ความนิยมที่เพิ่มขึ้นของรถยนต์ไฟฟ้า (EV) ไม่เพียงแต่เป็นที่ชื่นชอบของผู้บริโภคที่ใส่ใจเรื่องแก๊สเท่านั้น แต่ยังรวมถึงอาชญากรไซเบอร์ที่มุ่งเน้นการใช้สถานีชาร์จ EV เพื่อโจมตีในวงกว้างอีกด้วย เนื่องจากจุดชาร์จทุกจุด ไม่ว่าจะภายในโรงรถส่วนตัวหรือในลานจอดรถสาธารณะ มีการออนไลน์และใช้งานซอฟต์แวร์หลากหลายที่โต้ตอบกับระบบการชำระเงินและโครงข่ายไฟฟ้า พร้อมกับจัดเก็บข้อมูลระบุตัวตนของผู้ขับขี่ กล่าวอีกนัยหนึ่ง พวกมันคือช่องโหว่ของซอฟต์แวร์ Internet of Things (IoT)
“เมื่อการชาร์จ EV แพร่หลายมากขึ้น พวกเขาจะกลายเป็นเป้าหมายที่ดึงดูดกลุ่มแฮ็กเกอร์ที่มีความซับซ้อนมากขึ้น” Hooman Shahidi ซีอีโอของ EVPassport ผู้ให้บริการเครือข่ายการชาร์จกล่าว “ผู้ให้บริการจำเป็นต้องคิดว่าผลิตภัณฑ์ของตนเป็นโครงสร้างพื้นฐานที่สำคัญและเป็นองค์ประกอบสำคัญของความมั่นคงแห่งชาติของเรา” มี รถยนต์ไฟฟ้า 2.5 ล้านคันใช้งานในสหรัฐอเมริกาและมากกว่าครึ่งหนึ่งต้องใช้ที่ชาร์จแบบเสียบปลั๊ก รับทราบถึงความนิยมของพวกเขา ย้อนกลับไปในปี 2022 สถานีชาร์จที่ได้รับคำสั่งจากสหราชอาณาจักรจะถูกสร้างขึ้นในการก่อสร้างที่อยู่อาศัยใหม่ทั้งหมด.
สถานีชาร์จต้องเผชิญกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่สำคัญ “ปัญหาต่างๆ ได้แก่ การเชื่อมต่ออินเทอร์เน็ตที่ไม่มีการป้องกัน การรับรองความถูกต้องและการเข้ารหัสไม่เพียงพอ ไม่มีการแบ่งส่วนเครือข่าย สินทรัพย์พลังงานที่ไม่มีการจัดการ และอื่นๆ” เขียน นักวิจัยจาก Check Point Software และ SaiFlowซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในด้านโซลูชั่นพลังงานแบบกระจาย สถานีที่ถูกบุกรุกอาจทำให้โครงข่ายไฟฟ้าเสียหาย หรือส่งผลให้ข้อมูลลูกค้าถูกขโมย “เครื่องชาร์จมีข้อมูลส่วนบุคคลและข้อมูลการชำระเงิน และใช้งานโปรโตคอลที่หลากหลายซึ่งโดยทั่วไปแล้วไฟร์วอลล์แบบเดิมไม่ได้รับการยอมรับ” Aaron Rose จาก Check Point Software ซึ่งทำงานในสำนักงานของ CTO กล่าว
การโจมตีทางไซเบอร์ในระยะเริ่มแรกบนสถานีชาร์จเริ่มขึ้นเมื่อไม่กี่ปีก่อน สถานีรัสเซียถูกโจมตี ในเดือนกุมภาพันธ์ พ.ศ. 2022 เพื่อตอบสนองต่อสงครามยูเครน และอีก 2022 เหตุการณ์ถูกโจมตีในสหราชอาณาจักรในเดือนเมษายน พ.ศ. XNUMX ทั้งสองสถานการณ์เป็นการแกล้งกันทางไซเบอร์ที่แสดงข้อความหยาบคายบนหน้าจอของหน่วย เชลล์ได้แก้ไขช่องโหว่เมื่อปีที่แล้ว ในฐานข้อมูลเดียวที่สามารถเปิดเผยบันทึกการชาร์จนับล้านจากทั่วทุกแห่ง เครือข่ายการชาร์จ EV.
ช่องโหว่ใหม่ยังคงสร้างความเสียหายให้กับสถานีชาร์จ สองสิ่งนี้อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลและการโจรกรรมข้อมูล ซึ่งค้นพบโดย SaiFlow ปีก่อนหน้านี้- ช่องโหว่ดังกล่าวใช้ประโยชน์จากรูทีนการรับรองความถูกต้องที่อ่อนแอในโมดูลซอฟต์แวร์ต่างๆ ที่ใช้ในสถานี ตามการวิจัยของพวกเขา ผู้จำหน่ายสถานีชาร์จ Enel X Way แสดงรายการ การละเมิดข้อมูลอื่นๆ ที่หลากหลาย เกี่ยวข้องกับหมายเลขประจำตัวยานพาหนะ ตลอดจนการหาประโยชน์ที่สามารถเข้าถึงระบบควบคุมยานพาหนะจากระยะไกลได้
Elias Bou-Harb เป็นนักวิทยาศาสตร์คอมพิวเตอร์จากมหาวิทยาลัยรัฐลุยเซียนาซึ่งมี ศึกษาความปลอดภัยของสถานีชาร์จมานาน- เขาพบว่าผลิตภัณฑ์ชาร์จเกือบทุกผลิตภัณฑ์มีช่องโหว่ที่สำคัญ รวมถึงวิธีการโจมตีที่รู้จักกันดี เช่น การแทรก SQL และการเขียนสคริปต์ข้ามไซต์ “สิ่งที่น่าตกใจเป็นพิเศษคือผู้ขายส่วนใหญ่ยังไม่ได้ใช้มาตรการป้องกันที่รู้จักกันดี และมีเพียงไม่กี่รายที่ได้ดำเนินการเพื่อปรับปรุงความปลอดภัย แม้ว่าเราจะระบุจุดอ่อนเหล่านี้แล้วก็ตาม”
อุปกรณ์ IoT ยังคงเป็นเป้าหมายที่น่าสนใจ
แน่นอนว่าภัยคุกคามจากสถานีชาร์จไม่ใช่อุปกรณ์ IoT เดียวที่เป็นเป้าหมายของโอกาสสำหรับผู้โจมตีทางไซเบอร์ และสเตชั่นเป็นเพียงหนึ่งในอุปกรณ์ IoT จำนวนมากที่ช่องโหว่ยังคงเพิ่มขึ้นอย่างต่อเนื่อง การรวมกันของผู้จำหน่ายรายย่อยจำนวนมากที่มีการออกแบบและการปฏิบัติด้านความปลอดภัยที่ไม่ดี และเครื่องมืออัตโนมัติจำนวนมาก เช่น บอตเน็ต เพื่อค้นหาและประนีประนอมอุปกรณ์ต่างๆ ทำให้อุปกรณ์ IoT ทั้งหมดตกเป็นเป้าหมายของแฮกเกอร์ได้ง่าย ข้อมูลจาก US Federal Communications Commission (FCC) เพิ่มขึ้นตั้งแต่นั้นมา
แต่สถานีชาร์จเป็นตัวแทนของความซับซ้อน — ดังนั้นจึงสมบูรณ์มากและอาจใช้ประโยชน์ได้ — การรวมกันขององค์ประกอบที่นอกเหนือไปจากสมาร์ททีวีและลำโพงอัจฉริยะ ตัวอย่างเช่น Rose จาก Check Point กล่าวว่า "ที่ชาร์จมีโปรไฟล์ความเสี่ยงที่คล้ายคลึงกัน แต่มีรูปแบบการโจมตีที่แตกต่างกันไปยังอุปกรณ์อัจฉริยะอื่นๆ"
ความหมายก็คือเครื่องชาร์จจะใช้เครื่องมือซอฟต์แวร์การจัดการ “ระหว่างผู้ใช้ EV และรถยนต์ และระหว่างสถานีชาร์จกับโครงข่ายไฟฟ้า และประสานงานการเรียกเก็บเงิน การรับรองความถูกต้อง และพลังงานที่จ่าย” Bou-Harb กล่าว “และนอกเหนือจากความซับซ้อนนี้แล้ว ทั้งหมดนี้ยังถูกนำไปใช้โดยผู้จำหน่ายที่เรียกเก็บเงินในระบบคลาวด์ด้วย” การวิจัยของเขาพบว่าซอฟต์แวร์บางตัวที่ดำเนินการโดยสถานีเหล่านี้ถูกนำไปใช้ประโยชน์มานานหลายปี “และผู้ขายรายนั้นยังไม่ตระหนักว่าพวกเขาถูกบุกรุก ไม่ต้องพูดถึงการแก้ไขปัญหาเลย”
โพสต์ในบล็อกของ Enel X Way แสดงรายการที่ครอบคลุม กรอบแปดจุด สำหรับสถานีชาร์จที่ครอบคลุมการเข้าถึงข้อมูลประจำตัว การจัดการความเสี่ยง การตอบสนองฉุกเฉิน และปัจจัยอื่นๆ
ใน Crosshairs ของหน่วยงานกำกับดูแล
ทั้งสหรัฐอเมริกาและยุโรปกำลังดำเนินการตามขั้นตอนด้านกฎระเบียบเพื่อควบคุมสถานีชาร์จทั้งภาครัฐและเอกชน สหราชอาณาจักรมีกฎหมายต่อต้านการปลอมแปลงที่มีผลบังคับใช้ตั้งแต่ปี 2022 ที่เกี่ยวข้องกับสถานีชาร์จตามบ้าน ส่งผลให้ การปรับปรุงความปลอดภัยจากผู้ขายหลายรายตามที่รายงานเมื่อเร็ว ๆ นี้ Wallbox ผู้จำหน่ายสถานีชาร์จได้เพิ่มระบบรักษาความปลอดภัยเพิ่มเติมให้กับอุปกรณ์เพื่อให้เป็นไปตามกฎระเบียบเหล่านี้ ในขณะที่ผู้จำหน่ายรายอื่นลาออกจากตลาดยุโรปแทนที่จะปรับปรุงผลิตภัณฑ์ของตน
สหภาพยุโรปได้เสนอมาตรการป้องกันความปลอดภัยทางไซเบอร์ใหม่สำหรับผู้ให้บริการโครงข่ายไฟฟ้าและผู้จำหน่าย IoT ในสหภาพยุโรป คำสั่ง NIS2 ปีที่แล้วซึ่งจะมีผลในเดือนตุลาคม รวมถึงข้อกำหนดการรายงานการละเมิดที่เข้มงวดยิ่งขึ้น และเรียกเก็บค่าปรับที่สูงขึ้น เหนือสิ่งอื่นใด
ข้อเสนออีกประการหนึ่งคือให้อุตสาหกรรมสถานีชาร์จรับรองอุปกรณ์ของตนด้วยตนเอง เหมือนกับที่ Underwriters Laboratories ทำกับอุปกรณ์อิเล็กทรอนิกส์ต่างๆ ผู้จำหน่ายอุปกรณ์ความปลอดภัยยานยนต์ยุโรป Dekra เสนอโปรแกรมการรับรองสถานีชาร์จสาธารณะ ที่อ้างว่าเป็นอุตสาหกรรมแรก โดยมีสามระดับที่แตกต่างกันตั้งแต่การให้บริการรักษาความปลอดภัยขั้นพื้นฐานไปจนถึงการทดสอบการเจาะอุปกรณ์
สหรัฐฯ ล้าหลังในความพยายามเหล่านี้ เมื่อฤดูร้อนที่แล้ว ฝ่ายบริหารของ Biden เสนอให้มี โปรแกรมติดฉลากความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์สมาร์ทโฮม. ขนานนามว่า เครื่องหมายความน่าเชื่อถือทางไซเบอร์โดยจะบริหารงานโดย FCC โดยอิงจากงานที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ “Cyber Trust Mark เป็นแนวคิดที่ยอดเยี่ยม” Rose จาก Check Point กล่าว “แต่การประหารชีวิตจะเป็นกุญแจสำคัญ เครื่องหมายจะต้องได้รับการอัปเดตและขึ้นอยู่กับการทดสอบอุปกรณ์อย่างต่อเนื่อง”
เมื่อปีที่แล้วสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ก็เช่นกัน เสนอชุดข้อแนะนำสำหรับสถานีชาร์จสาธารณะ เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของพวกเขา อย่างไรก็ตาม องค์ประกอบสำคัญประการหนึ่งของโครงการริเริ่ม NIST, Cyber Trust และ Dekra ก็คือ โครงการเหล่านี้ทั้งหมดเป็นไปด้วยความสมัครใจ “แนวทางของสถานีชาร์จถือเป็นการพัฒนาเชิงบวก” Ravi Lingarkar รองประธานฝ่ายการจัดการผลิตภัณฑ์ของ Akitra กล่าว เขียนใน LinkedIn- “หากไม่มีมาตรฐานความปลอดภัยทางไซเบอร์ที่สม่ำเสมอ สถานีชาร์จ EV อาจกลายเป็นเป้าหมายของแฮกเกอร์ได้ง่าย มันเหมือนกับการเปิดโอกาสให้ใครก็ตามสามารถนำอุปกรณ์ของตนเองเข้าสู่กริดได้ เมื่อพิจารณาถึงการขยายตัวอย่างรวดเร็วของโครงสร้างพื้นฐานการชาร์จรถยนต์ไฟฟ้า ความปลอดภัยทางไซเบอร์จึงเป็นปัญหาสำคัญอันดับต้นๆ ที่อาจเกิดขึ้น”
ถึงกระนั้น ความพยายามเหล่านี้ยังเร็วและไม่สมบูรณ์ “กฎระเบียบของรัฐบาลมาช้าเกินไป” บูฮาร์บกล่าว “ตลาดอิ่มตัวแล้วด้วยผลิตภัณฑ์ชาร์จต่างๆ ผู้จำหน่ายเหล่านี้ไม่สนใจเรื่องความปลอดภัยของอุปกรณ์ของตนมากนัก ซึ่งมักจะเป็นเรื่องที่ต้องคำนึงถึงในภายหลังมากกว่า ถึงเวลาแล้วที่ผู้ให้บริการเรียกเก็บเงินจะมารวมตัวกัน ยอมรับว่ามีปัญหา และเริ่มดำเนินการแก้ไขปัญหาและแบ่งปันข้อมูลภัยคุกคาม”
อุปสรรคประการหนึ่งที่เป็นไปได้คือเครื่องชาร์จ EV อยู่ภายใต้การควบคุมของหน่วยงานกำกับดูแลหลายแห่ง เช่น แผนกการขนส่ง พลังงาน และความมั่นคงแห่งมาตุภูมิ การให้ทุกคนร่วมมือกันไม่ใช่เรื่องง่าย “ไม่มีใครเป็นผู้นำ” Bou-Harb กล่าว
“ขั้นตอนง่ายๆ ที่รัฐบาลสามารถทำได้ในตอนนี้คือกำหนดให้ผู้ให้บริการชาร์จ EV อยู่ระหว่างดำเนินการ SOC2 เราจำเป็นต้องยกระดับมาตรฐาน” Shahidi จาก EVPassport กล่าว มาตรฐาน SOC2 มุ่งเน้นไปที่การควบคุมความปลอดภัยและความเป็นส่วนตัว เหนือสิ่งอื่นใด
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities
