Webinar „Cyberbezpieczeństwo w elektromobilności” organizowany przez Polską Izbę Rozwoju Elektromobilności to pierwszy z tego cyklu. Wiedzą podzielili się Kamil Babiński z Avitron, Tomasz Szpikowski z Bergman Engineering i Test Army oraz Daniel Gawron z Codetain.
Cyberbezpieczeństwo dotyczy nie tylko samochodów, ale również stacji ładowania i całego ekosystemu elektromobilności. Podłączona i autoryzowana ładowarka w sieci Wi-Fi jest punktem dostępu do wszystkich urządzeń udostępnionych w tej sieci. A to może być niebezpieczne – cyberprzestępcy mogą monitorować aktywność użytkownika w ciągu dnia, włamać się do komputerów lub innych urządzeń i wykraść dane osobowe.
– Podstawą jest security by design, czyli dbanie o bezpieczeństwo już na etapie projektowania infrastruktury. Musimy pamiętać, że chmura nie daje nam 100% bezpieczeństwa a dane wykorzystywane w systemach są cennym towarem dla hakerów. Bezpieczeństwo aplikacji zależne jest od wielu czynników i należy niwelować każde ryzyko – ocenia Daniel Gawron, Codetain.
Stacje ładowania połączone są z centralną jednostką sterującą (tzw: backend). Zbierają dane dotyczące płatności, lokalizacji oraz demograficzne (które mogą obejmować adresy mailowe oraz numery IP).
– Najbardziej wrażliwymi elementami stacji ładowania pojazdów elektrycznych będzie zwykle system zarządzania pojazdami elektrycznymi. Wiele z nich zostało opracowanych przy użyciu niewłaściwych praktyk w zakresie bezpieczeństwa, od zakodowanych na stałe poświadczeń po słabe opracowanie kodu bezpieczeństwa, który umożliwia atakującym wykorzystanie interfejsów zarządzania w celu naruszenia bezpieczeństwa systemu. Zarządzanie ryzykiem cyberbezpieczeństwa dla infrastruktury IT/OT/IOT to proces ciągły, należy stale monitorować i zwiększać odporność infrastruktury oraz aplikacji na cyberzagrożenia i ryzyka – mówi Kamil Babiński z Avitron.
Punkt ładowania pojazdów elektrycznych może zostać wykorzystany, by uzyskać dostęp np. do systemu zarządzania silnikiem pojazdu, danych inwertera pokładowego lub całkowicie wyłączyć pojazd. Kolejne ryzyko to zablokowanie systemu zarządzania stacjami wykorzystując jedną lukę tylko w jednym urządzeniu. Nie można zapominać o systemach płatności – włamanie do systemu może spowodować straty finansowe u kierowcy lub operatora sieci. Istnieje również niebezpieczeństwo kradzieży energii elektrycznej.
Najpopularniejsze rodzaje ataków dotyczą przejęcia kontroli oraz wyłudzenia danych. Atak w celu przejęcia kontroli uniemożliwia ładowanie lub rozładowanie pojazdów, wyłączenie całej infrastruktury, zmianę konfiguracji parametrów ładowania czy przeciążenie sieci.
Drugi typ ataku ma na celu wyłudzenie danych ze stacji ładowania samochodu, które pozwolą na ułożenie rozkładu dnia ofiary – kiedy jest poza domem, kiedy wyjeżdża i wraca. Wiąże się to z zaplanowaną kradzieżą samochodu lub informacji o płatnościach albo włamaniem do domu ofiary.
– Google szacuje, że liczba ataków w ciągu ostatnich 2 lat wzrosła o 300%, musimy być na nie przygotowani, szczególnie w branży elektromobilności. Hakerzy mogą zablokować hamulce, wyłączyć silnik, przejąć w pełni kontrolę nad samochodem. Zdarzają się również przypadki szantażu finansowego, kiedy samochód zostaje zablokowany i haker domaga się zapłaty, żeby odblokować system. Włamania dokonują przez infotainment danego samochodu, ale tych możliwości jest coraz więcej. Dlaczego tak się dzieje? System, który jest np. w samolotach jest dużo mniejszy w porównaniu z systemem aut elektrycznych. Wystarczy spojrzeć na ilość linii kodu – 15 mln w samolotach i aż 100 mln w samochodzie elektrycznym obecnie (w 2030 będzie to 300 mln linii kodu). System samochodowy jest dużo bardziej skomplikowany, będzie dużo więcej danych pobierać i przesyłać, a to daje większe możliwości cyberataków – podsumowuje Tomasz Szpikowski z Bergman Engineering i Test Army.
– Dynamiczny rozwój technologii cyfrowych jest jednym z globalnych priorytetów dla największych gospodarek świata, co szczególnie wybrzmiało podczas Szczytu B20 w Indonezji. Elektromobilność wpisuje się w ten trend, ponieważ wysoki poziom digitalizacji występuje tu niemal w każdym obszarze – infrastruktury ładowania, samych pojazdów, energetyki, a także systemów sterujących procesami. Polska Izba Rozwoju Elektromobilności rozpoczęła cykl webinarów, podczas których omawiamy kwestie cyberbezpieczeństwa – dodaje Marcin Nowak, Członek Zarządu PIRE.
* * *
Polska Izba Rozwoju Elektromobilności jest organizacją pozarządową, której głównym celem jest rozwój elektromobilności w polskich miastach. Zrzesza podmioty działające w branży i wraz z samorządami tworzy odpowiednie warunki, aby obecni użytkownicy pojazdów spalinowych mogli bezpiecznie i komfortowo przesiąść się do elektrycznych odpowiedników.