Laddinfrastruktur för elbilar och cybersäkerhet
Teknikutveckling och digitalisering innebär fler cyberhot och sårbarheter vilket har bäring på Sveriges säkerhet och konkurrenskraft. Veckans blogg belyser därför på vilket sätt cybersäkerhet tas på allvar när det gäller laddinfrastruktur för elfordon. Idag finns ca 13 tusen laddpunkter i Sverige1 vilket behöver utökas till 250 000 och i högre takt för att klara förändringar i transportsektorn (2.5 miljoner elbilar på svenska vägar 2030) och för att möta klimatmål avseende fossilfria bränslen2. Laddinfrastruktur har implikationer för cybersäkerheten, då varje laddstation exempelvis skulle kunna betraktas som en attackvektor in i kritisk infrastruktur3. Vilka konsekvenser storskaliga cyberangrepp kan resultera i visade exempelvis kryptovirusangreppet i USA mot Colonial Pipelines tidigare i år då oljeledningar tvingades stänga ned, man började bunkra bensin, 17 delstater utlyste nödläge och bensinpriser steg till högsta nivåer på 7 år4.
Sårbarheter generellt för laddstationer
Publika laddstationer placeras så att elbilar ska kunna laddas och betalas på olika platser längs med planerade resor. Man kan tänka sig ett antal möjliga mål för cyberangrepp, exempelvis riktade mot stationernas uppkoppling mot en gemensam knytpunkt i molnlösning, för att röra sig vidare över ett nätverk, för att obehörigt nyttja användarkonton för att belasta fel konton, för att nämna några. Forskning har visat att angrepp mot ett antal laddstationer samtidigt för att medvetet slå av och på laddning skulle kunna leda till storskaliga nedsläckningar av elnät5. Detta har för några år sen inte varit lika relevant då laddinfrastrukturen varit begränsad, vilket med tillväxtprognosen ger ett annat läge framöver då även högre effekt är på frammarsch. Intressant är att penetrationstest6 som utförts nyligen på sex olika fabrikat av laddstationer visar brister som tyder på att säkerheten inte tänkts igenom ordentligt och hur oreglerad IoT marknaden kan vara. Bristerna som identifierades nyttjades i testerna t.ex. för att kapa användarkonton, hindra laddning, ge obehörig fjärråtkomst till laddare samt användning av laddstolpe som bakdörr till användares hemnätverk. Via Raspberry PI:s hos flera av tillverkarnas produkter lyckades extraktion av lagrad data inklusive autentiseringsuppgifter. Även om de flesta tillverkare skyndsamt agerade på det som uppdagats väcker resultatet frågor. Det skulle kunna handla om symptom på att funktionella behov prioriterats framför säkerheten i en iver hos branschen att möta tillväxtbehov.
Allvarlighetsgrad varierar
Ett antal faktorer påverkar hur allvarligt det skulle vara om cyberrisker skulle realiseras, t.ex. hur smart laddaren är (styras på distans), om den installerats hemma eller finns publikt. En hackad publik laddstation skulle ge en hotaktör möjlig åtkomst till ett större nätverk eller system beroende på hur den uppsatts. Åtgärder ifrån tillverkare kan i dagsläget handla om att säkra så att en angripare inte kan gå via en station för att ta över andra stationer för att övernyttja effekt. Inställningar i mobilapplikation ska inte kunna förbigås som inkluderar maxeffekt på kabel, vilket skulle kunna generera skador på fordonet och föraren.
Standarder och reglering
Oroväckande nog saknas standarder för att säkra eller certifiera laddstationer till elbilar för att möta upp hotbild inom cybersäkerhet3. Sådana borde rimligtvis även inkludera den generella nivå av fysisk säkerhet som laddstationer förväntas ha. ISO standarden 15118-20 för specifikt datakommunikationen mellan fordon och laddstation är under utveckling med en förhoppning om att släppas 2021, den tidigare kritiserades av ledande tillverkare för komplexitet och för att det kan skilja sig hur den tillämpas7. NIST forskningskonferenser har tidigare tagit upp hur angeläget området är8, men ännu saknas NIST standard. Även om standarder tas fram krävs reglering med tydligt ansvar för tillsyn. En direkt effekt av Colonial Pipelines angreppet i USA var att cyberregleringen justerades, från ett frivilligt cyberförsvar hos industrin till att den federala transportmyndigheten TSA gavs mandat och tog fram regler för aktörer inom kritisk tillförsel av olja gällande motståndskraft mot cyberangrepp9. I ljuset av detta kan man fråga sig om NIS2 kommer vara tillräckligt och hinna tillämpas innan hotbilden mot laddinfrastruktur realiseras?
(1) https://www.elbilsstatistik.se
(2) https://new.abb.com/news/sv/detail/72545/utbyggnaden-av-laddinfrastruktur-behover-paskyndas-for-att-klara-omstallningen-fran-dagens-11-000-laddpunkter-till-250-000-ar-2030
(3) https://news.bloomberglaw.com/tech-and-telecom-law/electric-vehicle-infrastructure-push-brings-cyber-concerns
(4) https://www.dn.se/varlden/viktiga-oljeledningen-i-gang-igen-men-fortsatt-bensinbrist-i-flera-delstater/
(5) https://aboutblaw.com/Zha
(6) https://www.pentestpartners.com/security-blog/smart-car-chargers-plug-n-play-for-hackers/
(7) https://www.chargepoint.com/files/15118whitepaper.pdf
(8) https://csrc.nist.gov/news/2020/nistir-8294-symposium-on-cybersecurity-of-evse
(9) https://news.bloomberglaw.com/privacy-and-data-security/u-s-adds-more-cybersecurity-rules-for-pipelines-in-wake-of-hack