλωτα με πολλούς τρόπους». Πολλά έχουν αναπτυχθεί με κακές πρακτικές ασφάλειας - με κωδικούς πρόσβασης εισηγμένους απευθείας στον πηγαίο κώδικα (και επομένως ευάλωτους σε κλοπή) και κακές πρακτικές ασφαλείας κατά την ανάπτυξη του προγραμματιστικού κώδικα. Αυτά τα χαρακτηριστικά επιτρέπουν στους εισβολείς να εκμεταλλεύονται τις online διεπαφές διαχείρισης για να υπονομεύσουν το σύστημα. Ο Marshall πιστεύει ότι «αυτό δεν είναι διαφορετικό από πολλές σύγχρονες συσκευές IoT, όπως οι web κάμερες ή τα οικιακά Internet routers» που παραδοσιακά έχουν κακώς σχεδιασμένη ασφάλεια. Το σύστημα διαχείρισης σταθμών φόρτισης είναι απίστευτα παρόμοιο με άλλα προϊόντα και αγορές IoT.

Η Υπηρεσία για την Ασφάλεια των Κρίσιμων Υποδομών (Critical Infrastructure Security Agency, CISA) είναι ο ομοσπονδιακός οργανισμός των ΗΠΑ που είναι υπεύθυνος για την αναφορά θεμάτων ασφαλείας σε ΙΤ&Τ υποδομές. Η CISA εξέδωσε πολλές προειδοποιήσεις ασφαλείας για συστήματα σταθμών φόρτισης. Υπάρχουν πολλές εταιρείες στον χώρο των σταθμών φόρτισης, λέει ο Marshall, για τις οποίες, «είναι δύσκολο να πούμε ποιες γνωρίζουν τις ευπάθειες στην ασφάλεια των προϊόντων τους, αν και σίγουρα εάν έχει εκδοθεί μια Έκθεση Κοινών Ευπαθειών (Common Vulnerabilities and Exposures, CVE), το πιθανότερο είναι ότι όλα τα διαχειριστικά συστήματα έχουν κάποιες ευπάθειες».

Εξετάζοντας το πλήρες εύρος του προβλήματος, ο Marshall δε φαίνεται να έχει καλά νέα.

«Εκτός από τις γνωστές ενημερώσεις για ευπάθειες ασφαλείας, δε φαίνεται να υπάρχει σοβαρή πρόσθετη έρευνα ασφάλειας για τους σταθμούς φόρτισης ή τα συστήματα διαχείρισής τους», είπε ο Marshall. Κατά την άποψη του, η πρόγνωση για το μέλλον «δεν είναι καλή» και αναφέρει «μια βιασύνη από εταιρείες που θέλουν να εισέλθουν στην αγορά των σταθμών φόρτισης καθώς τα ηλεκτρικά αυτοκίνητα γίνονται ολοένα και περισσότερα. Αυτές οι εταιρείες συνήθως δεν έχουν την ασφάλεια των συστημάτων τους ως προτεραιότητα, και ίσως δεν είναι καθόλου μέρος του πλάνου τους».

Ένα Kia Niro φορτίζει σε ένα σταθμό φόρτισης της εταιρείας Electrify America. Αυτός ο συγκεκριμένος κύκλος φόρτισης δεν χρεώθηκε λόγω ενός σφάλματος στην cloud υποδομή AWS της Amazon που απέτρεψε το σταθμό από το να ζητήσει την ολοκλήρωση της πληρωμής

Είναι αναγκαίο ένα πρότυπο κυβερνοασφάλειας;

Ο Marshall προβλέπει ότι η κυβέρνηση θα πρέπει να δράσει ρυθμιστικά και να επιβληθεί ελάχιστο πρότυπο ασφάλειας. Είναι επίσης πιθανόν ότι όσο ωριμάζει η αγορά, η λύση θα προέλθει από την ωρίμανση της ασφάλειας εντός των προϊόντων. Μπορεί να προκύψουν λύσεις τρίτων για να βοηθήσουν τις εταιρείες να εξετάσουν τις κυβερνοαπειλές και να υιοθετήσουν τρόπους ανάπτυξης συστημάτων διαχείρισης σταθμών φόρτισης που ενσωματώνουν βέλτιστες πρακτικές ασφαλείας στον κύκλο ανάπτυξης τους.

Ο Sunil Chhaya του Ινστιτούτου Έρευνας Ηλεκτρικής Ενέργειας (EPRI) επικεντρώνεται σε δύο βασικά ζητήματα. «Δεν υπάρχει κανένα ενιαίο πρότυπο κυβερνοασφάλειας για σταθμούς φόρτισης με το οποίο να μπορούν να προδιαγραφούν, να σχεδιαστούν, να κατασκευαστούν ή να δοκιμαστούν. Ακόμα κι αν μεμονωμένα υποσυστήματα είναι ασφαλή, δεν υπάρχει καμία διαβεβαίωση ότι το σύστημα στο σύνολο του είναι ασφαλές». είπε ο Chhaya.

Ο Chhaya υποστηρίζει μια συστηματική προσέγγιση όπου «οι οργανισμοί προτύπων, οι ρυθμιστικές αρχές, οι εμπορικές ενώσεις, τα ερευνητικά εργαστήρια, καθώς και οι πάροχοι εξοπλισμού και τεχνολογίας, πρέπει να συνεργάζονται για την ανάπτυξη προδιαγραφών, το σχεδιασμό, την κατασκευή, τη δοκιμή και την ανάπτυξη συστημάτων και όχι μόνο τμημάτων του συστήματος. που θα είναι ασφαλή ως σύνολο.

Πράγματι, η EPRI έχει δημιουργήσει μια Πλατφόρμα Διαχείρισης Κυβερνοασφάλειας Συστημάτων Φόρτισης που θα είναι σύντομα διαθέσιμη για δημόσια χρήση. Αναπτύχθηκε μαζί με επιχειρήσεις κοινής ωφέλειας, τρίτους παρόχους, εθνικά εργαστήρια, κατασκευαστές εξοπλισμού και κατασκευαστές ηλεκτρικών οχημάτων και επιτρέπει σε έναν ειδικό να διαμορφώσει μια δεδομένη τοπολογία υποδομής σταθμών φόρτισης, να αξιολογήσει τους κινδύνους και τα ευάλωτα σημεία και να παρέχει λύσεις και στρατηγικές μετριασμού των κινδύνων συνολικά σε ένα σύστημα, εφαρμόζοντας τις βέλτιστες πρακτικές και τα πρότυπα του κλάδου στην περίπτωση των υποδομών φόρτισης ηλεκτρικών οχημάτων.

Σαφώς, όλοι οι εμπλεκόμενοι πρέπει να είναι μέρος της λύσης: προμηθευτές υποδομών φόρτισης, κατασκευαστές chipset, OEM κατασκευαστές εξαρτημάτων και οι προμηθευτές τους, φορείς τυποποίησης, όπως η IEEE, κυβερνήσεις και εμπορικές ενώσεις. Ολόκληρο το οικοσύστημα πρέπει να ενωθεί για να διασφαλίσει ότι η ασφάλεια των υποδομών φόρτισης δεν αποτελεί εκ των υστέρων σκέψη.

Μια εμπορική ένωση κοινής ωφελείας, η American Public Power Association (APPA), εργάζεται πάνω σε αυτό το πρόβλημα. Ο Alex Hofmann, αντιπρόεδρος της APPA, επισημαίνει ότι «κάθε συσκευή συνδεδεμένη στο Διαδίκτυο αποτελεί πιθανό σημείο εισόδου για κακόβουλη εισβολή, είτε πρόκειται για σταθμούς φόρτισης ηλεκτρικών οχημάτων ή για κάτι τόσο απλό όσο ένας «έξυπνος» θερμοστάτης ή μια συσκευή οικιακής ασφάλειας».

Η APPA επικεντρώνεται στο να πείσει τα μέλη της να υιοθετούν βέλτιστες πρακτικές κατά την ανάπτυξη διασυνδεδεμένων στο Διαδίκτυο συσκευών στο πεδίο, με έμφαση στο πλαίσιο της «διαμοιραζόμενης ευθύνης» μεταξύ των κατασκευαστών (που πρέπει να ενσωματώνουν πρακτικές ασφάλειας στα συστήματά τους) και των καταναλωτών (που πρέπει να κάνουν πράγματα όπως η αλλαγή των προεπιλεγμένων κωδικών πρόσβασης και να ακολουθούν καλές πρακτικές κατά τη χρήση των συστημάτων).

Οι κυβερνήσεις και ο ακαδημαϊκός κόσμος διαδραματίζουν επίσης ρόλο καθώς μπορούν να εργαστούν παράλληλα πάνω στον εντοπισμό απειλών και την έκδοση συστάσεων ενημερώσεων ασφάλειας, να προτείνουν διορθώσεις και να επιβάλλουν διασφαλίσεις για τη βιομηχανία και τους καταναλωτές. Το μεγάλο μήνυμα του Hofmann προς τις επιχειρήσεις κοινής ωφέλειας είναι απλό: «Όσο πιο διαδεδομένες γίνονται οι συσκευές που είναι συνδεδεμένες στο Διαδίκτυο, τόσο πιο προσεκτικοί πρέπει να είμαστε όλοι».

Με πληροφορίες από ArsTechnica.com

ΜΕΤΑΦΡΑΣΗ - ΕΠΙΜΕΛΕΙΑ: ΣΥΝΤΑΚΤΙΚΗ ΟΜΑΔΑ RAWMATHUB.GR
foolwo rawmathub.gr on Google News
Image

Έγκυρη ενημέρωση για την αξιακή αλυσίδα των raw materials

NEWSLETTER