Могат ли електрическите превозни средства и киберсигурността да вървят ръка за ръка?

Може ли една държава да причини масово спиране на движението на всички електрически превозни средства с натискането на един бутон? Могат ли хакерите да имат достъп и да контролират превозни средства на други хора? Може ли някой да подслушва през микрофона на превозното средство? Въпреки че има ясни рискове за киберсигурността на тези устройства, трябва да пренебрегнем спекулациите и преувеличенията и да се ръководим от оценки, базирани на риска. Има и много рискове отвъд киберпространството, които ще трябва да управляваме, когато става въпрос за електромобили.

Електрическите автомобили са бъдещето на автомобилния транспорт

Днес по пътищата на света се движат около 1,2 милиарда коли. 97% от тези превозни средства използват двигатели с вътрешно горене, виновни за около 10% от глобалните парникови емисии.

В много страни, през следващите 10 до 15 години, климатичните цели вероятно ще се превърнат в правителствени политики, забраняващи или демотивиращи продажбата на превозни средства, работещи с изкопаеми горива. Прогнозата за енергийния преход на DNV е, че 50% от глобалните продажби на пътнически превозни средства ще бъдат електрически до 2033 г., като пазарът ще се движи най-бързо в Европа и Китай.

До 2050 г. очакваме да има около 2 млрд. пътнически превозни средства по пътищата, но емисиите ще намалеят драстично от този сектор, тъй като две трети от автомобилите по пътищата през 2050 г. ще бъдат електрически с батерии , след като изпреварят двигателите с вътрешно горене поради висока ефективност и ниска цена на гориво за изминато разстояние, заедно с поддържащи политики.

В кибернетичното пространство става въпрос за цифрова трансформация и сигурност, а не за батерия срещу двигател с вътрешно горене

От гледна точка на киберсигурността преходът не е от енергия с вътрешно горене към електрическа батерия. А е от превозни средства с цифрови екстри до напълно дигитално трансформирани, изцяло свързани превозни средства. Десетки компютри и стотици сензори управляват и оптимизират спирачките, електрическия поток, зареждането и много други функции в рамките само на едно превозно средство, като винаги комуникират помежду си и се свързват чрез 4G и скоро 5G мрежи към инфраструктура, услуги на трети страни и други превозни средства .

Такива иновации в електромобилите имат голям потенциал да намалят емисиите, да увеличат безопасността, да увеличат максимално ефективността и да превърнат личния транспорт в по-удобно изживяване. Но технологията и системите, които се разработват и прилагат, не винаги отчитат напълно последиците за сигурността.

Един пример може да бъде система за управление, която „вижда“ позицията на други автомобили, позволявайки на превозните средства да се движат в клъстери, за да пестят енергия, когато споделят път на движение. Но това означава живо споделяне на данни и създава мощен вектор на атака. Ако данните не са поверителни, това може да се използва за проследяване на човека и поведението му.

Трябва ли да се тревожим за наличието на голям "червен бутон"?

Именно по-модерното свързване на оперативните технологии (ОТ) - системите за управление, които наблюдават, автоматизират и контролират физическите компоненти на превозното средство - с по-широките информационни технологии и интернет пораждат опасения за киберсигурността.

Наскоро в заглавията на вестниците се появи въпросът за превключвателя за блокиране, при който нападателят може да използва задната врата, за да изключи напълно автомобила. Това е възможно, ако автомобилът е свързан с външния свят. А след като се получи достъп до една система в автомобила, има възможност да се хакнат и останалите.

Но ако погледнем на това от гледна точка на риска, каква би била причината за изключване на системата или други драматични хакерски атаки към ОТ на електромобилите? Държавите и производителите на автомобили се грижат за икономиката и добрия бизнес и ако някога бъде използван или дори открит превключвател за блокиране, този бизнес и част от икономиката ще бъдат сериозно засегнати.

От обществена гледна точка, ако нападателят иска да причини широко разпространено смущение, какъв е най-добрият начин да направи това? Дали трябва да блокирате отделни електромобили или да се насочите към по-широка енергийна инфраструктура, от вятърни паркове до електроцентрали и мрежата? Ако целта на нападателя е да предизвика широкообхватни смущения, то енергийната инфраструктура би била основната му цел.

Атаките срещу инфраструктурата, като например сателитите, могат да засегнат електромобилите, които зависят от тях. От друга гледна точка, увеличаването на броя на зарядните станции за електромобили и свързаните с тях устройства, които се свързват към мрежата, разширява повърхността на атаките. Много от свързаните устройства може да не са проектирани с оглед на киберсигурността или най-малкото тези устройства може да не са свързани по най-добрия начин за намаляване на уязвимостта и управление на сигурността. Това показва, че оперативната сигурност на електрическите превозни средства е по-скоро инфраструктурен проблем, с потенциал за изключване на електропреносната мрежа.

От гледна точка на производителите на автомобили, репутационните и финансовите щети, причинени от конкурент или друг участник, са по-вероятен риск. Уязвимостите могат да бъдат използвани за причиняване на сравнително незначителни оперативни проблеми, засягащи зареждането, ефективността или обхвата на превозното средство. За да управляват този риск, производителите трябва да осигурят своите вериги за доставки и да гарантират сигурността на доставчиците от трети страни. Това също така е възможност за получаване на конкурентно предимство чрез демонстриране на идентификационни данни като сигурна опция.

За хората, собственици на електромобили, атаките срещу OT е малко вероятно да представляват риск за личната сигурност извън по-широките ефекти върху обществото. Много по-вероятно е най-големият риск да бъде породен от персонализирани данни, извлечени от това, което по същество е гигантски набор от сензори.

Кой е най-добрият шпионски инструмент в света?

Обратно към големия червен бутон. Ако сте набелязали някого като заплаха за сигурността, бихте ли изключили колата му с очевидните последици от това, или вместо това тихомълком бихте събрали данни от него? Най-големият личен риск за електрическите автомобили е способността за наблюдение и събиране на данни.

Вместо да сравняваме електромобилите с енергийни активи като вятърни паркове, можем да ги сравним с домашния електромер, тъй като те събират лични данни и дават представа за поведението на хората. Те са в областта на потребителските устройства, свързани чрез домашни Wi-Fi мрежи. Достъпът до събраните данни – чрез хакване или просто чрез злоупотреба – може да представлява риск за сигурността или поне за поверителността. Да, камерите и микрофоните потенциално могат да бъдат хакнати, но същото може да се случи с микрофон в превозно средство с вътрешно горене или много други устройства, които използваме ежедневно.

Разликата е, че електрическият автомобил може дори да не е необходимо да бъде хакнат, за да представлява риск. Целостта на данните може да е по-големият проблем. Сервизна станция – вероятно управлявана от механици, а не от киберспециалисти или специалисти по управление на данни – може да има достъп до системи и да изтегля данни, когато обслужва превозно средство. Невинаги има прозрачност относно начина, по който организациите третират данните, независимо дали става дума за сервиз, производител, доставчик на компоненти или доставчик на онлайн услуги.