0
0
À medida que a infraestrutura de carregamento de veículos elétricos (EV) corre para acompanhar o aumento dramático nas vendas de veículos elétricos nos Estados Unidos, ciberataques e pesquisadores de segurança já começaram a se concentrar nas falhas de segurança na infraestrutura.
Em fevereiro, pesquisadores da empresa de segurança cibernética de rede de energia Saiflow descobriram duas vulnerabilidades no Open Charge Point Protocol (OCPP) que poderiam ser usadas em um ataque distribuído de negação de serviço (DDoS) e para roubar informações confidenciais. E o Laboratório Nacional de Idaho descobriu recentemente que todos os carregadores examinados – mais formalmente conhecidos como Electric Vehicle Supply Equipment (EVSE) – estavam executando versões desatualizadas do Linux, tinham serviços desnecessários e permitiam que muitos serviços fossem executados como root, de acordo com uma pesquisa da Pesquisa de vulnerabilidade de carregamento de EV na revista Energies . Outros ataques potenciais incluem adversário no meio (AitM) e serviços expostos à Internet pública, de acordo com o jornal.
Os riscos não são apenas teóricos: um ano atrás, depois que a Rússia invadiu a Ucrânia, hacktivistas comprometeram estações de carregamento perto de Moscou para desativá-las e mostrar seu apoio à Ucrânia e seu desprezo pelo presidente russo Vladamir Putin.
As preocupações com a segurança cibernética surgem quando as vendas de veículos elétricos disparam nos Estados Unidos, respondendo por 5,8% de todos os veículos vendidos em 2022, acima dos 3,2% do ano anterior, de acordo com a JD Power . Atualmente, menos de 51.000 estações de carregamento de Nível 2 e DC Fast estão disponíveis nos EUA, representando a capacidade de carregar 130.000 veículos simultaneamente, de acordo com o Departamento de Energia dos EUA . Com mais de 1,5 milhão de veículos elétricos registrados em junho de 2022 , isso significa que existem 11 veículos para cada ponto de carregamento público.
Para acompanhar a demanda, os principais players do setor de carregamento de VEs têm planos de expansão significativos, e o governo Biden pretende aumentar o número de carregadores de veículos para 500.000 até 2030 .
Embora os especialistas em segurança cibernética temam que a pressa para criar uma infraestrutura de carregamento abrangente possa prejudicar a segurança cibernética , a questão de sua preparação para segurança cibernética é especialmente picante, dada a conectividade da infraestrutura e a capacidade de causar danos usando o acesso à alta tensão disponível , diz Phil Tonkin, diretor sênior de estratégia da Dragos, fornecedora de cibersegurança industrial.
“Most EV chargers can be considered an Internet of Things (IoT) technology, but they are one of the first that has control over such a significant amount of electrical load,” he says. He adds, “The aggregated risk of so many devices, often connected to a small number of single systems, means that devices of this type need to be implemented with care.”
EV Chargers: IoT, OT & Critical Infrastructure
In many ways, EV charging infrastructure represents a perfect storm of technologies. The devices are connected via mobile applications and carry the same risks as other IoT devices, but they’re also set to become a critical part of transportation network in the United States, like other operational technology (OT). And because EV charging stations must be connected to public networks, ensuring that their communications are encrypted will be critical to maintaining the security of the devices, says Dragos’ Tonkin.
“Hacktivistas sempre estarão procurando dispositivos mal protegidos em redes públicas, é importante que os proprietários de EV coloquem controles para garantir que não sejam alvos fáceis”, diz ele. “As joias da coroa dos operadores de carregadores de veículos elétricos devem ser suas plataformas centrais, os próprios carregadores confiam intrinsecamente nas instruções enviadas do centro.”
Dispositivos de consumo também são um problema. Cerca de 80% do carregamento ocorre em casa, de acordo com os dados da sessão ChargePoint . Mas, infelizmente, esses dispositivos podem ser mais fáceis de interromper porque os consumidores não estão focados, nem deveriam estar focados, na segurança cibernética, diz Tonkin.
“Não é prático para o cliente doméstico médio ter que implementar a segurança certa, portanto, garantir que o próprio dispositivo e os métodos que ele usa para se comunicar com serviços baseados em nuvem sempre estejam no fornecedor”, diz ele.
Papel do governo na segurança cibernética de veículos elétricos
O governo dos EUA deveria disponibilizar padrões e melhores práticas para as empresas evitarem falhas na segurança cibernética, dizem alguns. O Sandia National Laboratories, por exemplo, recomendou uma série de iniciativas para fortalecer a segurança cibernética, incluindo melhorar a autenticação e autorização do proprietário de EV, adicionar mais segurança ao componente de nuvem da infraestrutura de carregamento e proteger as unidades de carregamento reais contra adulteração física.
“O governo pode dizer ‘produzir carregadores de veículos elétricos seguros’, mas as empresas orientadas para o orçamento nem sempre escolhem as implementações mais ciberseguras”, disse Brian Wright, especialista em segurança cibernética da Sandia que trabalha no projeto de vulnerabilidade, em comunicado . “Em vez disso, o governo pode apoiar diretamente a indústria, fornecendo correções, recomendações, padrões e melhores práticas”.
FONTE: DARK READING