Анализи
Преход към електромобилността: Да се тревожим ли за хакерски атаки и киберсигурността?
Тъй като светът преминава от двигатели с вътрешно горене към електрически превозни средства, има множество рискове, които трябва да бъдат взети предвид. Управлението им ще бъде важно за нарастване на доверието в сектора.
Може ли една държава да причини масово спиране на движението на всички електрически превозни средства с натискането на един бутон? Могат ли хакерите да имат достъп и да контролират превозни средства на други хора? Може ли някой да подслушва през микрофона на превозното средство? Въпреки че има ясни рискове за киберсигурността на тези устройства, трябва да пренебрегнем спекулациите и хиперболите и да се ръководим от оценки, базирани на риска. Има и много рискове отвъд киберпространството, които ще трябва да управляваме, когато става въпрос за електромобили.
Електрическите автомобили са бъдещето на автомобилния транспорт
Днес по пътищата на света се движат около 1,2 милиарда коли. 97% от тези превозни средства използват двигатели с вътрешно горене, допринасящи за около 10% от глобалните емисии на CO2.
В много страни, през следващите 10 до 15 години, климатичните цели вероятно ще се превърнат в правителствени политики, забраняващи или демотивиращи продажбата на превозни средства, работещи с изкопаеми горива. Прогнозата за енергийния преход на DNV прогнозира, че 50% от глобалните продажби на пътнически превозни средства ще бъдат електрически до 2033 г., като пазарът ще се движи най-бързо в Европа и Китай.
До 2050 г. очакваме да има около 2 милиарда пътнически превозни средства по пътищата, но емисиите ще намалеят драстично от този сектор, тъй като две трети от автомобилите по пътищата през 2050 г. ще бъдат електрически с батерии – след като изпреварят двигателите с вътрешно горене поради висока ефективност и ниска цена на гориво за изминато разстояние, заедно с поддържащи политики.
В кибернетичното пространство става въпрос за цифрова трансформация и сигурност, а не за батерия срещу двигател с вътрешно горене
От гледна точка на киберсигурността преходът не е от енергия с вътрешно горене към електрическа батерия. Това е от превозни средства с цифрови екстри до напълно дигитално трансформирани, напълно взаимосвързани превозни средства. Десетки компютри и стотици сензори управляват и оптимизират спирачките, електрическия поток, зареждането и много други функции в рамките само на едно превозно средство, като винаги комуникират помежду си и се свързват чрез 4G и скоро 5G мрежи към инфраструктура, услуги на трети страни и други превозни средства .
Такива иновации в електромобилите имат голям потенциал да намалят емисиите, да увеличат безопасността, да увеличат максимално ефективността и да превърнат личния транспорт в по-удобно изживяване. Но технологията и системите, които се разработват и прилагат, не винаги отчитат напълно последиците за сигурността.
Един пример може да бъде система за управление, която „вижда“ позицията на други автомобили, позволявайки на превозните средства да се движат в клъстери, за да пестят енергия, когато споделят път на движение. Но това означава живо споделяне на данни и създава мощен векторна атака. Ако данните не са анонимизирани, това може да се използва за проследяване на човека и неговото поведение.
Трябва ли да се тревожим за наличието на голям „червен бутон“?
Именно по-модерното свързване на оперативните технологии (ОТ) - системите за управление, които наблюдават, автоматизират и контролират физическите компоненти на превозното средство - с по-широките информационни технологии и интернет поражда опасения за киберсигурността.
Наскоро в заглавията на вестниците се появи въпросът за превключвателя за блокиране, при който нападателят може да използва задната врата, за да изключи напълно автомобила. Това е възможно, ако автомобилът е свързан с външния свят. А след като се получи достъп до една система в автомобила, има възможност да се хакнат и останалите.
Но ако погледнем на това от гледна точка на риска, каква би била причината за изключване на системата или други драматични хакерски атаки към ОТ на електромобилите? Държавите и производителите на автомобили се грижат за икономиката и добрия бизнес и ако някога бъде използван или дори открит превключвател за блокиране, този бизнес и част от икономиката ще бъдат сериозно засегнати.
„Електрическите превозни средства обикновено използват компоненти от малък брой доставчици в Югоизточна Азия, създавайки условия всякакви уязвимости да имат сериозен ефект на доминото, ако бъдат въведени“
От обществена гледна точка, ако нападателят иска да причини широко разпространено смущение, какъв е най-добрият начин да направи това? Дали трябва да блокирате отделни електромобили или да се насочите към по-широка енергийна инфраструктура, от вятърни паркове до електроцентрали и мрежата? Ако целта на нападателя е да предизвика широкообхватни смущения, то енергийната инфраструктура би била основната му цел.
За да разберем как изглеждат атаките с оръжие срещу критичната инфраструктура и колко взаимосвързани са активите, трябва само да погледнем руската кибератака срещу оператора на сателитен интернет ViaSat в началото на 2022 г. Тя засегна клиентите в Украйна, но също така деактивира хиляди вятърни турбини в Германия, когато техните сателитно зависими системи за наблюдение бяха изключени.
Атаките срещу инфраструктурата, като например сателитите, могат да засегнат електромобилите, които зависят от тях. От друга гледна точка, увеличаването на броя на зарядните станции за електромобили и свързаните с тях устройства, които се свързват към мрежата, разширява повърхността на атаките. Много от свързаните устройства може да не са проектирани с оглед на киберсигурността или най-малкото тези устройства може да не са свързани по най-добрия начин за намаляване на уязвимостта и управление на сигурността. Това показва, че оперативната сигурност на електрическите превозни средства е по-скоро инфраструктурен проблем, с потенциал за изключване на електропреносната мрежа.
От гледна точка на производителите на автомобили, репутационните и финансовите щети, причинени от конкурент или друг участник, са по-вероятен риск. Уязвимостите могат да бъдат използвани за причиняване на сравнително незначителни оперативни проблеми, засягащи зареждането, ефективността или обхвата на превозното средство. За да управляват този риск, производителите трябва да осигурят своите вериги за доставки и да гарантират сигурността на доставчиците от трети страни. Това също така предоставя възможност за получаване на конкурентно предимство чрез демонстриране на идентификационни данни като сигурна опция.
За хората, управляващи електромобили, атаките срещу OT е малко вероятно да представляват риск за личната сигурност извън по-широките ефекти върху обществото. Много по-вероятно е най-големият риск да бъде породен от персонализирани данни, извлечени от това, което по същество е гигантски набор от сензори.
Най-добрият шпионски инструмент в света?
Обратно към големия червен бутон. Ако сте набелязали някого като заплаха за сигурността, бихте ли изключили колата му с очевидните последици от това, или вместо това тихомълком бихте събрали данни от него? Най-големият личен риск за електрическите автомобили е способността за наблюдение и събиране на данни.
Вместо да сравняваме електромобилите с енергийни активи като вятърни паркове, можем да ги сравним с домашния електромер, тъй като те събират лични данни и дават представа за поведението на хората. Те са в областта на потребителските устройства, свързани чрез домашни Wi-Fi мрежи. Но за разлика от домашния електромер, автомобилът също пътува с индивида и се свързва с много други устройства и системи. Достъпът до събраните данни – чрез хакване или просто чрез злоупотреба – може да представлява риск за сигурността или поне за поверителността. Да, камерите и микрофоните потенциално могат да бъдат хакнати, но същото може да се случи с микрофон в превозно средство с вътрешно горене или много други устройства, които използваме ежедневно.
Разликата е, че електрическият автомобил може дори да не е необходимо да бъде хакнат, за да представлява риск. Целостта на данните може да е по-големият проблем. Сервизна станция – вероятно управлявана от механици, а не от кибер специалисти или специалисти по управление на данни – може да има достъп до системи и да изтегля данни, когато обслужва превозно средство. Не винаги има прозрачност относно начина, по който организациите третират данните, независимо дали става дума за сервиз, производител, доставчик на компоненти или доставчик на онлайн услуги.
Поглед към веригата за доставки
Автомобилната индустрия има глобални и сложни вериги за доставки – и те ще включват значително по-голям брой електроника, тъй като дигитално трансформираните електромобили превземат пазара.
Електрическите автомобили днес обикновено използват компоненти от малък брой доставчици в Югоизточна Азия, създавайки условия всяка уязвимост да има сериозен ефект на доминото, ако бъде въведена. Вече има действия от страна на САЩ и Европа за въвеждане на вериги за доставки у дома, което може да увеличи броя на местните доставчици и донякъде да намали риска. Но трябва да помним, че веригите за доставки, базирани навсякъде, могат да въведат уязвимости.
„Колкото повече доставчици могат да демонстрират позицията си за сигурност чрез сертифициране и съответствие със стандартите, толкова по-сигурни могат да бъдат производителите, че приемат сериозно киберсигурността“
Един пример от енергийната индустрия са атаките срещу енергийната инфраструктура на Украйна в средата на 2010 г., които прекъснаха тока на 225 000 души в Западна Украйна. Разследващите смятат, че хакерите са получили достъп до уязвимости в системите за надзорен контрол и събиране на данни (SCADA). Мнозина в енергетиката в други държави осъзнаха, че разчитат на същия вид SCADA системи.
В неотдавнашното изследване на Cyber Priority на DNV, което събра мненията на 600 енергийни професионалисти в световен мащаб, само 57% казаха, че техните организации имат добър надзор върху своите вериги за доставки. И тези професионалисти поставиха „неадекватния надзор на свързаните партньори по веригата за доставки“ като третото най-голямо предизвикателство при осигуряването на OT.
В предстоящия Индекс на киберсигурността на Nixu за 2023 г. 68% от 370-те анкетирани отговорни лица за сигурността заявяват, че най-голямата им загриженост е свързана с риска от киберзаплахи за техните операции и производство.
Изграждане на доверие в сигурността на електромобилите
Доверието е фундаментално за реализиране на бърз растеж в сектора на електромобилите. Шофьорите трябва да вярват, че превозното средство ще има пробег, за да ги отведе до местоназначението им и че ще имат достъп до инфраструктура за зареждане. Производителите трябва да вярват, че веригите за доставки могат да се справят и че поддържащите политики ще продължат. И политиците трябва да вярват, че електромобилите са устойчиви и допринасят за обществени цели като намаляване на емисиите и замърсяването. Но всички заинтересовани страни трябва да вярват, че електромобилите са сигурни. Киберсигурността е основен фактор за възхода на електромобилите.
Колкото повече доставчици могат да демонстрират своята позиция на сигурност чрез сертифициране и съответствие със стандартите, толкова по-уверени могат да бъдат производителите, че приемат сериозно киберсигурността.
Поддържането на стандартите и най-добрите практики само определя базовата линия за производителите и доставчиците, а не гарантира сигурност. Предпочитаният път напред е да се прилагат сигурни правила за технически дизайн в комбинация с персонализирано управление на киберриска, както и стремеж към адаптиране и непрекъснато подобряване. Съответствието трябва да бъде допълнено от работа за идентифициране и управление на нови рискове и слабости, като например чрез използване на тестове за проникване и откриване на проникване в електромобилите и техните компоненти, както и в свързаната инфраструктура.
Всеки, който се занимава с електромобили, може да предприеме стъпки. Сервизите, например, могат да получат уверение, че са защитени и че обработват личните данни правилно. Доставчиците могат да инвестират в „свидетелства за раждане“, като вземат сертификат във фабриката. Регулаторите или други трети страни биха могли рутинно да тестват превозни средства и производствени системи за уязвимости, за да бъдат в крак със заплахите за киберсигурността, докато се развиват.
Водачите на електрически превозни средства могат да ограничат събираните данни въз основа на собствената си оценка на ползите и рисковете. Натискът от страна на клиентите също може да доведе до положителни промени. Точно както новите автомобили могат да бъдат персонализирани така, че да имат спортен или семеен пакет, в бъдеще може да бъде възможно - ако това дава конкурентно предимство на производителя - да се получи пакет за сигурност, в който определени устройства, софтуер или процеси за събиране на данни са изключени.
Инвестициите в киберсигурността и съсредоточаването върху нея носят значителни ползи за всички, които са ангажирани с електрическите превозни средства, тъй като по-голямата сигурност укрепва доверието, дава възможност за иновации, гарантира спазването на изискванията и повишава конкурентоспособността. Преките кибератаки срещу електромобилите няма да "спрат движението по пътищата", но трябва да имаме предвид заплахите за свързаната инфраструктура и веригите за доставки, както и опазването на личните данни.
-----------------------------------------------
Коментар на Бойе Транум и Петер Хелстрьом за RUSI, мозъчен тръст за отбрана и сигурност, базиран в Лондон