Възходът на електрическите превозни средства: Трябва ли да се тревожим за киберсигурността?
Тъй като светът минава от мотори с вътрешно горене към електрически транспортни средства, има голям брой опасности, които би трябвало да бъдат взети поради. Управлението им ще бъде значимо за повишаване на доверието в бранша.
Може ли една страна да аргументи всеобщо прекъсване на придвижването на всички електрически транспортни средства с натискането на един бутон? Могат ли хакерите да имат достъп и да управляват транспортни средства на други хора? Може ли някой да подслушва през микрофона на транспортното средство? Въпреки че има ясни опасности за киберсигурността на тези устройства, би трябвало да пренебрегнем през спекулациите и хиперболите и да се ръководим от оценки, основани на риска. Има и доста опасности оттатък киберпространството, които ще би трябвало да управляваме, когато става въпрос за електрически автомобили.
Електрическите коли са бъдещето на автомобилния превоз
Днес по пътищата на света се движат към 1,2 милиарда коли. 97% от тези транспортни средства употребяват мотори с вътрешно горене, допринасящи за към 10% от световните излъчвания на CO2.
В доста страни, през идващите 10 до 15 години, климатичните цели евентуално ще се трансфорат в държавни политики, забраняващи или демотивиращи продажбата на транспортни средства, работещи с изкопаеми горива. Прогнозата за енергийния преход на DNV предвижда, че 50% от световните продажби на пътнически транспортни средства ще бъдат електрически до 2033 година, като пазарът ще се движи най-бързо в Европа и Китай.
До 2050 година чакаме да има към 2 милиарда пътнически транспортни средства по пътищата, само че излъчванията ще намалеят фрапантно от този бранш, защото две трети от колите по пътищата през 2050 година ще бъдат електрически с акумулатори – откакто изпреварят моторите с вътрешно горене заради висока успеваемост и ниска цена на гориво за изминато разстояние, дружно с поддържащи политики.
В кибернетичното пространство става въпрос за цифрова промяна и сигурност, а не за батерия против мотор с вътрешно горене
От позиция на киберсигурността преходът не е от сила с вътрешно горене към електрическа батерия. Това е от транспортни средства с цифрови екстри до изцяло цифрово трансформирани, изцяло взаимосвързани транспортни средства. Десетки компютри и стотици датчици ръководят и усъвършенстват спирачките, електрическия поток, зареждането и доста други функционалности в рамките единствено на едно транспортно средство, като постоянно споделят между тях и се свързват посредством 4G и скоро 5G мрежи към инфраструктура, услуги на трети страни и други транспортни средства.
Такива нововъведения в електрическите автомобили имат огромен капацитет да понижат излъчванията, да усилят сигурността, да усилят оптимално успеваемостта и да трансфорат персоналния превоз в по-удобно преживяване. Но технологията и системите, които се създават и ползват, не постоянно регистрират изцяло последствията за сигурността.
Един образец може да бъде система за ръководство, която „ вижда “ позицията на други коли, позволявайки на транспортните средства да се движат в клъстери, с цел да пестят сила, когато споделят път на придвижване. Но това значи живо шерване на данни и основава мощен вектор на офанзива. Ако данните не са анонимизирани, това може да се употребява за следене на индивида и неговото държание.
Трябва ли да се тревожим за съществуването на огромен " червен бутон "?
Именно по-модерното свързване на оперативните технологии (ОТ) - системите за ръководство, които следят, автоматизират и управляват физическите съставни елементи на транспортното средство - с по-широките осведомителни технологии и интернет поражда опасения за киберсигурността.
Наскоро в заглавията на вестниците се появи въпросът за превключвателя за блокиране, при който нападателят може да употребява задната врата, с цел да изключи изцяло автомобила. Това е допустимо, в случай че автомобилът е обвързван с външния свят. А откакто се получи достъп до една система в автомобила, има опция да се хакнат и останалите.
Но в случай че погледнем на това от позиция на риска, каква би била повода за изключване на системата или други трагични хакерски офанзиви към ОТ на електрическите автомобили? Държавите и производителите на коли се грижат за стопанската система и положителния бизнес и в случай че в миналото бъде употребен или даже открит комутатор за блокиране, този бизнес и част от стопанската система ще бъдат съществено наранени.
„ Електрическите транспортни средства нормално употребяват съставни елементи от дребен брой снабдители в Югоизточна Азия, създавайки условия всевъзможни уязвимости да имат сериозен резултат на доминото, в случай че бъдат въведени “
От социална позиция, в случай че нападателят желае да аргументи необятно публикувано разстройване, какъв е най-хубавият метод да направи това? Дали би трябвало да блокирате обособени електрически автомобили или да се насочите към по-широка енергийна инфраструктура, от вятърни паркове до електроцентрали и мрежата? Ако задачата на нападателя е да провокира широкообхватни разстройства, то енергийната инфраструктура би била главната му цел.
За да разберем по какъв начин наподобяват офанзивите с оръжие против сериозната инфраструктура и какъв брой взаимосвързани са активите, би трябвало единствено да погледнем съветската хакерска атака против оператора на сателитен интернет ViaSat при започване на 2022 година Тя засегна клиентите в Украйна, само че също по този начин деактивира хиляди вятърни турбини в Германия, когато техните сателитно подвластни системи за наблюдаване бяха изключени.
Атаките против инфраструктурата, като да вземем за пример спътниците, могат да обиден електрическите автомобили, които зависят от тях. От друга позиция, увеличението на броя на зарядните станции за електрически автомобили и обвързваните с тях устройства, които се свързват към мрежата, уголемява повърхността на офанзивите. Много от обвързваните устройства може да не са проектирани предвид на киберсигурността или най-малкото тези устройства може да не са свързани по най-хубавия метод за понижаване на уязвимостта и ръководство на сигурността. Това демонстрира, че оперативната сигурност на електрическите транспортни средства е по-скоро инфраструктурен проблем, с капацитет за изключване на електропреносната мрежа.
От позиция на производителите на коли, репутационните и финансовите вреди, породени от съперник или различен участник, са по-вероятен риск. Уязвимостите могат да бъдат употребявани за причиняване на относително незначителни оперативни проблеми, засягащи зареждането, успеваемостта или обсега на транспортното средство. За да ръководят този риск, производителите би трябвало да обезпечат своите вериги за доставки и да подсигуряват сигурността на доставчиците от трети страни. Това също по този начин дава опция за приемане на конкурентно преимущество посредством демонстриране на идентификационни данни като сигурна алтернатива.
За хората, ръководещи електрически автомобили, офанзивите против OT е малко евентуално да съставляват риск за персоналната сигурност отвън по-широките резултати върху обществото. Много по-вероятно е най-големият риск да бъде подбуден от персонализирани данни, извлечени от това, което всъщност е великански набор от датчици.
Най-добрият шпионски инструмент в света?
Обратно към огромния червен бутон. Ако сте набелязали някого като опасност за сигурността, бихте ли изключили колата му с очевидните последствия от това, или вместо това тихомълком бихте събрали данни от него? Най-големият персонален риск за електрическите коли е способността за наблюдаване и събиране на данни.
Вместо да съпоставяме електрическите автомобили с енергийни активи като вятърни паркове, можем да ги съпоставим с домашния електромер, защото те събират персонални данни и дават визия за държанието на хората. Те са в региона на потребителските устройства, свързани посредством домашни Wi-Fi мрежи. Но за разлика от домашния електромер, автомобилът също пътува с индивида и се свързва с доста други устройства и системи. Достъпът до събраните данни – посредством хакване или просто посредством корист – може да съставлява риск за сигурността или най-малко за поверителността. Да, камерите и микрофоните евентуално могат да бъдат хакнати, само че същото може да се случи с микрофон в транспортно средство с вътрешно горене или доста други устройства, които използваме всекидневно.
Разликата е, че електрическият автомобил може даже да не е належащо да бъде хакнат, с цел да съставлява риск. Целостта на данните може да е по-големият проблем. Сервизна станция – евентуално ръководена от механици, а не от кибер експерти или експерти по ръководство на данни – може да има достъп до системи и да изтегля данни, когато обслужва транспортно средство. Не постоянно има бистрота по отношение на метода, по който организациите третират данните, без значение дали става дума за сервиз, производител, снабдител на съставни елементи или снабдител на онлайн услуги.
Поглед към веригата за доставки
Автомобилната промишленост има световни и комплицирани вериги за доставки – и те ще включват доста по-голям брой електроника, защото цифрово трансформираните електрически автомобили завладяват пазара.
Електрическите коли през днешния ден нормално употребяват съставни елементи от дребен брой снабдители в Югоизточна Азия, създавайки условия всяка накърнимост да има сериозен резултат на доминото, в случай че бъде въведена. Вече има дейности от страна на Съединени американски щати и Европа за въвеждане на вериги за доставки вкъщи, което може да усили броя на локалните снабдители и ненапълно да понижи риска. Но би трябвало да помним, че веригите за доставки, основани на всички места, могат да вкарат уязвимости.
„ Колкото повече снабдители могат да показват позицията си за сигурност посредством узаконяване и сходство със стандартите, толкоз по-сигурни могат да бъдат производителите, че одобряват съществено киберсигурността “
Един образец от енергийната промишленост са офанзивите против енергийната инфраструктура на Украйна в средата на 2010 година, които прекъснаха тока на 225 000 души в Западна Украйна. Разследващите считат, че хакерите са получили достъп до уязвимости в системите за контролен надзор и събиране на данни (SCADA). Мнозина в енергетиката в други страни осъзнаха, че разчитат на същия тип SCADA системи.
В неотдавнашното проучване на Cyber Priority на DNV, което събра мненията на 600 енергийни експерти в международен мащаб, единствено 57% споделиха, че техните организации имат добър контрол върху своите вериги за доставки. И тези експерти сложиха „ несъответстващия контрол на обвързваните сътрудници по веригата за доставки “ като третото най-голямо предизвикателство при обезпечаването на OT.
В идния Индекс на киберсигурността на Nixu за 2023 година 68% от 370-те интервюирани виновни лица за сигурността декларират, че най-голямата им угриженост е обвързвана с риска от киберзаплахи за техните интервенции и произвеждане.
Изграждане на доверие в сигурността на електрическите автомобили
Доверието е фундаментално за осъществяване на бърз напредък в бранша на електрическите автомобили. Шофьорите би трябвало да имат вяра, че транспортното средство ще има пробег, с цел да ги води до местоназначението им и че ще имат достъп до инфраструктура за зареждане. Производителите би трябвало да имат вяра, че веригите за доставки могат да се оправят и че поддържащите политики ще продължат. И политиците би трябвало да имат вяра, че електрическите автомобили са устойчиви и способстват за публични цели като понижаване на излъчванията и замърсяването. Но всички заинтригувани страни би трябвало да имат вяра, че електрическите автомобили са сигурни. Киберсигурността е главен фактор за възхода на електрическите автомобили.
Колкото повече снабдители могат да показват своята позиция на сигурност посредством узаконяване и сходство със стандартите, толкоз по-уверени могат да бъдат производителите, че одобряват съществено киберсигурността.
Поддържането на стандартите и най-хубавите практики единствено дефинира базовата линия за производителите и доставчиците, а не подсигурява сигурност. Предпочитаният път напред е да се ползват сигурни правила за механически дизайн в композиция с персонализирано ръководство на киберриска, както и блян към адаптиране и непрестанно възстановяване. Съответствието би трябвало да бъде допълнено от работа за идентифициране и ръководство на нови опасности и недостатъци, като да вземем за пример посредством потребление на проби за навлизане и разкриване на навлизане в електрическите автомобили и техните съставни елементи, както и в свързаната инфраструктура.
Всеки, който се занимава с електрически автомобили, може да предприеме стъпки. Сервизите, да вземем за пример, могат да получат увещание, че са предпазени и че обработват персоналните данни вярно. Доставчиците могат да влагат в „ свидетелства за раждане “, като вземат документ във фабриката. Регулаторите или други трети страни биха могли рутинно да тестват транспортни средства и индустриални системи за уязвимости, с цел да бъдат в крайник със заканите за киберсигурността, до момента в който се развиват.
Водачите на електрически транспортни средства могат да лимитират събираните данни въз основа на личната си оценка на изгодите и рисковете. Натискът от страна на клиентите също може да докара до позитивни промени. Точно както новите коли могат да бъдат персонализирани по този начин, че да имат състезателен или фамилен пакет, в бъдеще може да бъде допустимо - в случай че това дава конкурентно преимущество на производителя - да се получи пакет за сигурност, в който избрани устройства, програмен продукт или процеси за събиране на данни са изключени.
Инвестициите в киберсигурността и съсредоточаването върху нея носят обилни изгоди за всички, които са ангажирани с електрическите транспортни средства, защото по-голямата сигурност укрепва доверието, дава опция за нововъведения, подсигурява спазването на условията и покачва конкурентоспособността. Преките хакерски атаки против електрическите автомобили няма да " спрат придвижването по пътищата ", само че би трябвало да имаме поради заканите за свързаната инфраструктура и веригите за доставки, както и опазването на персоналните данни.
-----------------------------------------------
Коментар на Бойе Транум и Петер Хелстрьом за RUSI, мозъчен концерн за защита и сигурност, основан в Лондон
