EV Şarj İstasyonları Hala Siber Güvenlik Açıklarıyla Karşı Karşıya


Elektrikli araçların (EV’ler) artan popülaritesi, yalnızca gaz konusunda bilinçli tüketicilerin değil, aynı zamanda geniş kapsamlı saldırılar başlatmak için EV şarj istasyonlarını kullanmaya odaklanan siber suçluların da favorisi. Bunun nedeni, ister özel bir garajda ister halka açık bir otoparkta olsun, her şarj noktasının çevrimiçi olması ve sürücü kimliklerinin saklanmasının yanı sıra ödeme sistemleri ve elektrik şebekesi ile etkileşime giren çeşitli yazılımları çalıştırmasıdır. Başka bir deyişle, bunlar Nesnelerin İnterneti (IoT) yazılım çukurudur.

Bir şarj ağı sağlayıcısı olan EVPassport’un CEO’su Hooman Shahidi, “EV şarjı yaygınlaştıkça, daha sofistike bilgisayar korsanlığı grupları için cazip hedefler haline gelecekler” diyor. “Sağlayıcıların ürünlerini kritik altyapı ve ulusal güvenliğimizin kritik bir bileşeni olarak düşünmeleri gerekiyor.” Var ABD’de 2,5 milyon elektrikli araç faaliyet gösteriyorve yarısından fazlası fişli şarj cihazları gerektiriyor. 2022’de popülerliklerini kabul ederek, Birleşik Krallık’ın zorunlu kıldığı şarj istasyonları tüm yeni konut inşaatlarında inşa edilecek.

Şarj istasyonları önemli siber güvenlik riskleriyle karşı karşıyadır. “Sorunlar arasında korumasız İnternet bağlantısı, yetersiz kimlik doğrulama ve şifreleme, ağ bölümlemesinin olmayışı, yönetilmeyen enerji varlıkları ve daha fazlası yer alıyor” diye yazdı Check Point Software ve SaiFlow’dan araştırmacılarikincisi, dağıtılmış enerji çözümlerinde siber güvenlik uzmanıdır. Güvenliği ihlal edilen istasyonlar elektrik şebekesine zarar verebilir veya müşteri verilerinin çalınmasına neden olabilir. Check Point Software’den CTO ofisinde çalışan Aaron Rose, “Şarj cihazları kişisel bilgilere ve ödeme bilgilerine sahip ve geleneksel güvenlik duvarları tarafından genellikle tanınmayan çeşitli protokolleri çalıştırıyor” diyor.

Şarj istasyonlarına yönelik siber saldırıların ilk aşamaları birkaç yıl önce başladı. Rus istasyonu saldırıya uğradı Ukrayna savaşına yanıt olarak Şubat 2022’de ve Nisan 2022’de Birleşik Krallık’ta üç kişi daha ele geçirildi. Her iki durum da daha çok birimlerin ekranlarında kaba mesajlar görüntüleyen siber şakalardı. Shell geçen yıl bir güvenlik açığını kapattı milyonlarca şarj kaydını açığa çıkarabilecek tek bir veritabanında EV şarj ağı.

Yeni güvenlik açıkları şarj istasyonlarını rahatsız etmeye devam ediyor. SaiFlow tarafından keşfedilen bunlardan ikisinin uzaktan kod yürütülmesine ve potansiyel veri hırsızlığına yol açabileceği ortaya çıktı bu senenin başlarında. Araştırmalarına göre, istismarlar istasyonlarda kullanılan çeşitli yazılım modülleri arasındaki zayıf kimlik doğrulama rutinlerinden yararlanıyor. Şarj istasyonu satıcısı Enel X Way şunları listeliyor: diğer çeşitli veri uzlaşmaları araç kimlik numaralarının yanı sıra araç kontrollerine uzaktan erişim sağlayabilecek açıkları da içeriyor.

Elias Bou-Harb, Louisiana Eyalet Üniversitesi’nde bilgisayar bilimcisidir. uzun süredir üzerinde çalışılan şarj istasyonu güvenliği. Hemen hemen her şarj ürününün, SQL enjeksiyonu ve siteler arası komut dosyası oluşturma gibi iyi bilinen saldırı yöntemleri de dahil olmak üzere önemli güvenlik açıklarına sahip olduğunu buldu. “Özellikle endişe verici olan şey, iyi bilinen bazı koruyucu önlemlerin çoğu satıcı tarafından uygulanmamış olması ve çok azının, biz bu zayıflıkları belirledikten sonra bile güvenliklerini artırmak için adımlar atmış olmasıdır.”

IoT Cihazları Çekici Hedefler Olmaya Devam Ediyor

Elbette siber saldırganların fırsat hedefi olan tek şey şarj istasyonlarından kaynaklanan tehditler değil. İstasyonlar, istismarların artmaya devam ettiği çok sayıda IoT cihazından yalnızca biri. Zayıf güvenlik tasarımı ve uygulamasına sahip çok sayıda küçük satıcının ve çeşitli cihazların yerini tespit edip tehlikeye sokan botnet’ler gibi çok sayıda otomatik aracın birleşimi, tüm IoT cihazlarını bilgisayar korsanları için kolay hedefler haline getiriyor. ABD Federal İletişim Komisyonu’nun (FCC) verileri o zamandan beri arttı.

Ancak şarj istasyonları, akıllı TV’lerin ve akıllı hoparlörlerin ötesine geçebilecek karmaşık ve dolayısıyla çok zengin ve potansiyel olarak sömürülebilir bir öğe kombinasyonunu temsil ediyor. Örneğin, Check Point’ten Rose “şarj cihazlarının benzer risk profillerine sahip olduğunu ancak diğer akıllı cihazlara göre farklı bir saldırı yüzeyi sunduğunu” söylüyor.

Bou-Harb, bunun anlamı, şarj cihazlarının “EV kullanıcısı ile araç arasında ve şarj istasyonu ile elektrik şebekesi arasında yönetim yazılımı araçlarını çalıştırdığı ve faturalandırmayı, kimlik doğrulamayı ve sağlanan gücü koordine ettiği” anlamına geliyor. “Ve bu karmaşıklığa ek olarak, tüm bunlar aynı zamanda buluttaki şarj sağlayıcıları tarafından da kullanılıyor.” Araştırması, bu istasyonlar tarafından çalıştırılan yazılımlardan bazılarının yıllardır istismar edildiğini ve “satıcıların bırakın sorunları çözmeyi, güvenliklerinin ihlal edildiğinin bile farkına varmadıklarını” ortaya çıkardı.

Enel X Way’in blog yazısında kapsamlı bir liste yer alıyor sekiz noktalı çerçeve kimlik erişimi, risk yönetimi, acil durum müdahalesi ve diğer faktörleri kapsayan şarj istasyonları için.

Düzenleyicilerin Hedeflerinde

Hem ABD hem de Avrupa, hem kamu hem de özel şarj istasyonlarını dizginlemek için düzenleyici adımlar atıyor. Birleşik Krallık’ta 2022’den bu yana evde şarj istasyonlarıyla ilgili bir kurcalamayı önleme yasası yürürlükte. Bu sonuçla sonuçlandı çeşitli satıcılardan güvenlik iyileştirmeleriyakın zamanda bildirildiği gibi. Şarj istasyonu satıcısı Wallbox, bu düzenlemelere uyum sağlamak için ekipmanlarına ekstra güvenlik önlemleri eklerken, diğer satıcılar da ürünlerini geliştirmek yerine Avrupa pazarlarından çekildi.

AB, elektrik şebekesi operatörleri ve IoT satıcıları için yeni siber güvenlik önlemleri önerdi. NIS2 direktifi geçen yıl Ekim ayında yürürlüğe girecek. Diğer maddelerin yanı sıra daha sıkı ihlal raporlama gereklilikleri içerir ve daha yüksek para cezaları uygular.

Diğer bir öneri ise, Underwriters Laboratories’in çeşitli elektronik cihazlar için yaptığı gibi, şarj istasyonu endüstrisinin kendi cihazlarını kendi kendine sertifikalandırmasını sağlamaktır. Avrupa otomotiv güvenliği satıcısı Dekra halka açık bir şarj istasyonu sertifikasyon programı önerdi sektörde bir ilk olduğunu iddia ediyor. Temel güvenlik hizmetlerinin sağlanmasından ekipmanın penetrasyon testine kadar üç farklı seviye sunar.

ABD bu çabalarda geride kalıyor. Geçen yaz Biden yönetimi bir öneride bulundu: akıllı ev cihazları için siber güvenlik etiketleme programı. Dublajlı Siber Güven İşaretiUlusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilen çalışmaya dayanarak FCC tarafından yönetilecektir. Check Point’ten Rose, “Siber Güven İşareti harika bir fikir” diyor. “Ancak uygulama önemli olacak. İşaret güncellenmeli ve cihazların sürekli test edilmesine dayanmalıdır.”

Geçen yıl Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de halka açık şarj istasyonları için bir dizi öneri önerdi Siber güvenliklerini geliştirmek için. Ancak NIST, Cyber ​​Trust ve Dekra girişimlerinin temel unsurlarından biri, hepsinin gönüllü olmasıdır. Akitra ürün yönetiminden sorumlu başkan yardımcısı Ravi Lingarkar, “Şarj istasyonlarının yönergeleri olumlu bir gelişme” dedi. LinkedIn’de yazdı. “Tek tip siber güvenlik standartları olmadığında, EV şarj istasyonları bilgisayar korsanları için kolay hedefler haline gelebilir. Bu, herkesin kendi cihazını şebekeye getirmesine olanak sağlamak gibi bir şey. EV şarj altyapısının hızla genişlemesi göz önüne alındığında, siber güvenlik birçok potansiyel sorunun ön saflarında yer alıyor.”

Ancak bu çabalar henüz erken ve eksiktir. Bou-Harb, “Hükümet düzenlemeleri çok geç geldi” diyor. “Piyasa zaten çeşitli şarj ürünlerine doymuş durumda. Bu satıcılar cihazlarının güvenliğini pek umursamıyorlar ki bu genellikle sonradan akla gelen bir düşüncedir. Şarj satıcılarının bir araya gelip bir sorun olduğunu kabul etmelerinin ve bir sorun olduğunu kabul etmelerinin zamanı geldi. Çözümler üzerinde çalışmaya ve tehdit verilerini paylaşmaya başlayın.”

Potansiyel engellerden biri, EV şarj cihazlarının Ulaştırma, Enerji ve Ulusal Güvenlik departmanları gibi birden fazla düzenleyici kurumun yetkisi altında olmasıdır. Hepsinin işbirliği içinde çalışmasını sağlamak kolay olmayacak. Bou-Harb, “Kimse liderliği üstlenmiyor” diyor.

EVPassport’tan Shahidi, “Hükümetin şimdi atabileceği basit bir adım, EV şarj sağlayıcıları için SOC2’nin beklemede olmasını zorunlu kılmak olabilir. Çıtayı yükseltmemiz gerekiyor” diyor. SOC2 standardı, diğer öğelerin yanı sıra güvenlik kontrollerine ve gizliliğe odaklanır.





Source link