Elektrikli araç (EV) şarj altyapısı, Amerika Birleşik Devletleri’nde elektrikli araç satışlarındaki çarpıcı artışa ayak uydurmak için hızla ilerlerken, siber saldırganlar ve güvenlik araştırmacıları şimdiden altyapıdaki güvenlik zayıflıklarına odaklanmaya başladılar.
Şubat ayında, enerji ağı siber güvenlik firması Saiflow’daki araştırmacılar, Open Charge Point Protocol’de (OCPP) dağıtılmış bir hizmet reddi (DDoS) saldırısında ve hassas bilgileri çalmak için kullanılabilecek iki güvenlik açığı keşfetti. Ve Idaho Ulusal Laboratuvarı kısa bir süre önce incelediği her şarj cihazının (daha resmi olarak Elektrikli Araç Tedarik Ekipmanı (EVSE) olarak bilinir) Linux’un eski sürümlerini çalıştırdığını, gereksiz hizmetlere sahip olduğunu ve bir ankete göre birçok hizmetin root olarak çalışmasına izin verdiğini buldu. Energys dergisinde EV şarj güvenlik açığı araştırması. Gazeteye göre, diğer potansiyel saldırılar arasında ortadaki düşman (AitM) ve halka açık İnternet’e maruz kalan hizmetler yer alıyor.
Riskler sadece teorik değil: Bir yıl önce, Rusya Ukrayna’yı işgal ettikten sonra, bilgisayar korsanları Moskova yakınlarındaki şarj istasyonlarını devre dışı bırakmak ve Ukrayna’ya desteklerini ve Rusya Devlet Başkanı Vladamir Putin’i hor görmelerini göstermek için tehlikeye attılar.
JD Power’a göre, siber güvenlik endişeleri, Amerika Birleşik Devletleri’nde bir önceki yıla göre %3,2’den 2022’de satılan tüm araçların %5,8’ini oluşturan elektrikli araç satışlarının artmasıyla ortaya çıkıyor. ABD Enerji Bakanlığı’na göre, şu anda ABD’de 51.000’den az Seviye 2 ve DC Hızlı şarj istasyonu bulunuyor ve bu, 130.000 aracı aynı anda şarj etme kapasitesini temsil ediyor. Haziran 2022 itibarıyla kayıtlı 1,5 milyondan fazla elektrikli araçla, bu, halka açık her şarj istasyonu için 11 araç olduğu anlamına geliyor.
Talebe ayak uydurmak için EV şarj sektöründeki büyük oyuncuların hepsinin önemli genişleme planları var ve Biden yönetimi, araç şarj cihazı sayısını 2030 yılına kadar 500.000’e çıkarmayı hedefliyor.
Siber güvenlik uzmanları, kapsamlı bir şarj altyapısı oluşturma telaşının siber güvenlik pahasına olabileceğinden endişe ederken, altyapının bağlantılılığı ve mevcut yüksek voltaja erişimi kullanarak potansiyel olarak hasara neden olma yeteneği göz önüne alındığında, siber güvenlik hazırlığı sorunu özellikle keskindir. , diyor endüstriyel siber güvenlik sağlayıcısı Dragos’un kıdemli strateji direktörü Phil Tonkin.
“Çoğu EV şarj cihazı, Nesnelerin İnterneti (IoT) teknolojisi olarak kabul edilebilir, ancak bu kadar önemli miktarda elektrik yükü üzerinde kontrol sahibi olan ilk cihazlardan biridir” diyor. “Genellikle az sayıda tekli sisteme bağlı olan bu kadar çok aygıtın toplam riski, bu tür aygıtların dikkatle uygulanması gerektiği anlamına gelir.”
EV Şarj Cihazları: IoT, OT ve Kritik Altyapı
EV şarj altyapısı birçok yönden mükemmel bir teknoloji fırtınasını temsil ediyor. Cihazlar, mobil uygulamalar aracılığıyla birbirine bağlanır ve diğer IoT cihazlarıyla aynı riskleri taşır, ancak aynı zamanda, diğer operasyonel teknolojiler (OT) gibi, Amerika Birleşik Devletleri’ndeki ulaşım ağının kritik bir parçası olmaya ayarlanmıştır. Dragos’tan Tonkin, elektrikli araç şarj istasyonlarının halka açık ağlara bağlı olması gerektiğinden, iletişimlerinin şifreli olmasının cihazların güvenliğini sağlamak için kritik öneme sahip olacağını söylüyor.
“Hacktivistler her zaman halka açık ağlarda zayıf güvenlikli cihazlar arayacaklar, EV sahiplerinin kolay hedef olmadıklarından emin olmak için kontroller koymaları önemlidir” diyor. “EV şarj cihazı operatörlerinin taç mücevherleri, merkezi platformları olmalı, şarj cihazlarının kendileri, merkezden aşağı itilen talimatlara özünde güveniyor.”
Tüketici cihazları da bir sorundur. ChargePoint oturum verilerine göre şarjın yaklaşık %80’i evde gerçekleşiyor. Ancak ne yazık ki, tüketiciler siber güvenliğe odaklanmadıkları ve odaklanmaları gerekmediği için bu cihazların bozulması daha kolay olabilir, diyor Tonkin.
“Ortalama bir yerel müşteri için doğru güvenliği sağlamak zorunda olmak pratik değil, bu nedenle cihazın kendisinin ve bulut tabanlı hizmetlerle iletişim kurmak için kullandığı yöntemlerin her zaman satıcıya bağlı olması gerektiğinden emin olun” diyor.
EV Siber Güvenliğinde Devletin Rolü
Bazıları, ABD hükümetinin siber güvenlik zayıflıklarını önlemek için şirketlere standartlar ve en iyi uygulamaları sunması gerektiğini söylüyor. Örneğin Sandia National Laboratories, siber güvenliği güçlendirmek için EV sahibi kimlik doğrulamasının ve yetkilendirmesinin iyileştirilmesi, şarj altyapısının bulut bileşenine daha fazla güvenlik eklenmesi ve gerçek şarj birimlerinin fiziksel kurcalamaya karşı güçlendirilmesi dahil olmak üzere bir dizi girişim önerdi.
Güvenlik açığı projesinde çalışan Sandia siber güvenlik uzmanı Brian Wright yaptığı açıklamada, “Hükümet ‘güvenli elektrikli araç şarj cihazları üretin’ diyebilir, ancak bütçe odaklı şirketler her zaman en siber güvenli uygulamaları seçmez” dedi. “Bunun yerine hükümet, düzeltmeler, tavsiyeler, standartlar ve en iyi uygulamalar sağlayarak sektörü doğrudan destekleyebilir.”