Elektrikli araç (EV) şarj altyapısı, Amerika Birleşik Devletleri’nde elektrikli araç satışlarındaki çarpıcı artışa ayak uydurmak için hızla ilerlerken, siber saldırganlar ve güvenlik araştırmacıları şimdiden altyapıdaki güvenlik zayıflıklarına odaklanmaya başladılar.
Şubat ayında, enerji ağı siber güvenlik firması Saiflow’daki araştırmacılar, Open Charge Point Protocol’de (OCPP) dağıtılmış bir hizmet reddi (DDoS) saldırısında ve hassas bilgileri çalmak için kullanılabilecek iki güvenlik açığı keşfetti. Ve Idaho Ulusal Laboratuvarı kısa bir süre önce incelediği her şarj cihazının – daha resmi olarak Elektrikli Araç Tedarik Ekipmanı (EVSE) olarak bilinir – Linux’un eski sürümlerini çalıştırdığını, gereksiz hizmetlere sahip olduğunu ve birçok hizmetin root olarak çalışmasına izin verdiğini buldu. Energies dergisinde EV şarj güvenlik açığı araştırmasına ilişkin bir anket. Gazeteye göre, diğer potansiyel saldırılar arasında ortadaki düşman (AitM) ve halka açık İnternet’e maruz kalan hizmetler yer alıyor.
Riskler sadece teorik değil: Bir yıl önce, Rusya Ukrayna’yı işgal ettikten sonra, bilgisayar korsanları Moskova yakınlarındaki şarj istasyonlarını devre dışı bırakmak ve Ukrayna’ya desteklerini ve Rusya Devlet Başkanı Vladamir Putin’i hor görmelerini göstermek için tehlikeye attılar.
Siber güvenlik endişeleri, Amerika Birleşik Devletleri’nde bir önceki yıla göre %3,2’den artarak 2022’de satılan tüm araçların %5,8’ini oluşturan elektrikli araç satışlarının artmasıyla ortaya çıkıyor. JD Power’a göre. Şu anda ABD’de 51.000’den az Seviye 2 ve DC Hızlı şarj istasyonu bulunmaktadır ve bu istasyonlar aynı anda 130.000 aracı şarj etme kabiliyetini temsil etmektedir. ABD Enerji Bakanlığı’na göre. 1,5 milyondan fazla elektrikli araçla Haziran 2022 itibariyle kayıtlıbu, her halka açık şarj portu için 11 araç olduğu anlamına gelir.
EA şarj sektöründeki büyük oyuncuların, talebi karşılamak için önemli genişleme planları var ve Biden yönetimi, araç şarj cihazlarının sayısını artırmayı hedefliyor. 2030’a kadar 500.000’e.
Siber güvenlik uzmanları, kapsamlı bir şarj altyapısı oluşturma telaşının siber güvenlik pahasına olabileceğinden endişe ederken, altyapının bağlantılılığı ve mevcut yüksek voltaja erişimi kullanarak potansiyel olarak hasara neden olma yeteneği göz önüne alındığında, siber güvenlik hazırlığı sorunu özellikle keskindir. , diyor endüstriyel siber güvenlik sağlayıcısı Dragos’un kıdemli strateji direktörü Phil Tonkin.
“Çoğu EV şarj cihazı, Nesnelerin İnterneti (IoT) teknolojisi olarak kabul edilebilir, ancak bu kadar önemli miktarda elektrik yükü üzerinde kontrol sahibi olan ilk cihazlardan biridir” diyor. “Genellikle az sayıda tekli sisteme bağlı olan bu kadar çok aygıtın toplam riski, bu tür aygıtların dikkatle uygulanması gerektiği anlamına gelir.”
EV Şarj Cihazları: IoT, OT ve Kritik Altyapı
EV şarj altyapısı birçok yönden mükemmel bir teknoloji fırtınasını temsil ediyor. Cihazlar, mobil uygulamalar aracılığıyla birbirine bağlanır ve diğer IoT cihazlarıyla aynı riskleri taşır, ancak aynı zamanda, diğer operasyonel teknolojiler (OT) gibi, Amerika Birleşik Devletleri’ndeki ulaşım ağının kritik bir parçası olmaya ayarlanmıştır. Dragos’tan Tonkin, elektrikli araç şarj istasyonlarının halka açık ağlara bağlı olması gerektiğinden, iletişimlerinin şifreli olmasının cihazların güvenliğini sağlamak için kritik öneme sahip olacağını söylüyor.
“Hacktivistler her zaman halka açık ağlarda zayıf güvenlikli cihazlar arayacaklar, EV sahiplerinin kolay hedef olmadıklarından emin olmak için kontroller koymaları önemlidir” diyor. “EV şarj cihazı operatörlerinin taç mücevherleri, merkezi platformları olmalı, şarj cihazlarının kendileri, merkezden aşağı itilen talimatlara özünde güveniyor.”
Tüketici cihazları da bir sorundur. Şarjın yaklaşık %80’i evde gerçekleşir, ChargePoint oturum verilerine göre. Ancak ne yazık ki, tüketiciler siber güvenliğe odaklanmadıkları ve odaklanmaları gerekmediği için bu cihazların bozulması daha kolay olabilir, diyor Tonkin.
“Ortalama bir yerel müşteri için doğru güvenliği sağlamak zorunda olmak pratik değil, bu nedenle cihazın kendisinin ve bulut tabanlı hizmetlerle iletişim kurmak için kullandığı yöntemlerin her zaman satıcıya bağlı olması gerektiğinden emin olun” diyor.
EV Siber Güvenliğinde Devletin Rolü
Bazıları, ABD hükümetinin siber güvenlik zayıflıklarını önlemek için şirketlere standartlar ve en iyi uygulamaları sunması gerektiğini söylüyor. Örneğin Sandia National Laboratories, siber güvenliği güçlendirmek için EV sahibi kimlik doğrulamasının ve yetkilendirmesinin iyileştirilmesi, şarj altyapısının bulut bileşenine daha fazla güvenlik eklenmesi ve gerçek şarj birimlerinin fiziksel kurcalamaya karşı güçlendirilmesi dahil olmak üzere bir dizi girişim önerdi.
Güvenlik açığı projesinde çalışan bir Sandia siber güvenlik uzmanı olan Brian Wright, “Hükümet ‘güvenli elektrikli araç şarj cihazları üretin’ diyebilir, ancak bütçe odaklı şirketler her zaman en siber güvenli uygulamaları seçmezler.” bir açıklamada söyledi. “Bunun yerine hükümet, düzeltmeler, tavsiyeler, standartlar ve en iyi uygulamalar sağlayarak sektörü doğrudan destekleyebilir.”