Meningkatnya popularitas kendaraan listrik (EV) tidak hanya menjadi favorit bagi konsumen yang sadar akan bahan bakar, tetapi juga bagi penjahat dunia maya yang fokus menggunakan stasiun pengisian kendaraan listrik untuk melancarkan serangan yang luas. Pasalnya, setiap titik pengisian daya, baik di garasi pribadi maupun di tempat parkir umum, bersifat online dan menjalankan berbagai perangkat lunak yang berinteraksi dengan sistem pembayaran dan jaringan listrik, serta menyimpan identitas pengemudi. Dengan kata lain, mereka adalah lubang pembuangan perangkat lunak Internet of Things (IoT).

“Ketika pengisian daya kendaraan listrik semakin meluas, mereka akan menjadi target yang menarik bagi kelompok peretas yang lebih canggih,” kata Hooman Shahidi, CEO EVPassport, penyedia jaringan pengisian daya. “Penyedia layanan perlu menganggap produk mereka sebagai infrastruktur penting dan komponen penting dari keamanan nasional kita.” Ada 2.5 juta kendaraan listrik beroperasi di AS, dan lebih dari separuhnya memerlukan pengisi daya plug-in. Mengakui popularitas mereka, pada tahun 2022, Inggris mengamanatkan stasiun pengisian daya untuk dibangun di semua konstruksi perumahan baru.

Stasiun pengisian daya menghadapi risiko keamanan siber yang signifikan. “Masalahnya mencakup konektivitas Internet yang tidak terlindungi, otentikasi dan enkripsi yang tidak memadai, tidak adanya segmentasi jaringan, aset energi yang tidak dikelola, dan banyak lagi,” tulisnya. peneliti dari Check Point Software dan SaiFlow, yang terakhir adalah spesialis keamanan siber dalam solusi energi terdistribusi. Stasiun yang disusupi dapat merusak jaringan listrik, misalnya, atau mengakibatkan data pelanggan dicuri. “Pengisi daya memiliki informasi pribadi dan pembayaran serta menjalankan berbagai protokol yang biasanya tidak dikenali oleh firewall tradisional,” kata Aaron Rose dari Check Point Software, yang bekerja di kantor CTO.

Tahap awal serangan siber terhadap stasiun pengisian daya dimulai beberapa tahun yang lalu, ketika sebuah serangan terjadi Stasiun Rusia diserang pada bulan Februari 2022 sebagai tanggapan terhadap perang Ukraina dan tiga situasi lainnya dikompromikan di Inggris pada bulan April 2022. Kedua situasi tersebut lebih merupakan lelucon dunia maya yang menampilkan pesan-pesan kasar di layar unit. Shell menambal kerentanannya tahun lalu dalam satu database yang bisa mengekspos jutaan log pengisian daya dari seluruh penjuru jaringan pengisian EV-nya.

Kerentanan baru terus mengganggu stasiun pengisian daya. Dua di antaranya dapat menyebabkan eksekusi kode jarak jauh dan potensi pencurian data, yang ditemukan oleh SaiFlow awal tahun ini. Eksploitasi tersebut memanfaatkan rutinitas otentikasi yang lemah di antara berbagai modul perangkat lunak yang digunakan di stasiun, menurut penelitian mereka. Vendor stasiun pengisian daya Enel X Way mencantumkan a berbagai kompromi data lainnya melibatkan nomor ID kendaraan, serta eksploitasi yang dapat memperoleh akses jarak jauh ke kontrol kendaraan.

Elias Bou-Harb adalah ilmuwan komputer di Louisiana State University yang memiliki telah lama mempelajari keamanan stasiun pengisian daya. Dia menemukan hampir setiap produk pengisian daya memiliki kerentanan besar, termasuk metode serangan terkenal seperti injeksi SQL dan skrip lintas situs. “Hal yang sangat mengkhawatirkan adalah bahwa beberapa langkah perlindungan yang diketahui belum diterapkan oleh sebagian besar vendor, dan hanya sedikit dari mereka yang mengambil langkah untuk meningkatkan keamanan bahkan setelah kami mengidentifikasi kelemahan ini.”

Perangkat IoT Tetap Menjadi Target Menarik

Tentu saja, ancaman dari stasiun pengisian daya bukan satu-satunya perangkat IoT yang menjadi peluang bagi para penyerang siber. Dan stasiun-stasiun tersebut hanyalah salah satu dari sekian banyak perangkat IoT yang eksploitasinya terus meningkat. Kombinasi dari banyak vendor kecil dengan desain dan praktik keamanan yang buruk serta berbagai alat otomatis seperti botnet untuk menemukan dan menyusupi berbagai perangkat menjadikan semua perangkat IoT menjadi sasaran empuk bagi peretas. Data dari Komisi Komunikasi Federal AS (FCC) meningkat sejak saat itu.

Namun stasiun pengisian daya memang mewakili kombinasi elemen yang kompleks – sehingga sangat kaya dan berpotensi dapat dieksploitasi – yang melampaui smart TV dan smart speaker. Misalnya, Rose dari Check Point mengatakan bahwa “pengisi daya memiliki profil risiko yang serupa tetapi menghadirkan permukaan serangan yang berbeda dengan perangkat pintar lainnya.”

Artinya, pengisi daya menjalankan perangkat lunak manajemen “antara pengguna EV dan mobil, serta antara stasiun pengisian daya dan jaringan listrik serta mengoordinasikan penagihan, autentikasi, dan pasokan daya,” kata Bou-Harb. “Dan yang menambah kompleksitas ini, semua ini juga diterapkan oleh vendor pengisian daya di cloud.” Penelitiannya menemukan bahwa beberapa perangkat lunak yang dijalankan oleh stasiun-stasiun ini telah dieksploitasi selama bertahun-tahun, “dan vendor belum menyadari bahwa mereka telah disusupi, apalagi memperbaiki masalahnya.”

Postingan blog Enel X Way berisi daftar lengkap kerangka delapan poin untuk stasiun pengisian daya yang mencakup akses identitas, manajemen risiko, tanggap darurat, dan faktor lainnya. 

Di Garis Bidik Regulator

Baik AS maupun Eropa mengambil langkah-langkah regulasi untuk mencoba mengendalikan stasiun pengisian daya, baik milik pemerintah maupun swasta. Inggris telah menerapkan undang-undang anti-gangguan sejak tahun 2022 yang relevan dengan stasiun pengisian daya rumahan. Hal ini mengakibatkan peningkatan keamanan dari beberapa vendor, seperti yang diberitakan baru-baru ini. Wallbox, vendor stasiun pengisian daya, menambahkan perlindungan keamanan ekstra pada peralatannya untuk mematuhi peraturan ini, sementara vendor lain keluar dari pasar Eropa daripada meningkatkan produk mereka. 

UE telah mengusulkan perlindungan keamanan siber baru untuk operator jaringan listrik dan vendor IoT di dalamnya Arahan NIS2 tahun lalu yang akan berlaku pada bulan Oktober. Hal ini mencakup persyaratan pelaporan pelanggaran yang lebih ketat dan mengenakan denda yang lebih tinggi, di antara hal-hal lainnya. 

Proposal lainnya adalah meminta industri stasiun pengisian daya melakukan sertifikasi mandiri pada perangkat mereka, seperti yang dilakukan Underwriters Laboratories untuk berbagai produk elektronik. Vendor keselamatan otomotif Eropa Dekra mengusulkan program sertifikasi stasiun pengisian umum yang diklaimnya sebagai industri pertama. Ia menawarkan tiga tingkat berbeda mulai dari penyediaan layanan keamanan dasar hingga pengujian penetrasi peralatan. 

AS tertinggal dalam upaya ini. Musim panas lalu, pemerintahan Biden mengusulkan a program pelabelan keamanan siber untuk perangkat rumah pintar. Dijuluki Tanda Kepercayaan Dunia Maya, ini akan dikelola oleh FCC, berdasarkan pekerjaan yang dikembangkan oleh Institut Standar dan Teknologi Nasional. “Cyber ​​Trust Mark adalah ide bagus,” kata Rose dari Check Point. “Tetapi eksekusi akan menjadi kuncinya. Tanda tersebut harus diperbarui dan didasarkan pada pengujian perangkat yang berkelanjutan.”

Tahun lalu, Institut Standar dan Teknologi Nasional (NIST) juga mengusulkan serangkaian rekomendasi untuk stasiun pengisian umum untuk meningkatkan keamanan siber mereka. Namun, salah satu elemen kunci dari inisiatif NIST, Cyber ​​Trust, dan Dekra adalah bahwa semuanya bersifat sukarela. “Pedoman stasiun pengisian daya merupakan perkembangan positif,” Ravi Lingarkar, wakil presiden manajemen produk di Akitra, tulis di LinkedIn. “Tanpa standar keamanan siber yang seragam, stasiun pengisian kendaraan listrik dapat menjadi sasaran empuk para peretas. Ini seperti memungkinkan siapa pun untuk membawa perangkat mereka sendiri ke jaringan listrik. Mengingat pesatnya perluasan infrastruktur pengisian daya kendaraan listrik, keamanan siber berada di garis depan dari banyak potensi masalah.” 

Namun, upaya ini masih awal dan belum lengkap. “Peraturan pemerintah sudah terlambat,” kata Bou-Harb. “Pasar sudah jenuh dengan berbagai produk pengisian daya. Vendor-vendor ini tidak terlalu peduli dengan keamanan perangkat mereka, dan hal ini sering kali hanya menjadi sebuah renungan. Sudah waktunya bagi vendor pengisi daya untuk bersatu, mengakui adanya masalah, dan mulai mencari solusi serta berbagi data ancaman.”

Salah satu hambatan yang mungkin terjadi adalah pengisi daya kendaraan listrik berada di bawah lingkup berbagai badan pengatur, seperti departemen Transportasi, Energi, dan Keamanan Dalam Negeri. Membuat mereka semua bekerja secara kooperatif tidaklah mudah. “Tidak ada seorang pun yang mengambil kepemimpinan,” kata Bou-Harb. 

“Langkah sederhana yang dapat diambil pemerintah saat ini adalah mewajibkan SOC2 untuk penyedia pengisian daya kendaraan listrik. Kita perlu meningkatkan standarnya,” kata Shahidi dari EVPassport. Standar SOC2 berfokus pada kontrol keamanan dan privasi, antara lain.  

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities