EV Şarj İstasyonları Hala Siber Güvenlik Açıklarıyla Karşı Karşıya

Elektrikli araçların (EV'ler) artan popülaritesi, yalnızca gaz konusunda bilinçli tüketicilerin değil, aynı zamanda geniş kapsamlı saldırılar başlatmak için EV şarj istasyonlarını kullanmaya odaklanan siber suçluların da favorisi. Bunun nedeni, ister özel bir garajda ister halka açık bir otoparkta olsun, her şarj noktasının çevrimiçi olması ve sürücü kimliklerinin saklanmasının yanı sıra ödeme sistemleri ve elektrik şebekesi ile etkileşime giren çeşitli yazılımları çalıştırmasıdır. Başka bir deyişle, bunlar Nesnelerin İnterneti (IoT) yazılım çukurudur.

Şarj ağı sağlayıcısı EVPassport'un CEO'su Hooman Shahidi, "EV şarjı yaygınlaştıkça, daha sofistike bilgisayar korsanlığı grupları için cazip hedefler haline gelecekler" diyor. "Sağlayıcıların ürünlerini kritik altyapı ve ulusal güvenliğimizin kritik bir bileşeni olarak düşünmeleri gerekiyor." Var ABD'de 2.5 milyon elektrikli araç faaliyet gösteriyorve yarısından fazlası fişli şarj cihazları gerektiriyor. 2022'de popülerliklerini kabul ederek, Birleşik Krallık'ın zorunlu kıldığı şarj istasyonları tüm yeni konut inşaatlarında inşa edilecek.

Şarj istasyonları önemli siber güvenlik riskleriyle karşı karşıyadır. "Sorunlar arasında korumasız İnternet bağlantısı, yetersiz kimlik doğrulama ve şifreleme, ağ bölümlemesinin olmayışı, yönetilmeyen enerji varlıkları ve daha fazlası yer alıyor" diye yazdı Check Point Software ve SaiFlow'dan araştırmacılarikincisi, dağıtılmış enerji çözümlerinde siber güvenlik uzmanıdır. Güvenliği ihlal edilen istasyonlar elektrik şebekesine zarar verebilir veya müşteri verilerinin çalınmasına neden olabilir. Check Point Software'den CTO ofisinde çalışan Aaron Rose, "Şarj cihazlarında kişisel bilgiler ve ödeme bilgileri bulunuyor ve geleneksel güvenlik duvarları tarafından genellikle tanınmayan çeşitli protokolleri çalıştırıyorlar" diyor.

Şarj istasyonlarına yönelik siber saldırıların ilk aşamaları birkaç yıl önce başladı. Rus istasyonu saldırıya uğradı Ukrayna savaşına yanıt olarak Şubat 2022'de ve Nisan 2022'de Birleşik Krallık'ta üç kişi daha ele geçirildi. Her iki durum da daha çok birimlerin ekranlarında kaba mesajlar görüntüleyen siber şakalardı. Shell geçen yıl bir güvenlik açığını kapattı milyonlarca şarj kaydını açığa çıkarabilecek tek bir veritabanında EV şarj ağı.

Yeni güvenlik açıkları şarj istasyonlarını rahatsız etmeye devam ediyor. SaiFlow tarafından keşfedilen bunlardan ikisinin uzaktan kod yürütülmesine ve potansiyel veri hırsızlığına yol açabileceği ortaya çıktı bu senenin başlarında. Araştırmalarına göre, istismarlar istasyonlarda kullanılan çeşitli yazılım modülleri arasındaki zayıf kimlik doğrulama rutinlerinden yararlanıyor. Şarj istasyonu satıcısı Enel X Way şunları listeliyor: diğer çeşitli veri uzlaşmaları araç kimlik numaralarının yanı sıra araç kontrollerine uzaktan erişim sağlayabilecek açıkları da içeriyor.

Elias Bou-Harb, Louisiana Eyalet Üniversitesi'nde bilgisayar bilimcisidir. uzun süredir üzerinde çalışılan şarj istasyonu güvenliği. Hemen hemen her şarj ürününün, SQL enjeksiyonu ve siteler arası komut dosyası oluşturma gibi iyi bilinen saldırı yöntemleri de dahil olmak üzere önemli güvenlik açıklarına sahip olduğunu buldu. "Özellikle endişe verici olan şey, iyi bilinen bazı koruyucu önlemlerin satıcıların çoğu tarafından uygulanmamış olması ve çok azının, biz bu zayıflıkları tespit ettikten sonra bile güvenliklerini artırmak için adımlar atmış olmasıdır."

IoT Cihazları Çekici Hedefler Olmaya Devam Ediyor

Elbette siber saldırganların fırsat hedefi olan tek şey şarj istasyonlarından kaynaklanan tehditler değil. İstasyonlar, istismarların artmaya devam ettiği çok sayıda IoT cihazından yalnızca biri. Zayıf güvenlik tasarımı ve uygulamasına sahip çok sayıda küçük satıcının ve çeşitli cihazların yerini tespit edip tehlikeye sokan botnet'ler gibi çok sayıda otomatik aracın birleşimi, tüm IoT cihazlarını bilgisayar korsanları için kolay hedefler haline getiriyor. ABD Federal İletişim Komisyonu'nun (FCC) verileri o zamandan beri arttı.

Ancak şarj istasyonları, akıllı TV'lerin ve akıllı hoparlörlerin ötesine geçebilecek karmaşık ve dolayısıyla çok zengin ve potansiyel olarak sömürülebilir bir öğe kombinasyonunu temsil ediyor. Örneğin Check Point'ten Rose, "şarj cihazlarının benzer risk profillerine sahip olduğunu ancak diğer akıllı cihazlara göre farklı bir saldırı yüzeyi sunduğunu" söylüyor.

Bunun anlamı, şarj cihazlarının "EV kullanıcısı ile araç arasında ve şarj istasyonu ile elektrik şebekesi arasında yönetim yazılımı araçlarını çalıştırması ve faturalandırmayı, kimlik doğrulamayı ve sağlanan gücü koordine etmesidir" diyor Bou-Harb. "Ve bu karmaşıklığa ek olarak, tüm bunlar aynı zamanda buluttaki şarj sağlayıcıları tarafından da kullanılıyor." Araştırması, bu istasyonlar tarafından çalıştırılan bazı yazılımların yıllardır istismar edildiğini ve "satıcıların bırakın sorunları çözmeyi, kendilerinin tehlikeye atıldığını henüz fark etmediklerini" ortaya çıkardı.

Enel X Way'in blog yazısında kapsamlı bir liste yer alıyor sekiz noktalı çerçeve kimlik erişimi, risk yönetimi, acil durum müdahalesi ve diğer faktörleri kapsayan şarj istasyonları için.

Düzenleyicilerin Hedeflerinde

Hem ABD hem de Avrupa, hem kamu hem de özel şarj istasyonlarını dizginlemek için düzenleyici adımlar atıyor. Birleşik Krallık'ta 2022'den bu yana evde şarj istasyonlarıyla ilgili bir kurcalamayı önleme yasası yürürlükte. Bu sonuçla sonuçlandı çeşitli satıcılardan güvenlik iyileştirmeleriyakın zamanda bildirildiği gibi. Şarj istasyonu satıcısı Wallbox, bu düzenlemelere uyum sağlamak için ekipmanlarına ekstra güvenlik önlemleri eklerken, diğer satıcılar da ürünlerini geliştirmek yerine Avrupa pazarlarından çekildi.

AB, elektrik şebekesi operatörleri ve IoT satıcıları için yeni siber güvenlik önlemleri önerdi. NIS2 yönergesi geçen yıl Ekim ayında yürürlüğe girecek. Diğer maddelerin yanı sıra daha sıkı ihlal raporlama gereklilikleri içerir ve daha yüksek para cezaları uygular.

Diğer bir öneri ise, Underwriters Laboratories'in çeşitli elektronik cihazlar için yaptığı gibi, şarj istasyonu endüstrisinin kendi cihazlarını kendi kendine sertifikalandırmasını sağlamaktır. Avrupa otomotiv güvenliği satıcısı Dekra halka açık bir şarj istasyonu sertifikasyon programı önerdi sektörde bir ilk olduğunu iddia ediyor. Temel güvenlik hizmetlerinin sağlanmasından ekipmanın penetrasyon testine kadar üç farklı seviye sunar.

ABD bu çabalarda geride kalıyor. Geçen yaz Biden yönetimi bir öneride bulundu: akıllı ev cihazları için siber güvenlik etiketleme programı. Dublajlı Siber Güven İşaretiUlusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilen çalışmaya dayanarak FCC tarafından yönetilecektir. Check Point'ten Rose, "Siber Güven İşareti harika bir fikir" diyor. “Fakat yürütme anahtar olacak. İşaret güncellenmeli ve cihazların sürekli test edilmesine dayanmalıdır."

Geçen yıl Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de halka açık şarj istasyonları için bir dizi öneri önerdi Siber güvenliklerini geliştirmek için. Ancak NIST, Cyber Trust ve Dekra girişimlerinin temel unsurlarından biri, hepsinin gönüllü olmasıdır. Akitra ürün yönetiminden sorumlu başkan yardımcısı Ravi Lingarkar, "Şarj istasyonlarının yönergeleri olumlu bir gelişme" dedi. LinkedIn'de yazdı. "Tek tip siber güvenlik standartları olmadığında EV şarj istasyonları bilgisayar korsanları için kolay hedefler haline gelebilir. Bu, herkesin kendi cihazını şebekeye getirmesini sağlamak gibi bir şey. Elektrikli araç şarj altyapısının hızla genişlediği göz önüne alındığında, siber güvenlik birçok potansiyel sorunun ön saflarında yer alıyor."

Ancak bu çabalar henüz erken ve eksiktir. Bou-Harb, "Hükümet düzenlemeleri çok geç geldi" diyor. “Piyasa zaten çeşitli şarj ürünlerine doymuş durumda. Bu satıcılar cihazlarının güvenliğini pek umursamıyorlar ve bu genellikle sonradan akla gelen bir düşüncedir. Artık şarj tedarikçilerinin bir araya gelip bir sorun olduğunu kabul etmesi, çözümler üzerinde çalışmaya ve tehdit verilerini paylaşmaya başlamasının zamanı geldi.”

Potansiyel engellerden biri, EV şarj cihazlarının Ulaştırma, Enerji ve Ulusal Güvenlik departmanları gibi birden fazla düzenleyici kurumun yetkisi altında olmasıdır. Hepsinin işbirliği içinde çalışmasını sağlamak kolay olmayacak. Bou-Harb, "Kimse liderliği üstlenmiyor" diyor.

“Hükümetin şimdi atabileceği basit bir adım, EV şarj sağlayıcıları için SOC2'nin beklemede olmasını zorunlu kılmak olabilir. Çıtayı yükseltmemiz gerekiyor” diyor EVPassport'tan Shahidi. SOC2 standardı, diğer öğelerin yanı sıra güvenlik kontrollerine ve gizliliğe odaklanır.

SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
Kaynak: https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities

Üretken Veri Zekası

EV Şarj İstasyonları Hala Siber Güvenlik Açıklarıyla Karşı Karşıya

IoT Cihazları Çekici Hedefler Olmaya Devam Ediyor

Düzenleyicilerin Hedeflerinde

Ethereum Geri Döndü mü? 267,000 Yeni Kullanıcı Kaydı Spekülasyona Yol Açtı

Metabirkin NFT'leri Stockholm Müzesine Gidiyor – CryptoInfoNet

En Son İstihbarat

Eski DFS Düzenleyicisi, Winklevoss Twins ve Robert Leshner Tarafından Desteklenen Kripto Para Girişim Fonu İçin 5.1 Milyon Dolar Sağladı – CryptoInfoNet

Bitcoin Nakit Analizi: BCH 462 Dolarda Zorlu Bir Görevle Karşı Karşıya | Canlı Bitcoin Haberleri

Ethereum Fiyatı 100 SMA'yı Geri Alabilirse Yükselebilir

Wasabi Cüzdan geri çekilirken Trezor, gizliliği artıran coinjoin özelliğini sonlandıracak

Yapay Zeka Neden Oynanamayan Bir Web 3.0 Oyununu Kurtarmıyor - The Daily Hodl

Bitcoin 2016 Modelini Taklit Ediyor: Analist Fiyat Düşüşünün Geçici Olabileceğini Önerdi pen_spark

Bizimle sohbet