EV Charging Stations Still Riddled With Cybersecurity Vulnerabilities

Elektrisõidukite (EV-de) kasvav populaarsus ei ole mitte ainult gaasitarbijate lemmik, vaid ka küberkurjategijad, kes keskenduvad elektrisõidukite laadimisjaamade kasutamisele kaugeleulatuvate rünnakute korraldamiseks. Selle põhjuseks on asjaolu, et iga laadimispunkt, olgu see siis privaatses garaažis või avalikus parklas, on võrgus ja kasutab mitmesugust tarkvara, mis suhtleb maksesüsteemide ja elektrivõrguga ning salvestab juhi identiteeti. Teisisõnu, need on asjade Interneti (IoT) tarkvara vajutusauk.

"Kuna elektrisõidukite laadimine muutub laiemaks, muutuvad need atraktiivseteks sihtmärkideks keerukamate häkkimisrühmade jaoks," ütleb laadimisvõrgu pakkuja EVPassport tegevjuht Hooman Shahidi. "Pakkujad peavad mõtlema oma toodetele kui kriitilisele infrastruktuurile ja meie riikliku julgeoleku olulisele komponendile." Seal on USA-s töötab 2.5 miljonit elektrisõidukitja enam kui pooled neist vajavad pistiklaadijat. Tunnistades nende populaarsust, 2022. aastal Ühendkuningriigi kohustuslikud laadimisjaamad ehitatakse kõikidesse uutesse elamutesse.

Laadimisjaamad seisavad silmitsi märkimisväärsete küberjulgeolekuriskidega. "Probleemid hõlmavad kaitsmata Interneti-ühendust, ebapiisavat autentimist ja krüptimist, võrgu segmenteerimise puudumist, haldamata energiavarasid ja palju muud," kirjutas Check Point Software ja SaiFlow teadlased, viimane on hajutatud energialahenduste küberturvalisuse spetsialist. Ohustatud jaamad võivad kahjustada näiteks elektrivõrku või viia kliendiandmete varastamiseni. "Laadijatel on isiklik ja makseteave ning nad kasutavad mitmesuguseid protokolle, mida traditsioonilised tulemüürid tavaliselt ära ei tunne," ütleb Check Point Software'i CTO büroos töötav Aaron Rose.

Laadimisjaamade küberrünnakute algusjärgud algasid paar aastat tagasi, kui üks Venemaa jaama rünnati 2022. aasta veebruaris vastusena Ukraina sõjale ja veel kolm ohtu sattusid Ühendkuningriigis 2022. aasta aprillis. Mõlemad olukorrad olid pigem kübernaljad, mis kuvasid üksuste ekraanidel ebaviisakaid sõnumeid. Shell parandas haavatavuse eelmisel aastal ühes andmebaasis, mis oleks võinud paljastada miljoneid laadimisloge kõikjalt selle EV laadimisvõrku.

Laadimisjaamades kimbutavad jätkuvalt uued haavatavused. Kaks neist võivad viia koodi kaugkäivitamiseni ja võimaliku andmete varguseni, mille avastas SaiFlow varem sel aastal. Nende uuringute kohaselt kasutavad ärakasutamised ära nõrka autentimisrutiine erinevate jaamades kasutatavate tarkvaramoodulite seas. Laadimisjaamade müüja Enel X Way loetleb a mitmesugused muud andmeprobleemid mis hõlmavad sõiduki ID-numbreid, aga ka ärakasutusi, mis võivad sõiduki juhtseadmetele kaugjuurdepääsu saada.

Elias Bou-Harb on Louisiana osariigi ülikooli arvutiteadlane, kellel on kaua õppinud laadimisjaama turvalisust. Ta on leidnud, et peaaegu kõigil laadimistoodetel on suuri haavatavusi, sealhulgas tuntud ründemeetodeid, nagu SQL-i süstimine ja saidiülene skriptimine. "Eriti murettekitav on see, et enamik müüjatest ei ole rakendanud mõningaid tuntud kaitsemeetmeid ja vähesed neist on astunud samme oma turvalisuse parandamiseks isegi pärast seda, kui oleme need nõrkused tuvastanud."

IoT-seadmed jäävad atraktiivseteks sihtmärkideks

Kindlasti ei ole laadimisjaamade ohud ainsad asjade Interneti-seadmed, mis on küberründajate jaoks võimaluste sihtmärgid. Ja jaamad on vaid üks paljudest asjade Interneti-seadmetest, mille ärakasutamine kasvab jätkuvalt. Paljude väiksemate ja kehva turbekujunduse ja -praktikaga tarnijate kombinatsioon ning arvukad automatiseeritud tööriistad (nt botnetid) erinevate seadmete asukoha leidmiseks ja ohustamiseks muudavad kõik asjade Interneti-seadmed häkkerite jaoks lihtsaks sihtmärgiks. USA föderaalse kommunikatsioonikomisjoni (FCC) andmed on sellest ajast alates kasvanud.

Kuid laadimisjaamad kujutavad endast keerukat – ja seetõttu väga rikkalikku ja potentsiaalselt kasutatavat – elementide kombinatsiooni, mis võib ulatuda kaugemale nutiteleritest ja nutikõlaritest. Näiteks Check Point's Rose ütleb, et "laadijatel on sarnane riskiprofiil, kuid neil on teistele nutiseadmetele erinev rünnakupind."

See tähendab, et laadijad käitavad haldustarkvara tööriistu "EV kasutaja ja auto vahel ning laadimisjaama ja elektrivõrgu vahel ning koordineerivad arveldust, autentimist ja tarnitud toidet," ütleb Bou-Harb. "Ja seda keerukust lisab see, et seda kõike kasutavad ka pilves olevad laadimismüüjad." Tema uuringud on leidnud, et mõnda nende jaamade hallatavat tarkvara on kasutatud aastaid ja et müüjad pole veel aru saanud, et neid on ohustatud, rääkimata probleemide lahendamisest.

Enel X Way blogipostitus loetleb põhjaliku kaheksapunktiline raamistik laadimisjaamade jaoks, mis hõlmab juurdepääsu identiteedile, riskijuhtimist, hädaolukordadele reageerimist ja muid tegureid.

Reguleerivate asutuste ristteel

Nii USA kui ka Euroopa astuvad regulatiivseid samme, et püüda ohjeldada nii avalikke kui ka eralaadimisjaamu. Ühendkuningriigis on koduste laadimisjaamade suhtes kehtinud alates 2022. aastast võltsimisvastane seadus. Selle tulemuseks oli turvatäiustused mitmelt tarnijalt, nagu hiljuti teatati. Laadimisjaamade müüja Wallbox lisas nende eeskirjade järgimiseks oma seadmetele täiendavaid turvameetmeid, samas kui teised müüjad on Euroopa turgudelt pigem välja langenud kui oma tooteid täiustanud.

EL on pakkunud välja uued küberturvalisuse kaitsemeetmed elektrivõrgu operaatoritele ja asjade Interneti-müüjatele. NIS2 direktiiv eelmisel aastal, mis jõustub oktoobris. See hõlmab muu hulgas rangemaid rikkumistest teatamise nõudeid ja kõrgemaid trahve.

Teine ettepanek on lasta laadimisjaamade tööstusel oma seadmeid ise sertifitseerida, nagu Underwriters Laboratories erinevate elektroonikaseadmete jaoks. Euroopa autoohutuse müüja Dekra pakkus välja avaliku laadimisjaamade sertifitseerimisprogrammi et ta väidab, et see on kõigepealt tööstusharu. See pakub kolme erinevat taset, mis ulatuvad põhiliste turvateenuste pakkumisest kuni seadmete läbitungimise testimiseni.

USA jääb nendes jõupingutustes maha. Eelmisel suvel tegi Bideni administratsioon ettepaneku a küberturvalisuse märgistamise programm nutikate koduseadmete jaoks. Dubleeritud Küberusaldusmärk, haldab seda FCC riikliku standardi- ja tehnoloogiainstituudi väljatöötatud töö põhjal. "Cyber Trust Mark on suurepärane idee," ütleb Check Pointi Rose. "Kuid elluviimine saab olema võtmetähtsusega. Märk peab olema ajakohastatud ja põhinema pideval seadmete testimisel.

Eelmisel aastal ka National Institute of Standards and Technology (NIST). pakkus välja rea soovitusi avalike laadimisjaamade jaoks nende küberturvalisuse parandamiseks. Üks NIST-i, Cyber Trusti ja Dekra algatuste põhielement on aga see, et need kõik on vabatahtlikud. "Laadimisjaamade juhised on positiivne areng," ütles Akitra tootehalduse asepresident Ravi Lingarkar. kirjutas LinkedIn. "Ilma ühtsete küberturvalisuse standarditeta võivad elektrisõidukite laadimisjaamad saada häkkerite jaoks lihtsaks sihtmärgiks. See on nagu võimaldada igaühel oma seade võrku tuua. Arvestades elektrisõidukite laadimise infrastruktuuri kiiret laienemist, on küberturvalisus paljude võimalike probleemide esirinnas.

Siiski on need jõupingutused varajased ja puudulikud. "Valitsuse määrused on tulnud liiga hilja, " ütleb Bou-Harb. “Turg on juba küllastunud erinevatest laadimistoodetest. Need müüjad ei hooli oma seadmete turvalisusest, mis on sageli pigem järelmõte. Tasude müüjatel on aeg kokku tulla, probleemi olemasolu tunnistada ning lahenduste kallal töötada ja ohuandmeid jagada.

Üks võimalikest takistustest on see, et elektrisõidukite laadijad on mitme reguleeriva asutuse, näiteks transpordi-, energeetika- ja sisejulgeolekuosakonna pädevuses. Nende kõigi koostööle panemine ei saa olema lihtne. "Keegi ei võta juhtimist, " ütleb Bou-Harb.

"Lihtne samm, mille valitsus võiks praegu teha, oleks nõuda SOC2 ootel elektrisõidukite laadimise pakkujatelt. Peame latti tõstma, ”ütleb EVPasspordi Shahidi. SOC2 standard keskendub muu hulgas turvakontrollile ja privaatsusele.

SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
Allikas: https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities

Generatiivne andmeluure

EV laadimisjaamad on endiselt täis küberturvalisuse haavatavust

IoT-seadmed jäävad atraktiivseteks sihtmärkideks

Reguleerivate asutuste ristteel

Globaalsed krüptoalased õigusaktid, Ethereumi ETF-id seiskusid ja iganädalane turu dünaamika: 11. märts 2024 krüptokokkuvõte

Alates Ethereumi ETFi viivitustest kuni globaalsete krüptoseadusteni: selle nädala põhjalik krüptokokkuvõte

Uusim intelligentsus

Ülemaailmne krüptovärskendus: Ethereumi ETFi viivitustest Türgi seadusandliku reformini – dünaamiline nädal ülevaates

Ülemaailmne krüptoregulatsioon ja innovatsioon põrkuvad: hüppeliste, tagasilöökide ja sanktsioonide nädal digitaalsete varade maailmas

Alates Ethereumi ETF-i viivitustest kuni globaalsete krüptoreegliteni: krüptovaluutauudiste turbulentsi ja triumfi nädal

Krüptokokkuvõte: Ethereumi ETF-i viivitused, Türgi regulatsioonireform ja turudünaamika nädal

ETFi viivitustest ülemaailmsete seadusandluseni: krüpto tippude ja mõõnade nädal – 11. märts 2024 krüptokokkuvõte

Ülemaailmne krüptovärskendus: Ethereumi ETF-i viivitused, Türgi õigusaktid ning regulatiivsete muudatuste ja turu dünaamika nädal