0
0
Com mais países atingindo o ponto de inflexão para a adoção de veículos elétricos (EV), é mais urgente do que nunca que os setores público e privado invistam na infraestrutura de carregamento de EV . Um ecossistema de carregamento de VE robusto e altamente seguro é essencial para garantir a disponibilidade e a estabilidade da rede, proporcionando uma experiência de carregamento perfeita aos motoristas e alcançando transporte com emissão zero.
A boa notícia é que a construção da infraestrutura de carregamento de EV está ganhando força. A desvantagem é que os riscos de segurança cibernética estão crescendo junto com a infraestrutura de cobrança, e os cibercriminosos estão começando a perceber.
Hoje, os próprios carregadores de veículos elétricos são o alvo principal, com hacks que vão desde o plantio de ransomware até o sequestro de telas de mensagens do carregador com conteúdo politicamente motivado ou censurável. Em um grande alerta para os fabricantes, um especialista em segurança de chapéu brancodemonstrou vulnerabilidades de hardware e software do carregador EV. Hacks recentes também mostraram que os VEs também estão em risco.
As vulnerabilidades são mais amplas do que carregadores e EVs
As redes de comunicação que conectam os carregadores com seu sistema de gerenciamento, os dados pessoais que trafegam por essas redes, os operadores de pontos de carga que coletam pagamentos e a própria rede estão cada vez mais vulneráveis à medida que o ecossistema EV cresce e a superfície de ataque se expande. Os riscos incluem (mas não estão limitados a):
- Interrupção das operações de redes públicas de carregadores, inutilizando um grande número de carregadores e interferindo no transporte
- Aquisição de redes de carregadores para usar os carregadores como bots em ataques massivos de negação de serviço distribuído (DDoS)
- Roubo de informações de identificação pessoal (PII) dos clientes, incluindo informações de cartão de pagamento
- Pagamentos fraudulentos de eletricidade usada no carregamento de VE
- Interrupção da rede elétrica, levando a apagões e danos aos equipamentos
- Danos à reputação do provedor de carregamento de EV
Como sabem os especialistas em segurança de TI, sempre que houver comunicações digitais entre dois pontos, haverá uma vulnerabilidade em potencial. Quando um EV se conecta a um carregador em rede, ocorre uma cascata de comunicações bidirecionais entre vários computadores – entre o veículo e o carregador, o carregador e o aplicativo móvel do motorista, o carregador e a rede, o carregador e o sistema de gerenciamento de back-end , o sistema de gestão e um gateway de pagamento, e o sistema de gestão e o operador de ponto de carregamento. Essa é uma ampla superfície de ataque.
É preciso coordenação e comprometimento em todo o ecossistema de carregamento de VE para alcançar a segurança de ponta a ponta necessária para proteger redes de carregamento de VE, dados pessoais e de pagamento e a rede.
Padrões e protocolos oferecem um caminho a seguir
Os provedores de soluções de carregamento e gerenciamento de energia de EV devem se comprometer com os protocolos e padrões do setor – desenvolvidos por consórcios globais, como a Open Charge Alliance (OCA) e a Organização Internacional de Padronização (ISO) – e as proteções que eles fornecem. O mesmo acontece com outros participantes do setor, como fabricantes de carregadores de veículos elétricos e seus subfornecedores, fabricantes automotivos e serviços públicos.
A chave para a segurança da rede é o Open Charge Point Protocol (OCPP). Ele governa as comunicações entre as estações de carregamento e um sistema de gerenciamento central. A versão mais recente incorpora padrões para configuração de conexão segura, eventos e registro de segurança e atualizações seguras de firmware.
Outra medida essencial é a ISO 27001, uma estrutura abrangente que abrange controles legais, físicos e técnicos envolvidos nos processos de segurança da informação e gerenciamento de riscos de uma empresa. A conformidade garante que todos os processos, procedimentos e ferramentas relevantes sejam implementados e monitorados para proteger a plataforma de carregamento de VE.
ISO 15118.20 é um padrão internacional que foi atualizado em 2022 para reforçar os requisitos de segurança para comunicações bidirecionais entre uma estação de carregamento e um EV. O padrão fornece capacidade plug-and-charge, que usa certificados de segurança para identificar automaticamente o EV para o carregador e autenticar um método de pagamento. Também rege a troca de dados necessária para o veículo para a rede (V2G), que envia a energia armazenada na bateria do VE de volta à rede elétrica.
As melhores práticas de segurança de TI fornecem proteção em várias camadas
A primeira prática recomendada de segurança de TI que as empresas do ecossistema de cobrança de VEs devem considerar é organizacional: Contrate um diretor de segurança da informação (CISO). Com uma ampla superfície de ataque para defender e a necessidade de proteger os dados de ataques internos e externos, o CISO deve trabalhar em estreita colaboração com o diretor de tecnologia (CTO) para coordenar a segurança de TI e a segurança da infraestrutura de carregamento de veículos elétricos.
As comunicações e a troca de dados entre o software de gerenciamento na nuvem, carregadores de EV, EVs e a rede podem ser protegidas pelas melhores práticas de segurança de TI, como infraestrutura de chave pública X.509 (PKI), segurança da camada de transporte (TLS), “túnel” seguro ” em toda a Internet e criptografia de dados.
Os provedores de infraestrutura de carregamento de VE também devem se preocupar com os regulamentos de privacidade de dados específicos para PII. Qualquer organização que transporte, manuseie ou armazene PII deve cumprir o Regulamento Geral de Proteção de Dados (GDPR) na UE, a Lei de Proteção de Informações Pessoais (APPI) no Japão, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o novo Lei de Direitos de Privacidade da Califórnia (CPRA).
A conformidade com os padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) e os padrões de segurança SOC 1 fornece os controles e medidas de segurança para proteger as transações com cartão de crédito e débito durante a transmissão e o armazenamento. Os controles incluem o uso de tokens em vez de dados legíveis e o armazenamento apenas dos quatro dígitos finais de um cartão de crédito. Salvaguardas inteligentes para sistemas de gerenciamento de faturamento devem reconhecer e prevenir pagamentos fraudulentos.
Os sistemas de detecção e resposta de endpoint (EDR) monitoram continuamente os dispositivos conectados à plataforma de gerenciamento EVcharging, identificam invasões e permitem uma resposta rápida para que os cibercriminosos não possam penetrar na rede e girar para outros componentes, seja o software de gerenciamento, o carro ou a rede .
E realizar testes anuais de penetração de infraestrutura e aplicativos é essencial para descobrir possíveis vulnerabilidades e construir um plano sólido para resolvê-las.
O Recado Final
Proteger a infraestrutura de carregamento de EV de cibercriminosos é um trabalho para todos os participantes do ecossistema. Esteja você pensando em hospedar carregadores de VE em seu local de trabalho ou seja um participante ativo no ecossistema, a segurança deve permanecer em primeiro lugar. Uma lição importante do setor de segurança de TI é o reconhecimento de que esta será uma batalha perpétua. Quanto mais cresce o ecossistema de carregamento de VEs, mais valor monetário ele oferece aos cibercriminosos. O desafio de ficar à frente dos malfeitores e responder rapidamente quando ameaças desconhecidas se tornam conhecidas nunca acaba.
FONTE: DARK READING