Popularność samochodów elektrycznych rośnie. Każdego roku powstają też kolejne punkty ładowania, a w gospodarstwach domowych coraz częściej pojawiają się urządzenia typu wallbox. Jak dowodzą testy penetracyjne firmy Pen Tests Partners, tego rodzaju infrastruktura umożliwia przestępcom przeprowadzenie cyberataków. W konsekwencji hakerzy mogą dostać się do kolejnych urządzeń w sieci domowej i firmowej.
Na świecie jeździ ich już ponad 10 milionów samochodów elektrycznych. W marcu bieżącego roku w Polsce zarejestrowanych było nieco ponad 22 tysiące takich pojazdów – w tym prawie połowę stanowią pojazdy hybrydowe typu plug-in. Do dyspozycji właścicieli takich pojazdów pozostaje w Polsce prawie 1500 publicznych stacji ładujących, a zgodnie z raportem „Polish EV Outlook” do 2025 roku liczba ta ma wzrosnąć do niemal 48 tysięcy. Coraz większe zainteresowanie zyskuje program „Mój Prąd” – dofinansowania mikroinstalacji fotowoltaicznych. Część osób korzystających z tej oferty zdecyduje się, aby zasilać z tego źródła domową stację ładowania samochodu elektrycznego.
Poziom zabezpieczeń domowych stacji ładowania
W ostatnim czasie grupa składająca się z etycznych hakerów (tzw. hakerzy „White-hat”) zajęła się szukaniem i zgłaszaniem luk w zabezpieczeniach przydomowych ładowarek samochodów elektrycznych. Jak się okazało, włamanie do systemu stacji ładujących nie było trudne, a dzięki temu hakerzy byli w stanie kontrolować pracę urządzenia. Znacznym ułatwieniem dla włamujących się do systemu była aplikacja stacji ładującej pojazd oraz dostęp fizyczny do urządzeń sterujących. Po przejęciu kontroli atakujący mieli możliwość zatrzymania procesu ładowania lub całkowitego zablokowania sprzętu. Natomiast dzięki włamaniu do publicznej sieci stacji ładowania atakujący mogli ukraść energię elektryczną kosztem kont kierowców. Wszystkiemu winne były słabe zabezpieczenia ładowarek oraz brak odpowiednich aktualizacji, które mogłyby utrudnić atak cyberprzestępców. Przeprowadzone testy penetracyjne dowiodły, że w przypadku zmiany oprogramowania wbudowanego w sprzęt, zaatakowana ładowarka może zostać trwale wyłączona lub wykorzystana do zaatakowania innych ładowarek lub serwerów z nią połączonych.
W momencie, gdy atakujący przejmie kontrolę nad wieloma ładowarkami jego działania mogą spowodować poważne szkody, na przykład może on wykorzystać je do przeciążenia sieci elektrycznej w niektórych obszarach, a nawet spowodowania przerw w dostawie prądu – informuje Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa ESET.
Internet rzeczy piętą achillesową
Gdy stacja ładowania jest połączona z domową siecią Wi-Fi ryzyko ataku w znacznym stopniu rośnie, a w grę wchodzą nie tylko uszkodzenie stacji ładowania, ale również przejęcie kontroli nad innymi urządzeniami podłączonymi do domowej sieci, jak np. monitoring, systemy ogrzewania, komputery, jak i inne urządzenia typu smart home. Dzięki temu cyberprzestępcy mogą przykładowo monitorować naszą aktywność w ciągu dnia, a włamując się do komputerów lub innych urządzeń osobistych mogą wykraść nasze dane osobowe, a następnie wykorzystać je do dalszych przestępstw lub zablokować istotne dla nas dane, za zwrócenie których będą żądali okupu.
Chociaż są to najczarniejsze scenariusze, to ryzyko ataku jest realne. Wynika to z faktu, że stacja ładowania staje się kolejnym elementem w naszej sieci domowej. To ogniwo, które bardzo często znajduje się na zewnątrz budynku, więc atakujący ma do niego fizyczny dostęp. Dlatego, tym bardziej należy zwracać uwagę na poziom zabezpieczeń wszystkich urządzeń, które znajdują się w gospodarstwie domowym lub należą do tej samej sieci – ostrzegają specjaliści ds. cyberbezpieczeństwa ESET.
Testy penetracyjne a zmiana przepisów
Wobec faktu, że zapewnienie cyberbezpieczeństwa jest częścią warunków, które stoją przed firmami sprzedającymi domowe stacje ładowania w Wielkiej Brytanii, to ujawnienie znaczących luk w zabezpieczeniach tych urządzeń spowodowało zaostrzenie przepisów dotyczących sprzedaży stacji ładowania pojazdów elektrycznych. Już tej jesieni brytyjski rząd zamierza wprowadzić nowe przepisy mające na celu dalszą ochronę konsumentów i systemu energetycznego poprzez podniesienie wymagań dotyczących bezpieczeństwa cybernetycznego dla punktów ładowania pojazdów elektrycznych. Chociaż większość podatności na atak została już naprawiona, a właściciele stacji ładujących zostali powiadomieni o konieczności zaktualizowania swoich urządzeń oraz dedykowanych im aplikacji, to w dalszym ciągu należy pozostawać czujnym i sprawdzać przed zakupem czy dany sprzęt spełnia wymagania i posiada odpowiednie zabezpieczenia.
Przeprowadzony test dotyczył produktów marek specjalizujących się w urządzeniach służących do ładowania pojazdów elektrycznych, które dostępne są również w naszym kraju. Decydując się na zakup warto wcześniej rozeznać się, czy produkt, którego kupnem jesteśmy zainteresowani, nie był bohaterem podobnego testu. Może to pomóc w uniknięciu ewentualnych nieprzyjemności – podsumowuje Beniamin Szczepankiewicz z ESET.