Takie pęknięcia mogłyby umożliwić hakerom dostęp do danych pojazdu lub danych kart kredytowych konsumentów, mówi Ken Munro, współzałożyciel Pen Test Partners. Ale być może najbardziej niepokojącą słabością było dla niego to, że podobnie jak w przypadku testów Concordii, jego zespół odkrył, że wiele urządzeń pozwalało hakerom na dowolne zatrzymanie lub rozpoczęcie ładowania. Może to spowodować, że sfrustrowani kierowcy nie będą mieli w pełni naładowanego akumulatora, gdy go potrzebują, ale to skumulowane skutki mogą być naprawdę katastrofalne.
„Nie chodzi o twoją ładowarkę, chodzi o ładowarkę wszystkich w tym samym czasie” — mówi. Wielu użytkowników domowych pozostawia swoje samochody podłączone do ładowarek, nawet jeśli nie pobierają one prądu. Mogą na przykład podłączyć się po pracy i zaplanować ładowanie pojazdu na noc, gdy ceny będą niższe. Jeśli haker miałby włączyć lub wyłączyć tysiące lub miliony ładowarek jednocześnie, mogłoby to zdestabilizować, a nawet doprowadzić do awarii całych sieci elektroenergetycznych.
„Nieumyślnie stworzyliśmy broń, której państwa narodowe mogą użyć przeciwko naszej sieci energetycznej” — mówi Munro. Stany Zjednoczone przekonały się, jak taki atak może wyglądać w 2021 r., kiedy hakerzy przejęli Colonial Pipeline i zakłócili dostawy benzyny w całym kraju. Atak zakończył się, gdy firma zapłaciła miliony dolarów okupu.
Główną rekomendacją firmy Munro dla konsumentów jest niepodłączanie domowych ładowarek do Internetu, co powinno zapobiec wykorzystaniu większości luk w zabezpieczeniach. Większość zabezpieczeń musi jednak pochodzić od producentów.
„Obowiązkiem firm oferujących te usługi jest upewnienie się, że są one bezpieczne” — mówi Jacob Hoffman-Andrews, starszy technolog w Electronic Frontier Foundation, organizacji non-profit zajmującej się prawami cyfrowymi. „Do pewnego stopnia musisz ufać urządzeniu, do którego się podłączasz”.
Firma Electrify America odrzuciła zaproszenie na rozmowę. W odniesieniu do problemów udokumentowanych przez Malcolma i Kilowatów, rzecznik Octavio Navarro napisał w e-mailu, że incydenty były pojedyncze, a poprawki zostały szybko wdrożone. W oświadczeniu firma stwierdziła: „Electrify America stale monitoruje i wzmacnia środki mające na celu ochronę nas samych i naszych klientów oraz koncentruje się na ograniczaniu ryzyka w projektowaniu stacji i sieci”.
Partnerzy Pen Test napisali w swoich ustaleniach, że firmy w większości reagowały na naprawianie zidentyfikowanych luk, a ChargePoint i inni wypełniali luki w mniej niż 24 godziny (chociaż jedna firma stworzyła nową dziurę, próbując załatać starą). Projekt EV nie odpowiedział partnerom Pen Test, ale ostatecznie wdrożył „silne uwierzytelnianie i autoryzację”. Eksperci twierdzą jednak, że nadszedł już czas, aby branża wyszła poza to podejście do cyberbezpieczeństwa.
„Wszyscy wiedzą, że jest to problem i wiele osób próbuje dowiedzieć się, jak najlepiej go rozwiązać”, mówi Johnson, dodając, że widzi postępy. Na przykład wiele publicznych stacji ładowania przeszło na bezpieczniejsze metody przesyłania danych. Ale jeśli chodzi o skoordynowany zestaw standardów, mówi, „nie ma zbyt wielu regulacji”.
Pojawił się pewien ruch w kierunku zmiany tego. Ponadpartyjna ustawa o infrastrukturze z 2021 r. przewidywała około 7,5 miliarda dolarów na rozbudowę sieci ładowania pojazdów elektrycznych w całych Stanach Zjednoczonych, a administracja Bidena uczyniła część tej inicjatywy z cyberbezpieczeństwa. Zeszłej jesieni Biały Dom zwołał producentów i decydentów, aby przedyskutować sposób zapewnienia odpowiedniej ochrony coraz ważniejszego sprzętu do ładowania pojazdów elektrycznych.
„Nasza infrastruktura krytyczna musi spełniać podstawowy poziom bezpieczeństwa i odporności” — mówi Harry Krejsa, główny strateg w biurze National Cyber Director w Białym Domu. Argumentował również, że wzmacnianie cyberbezpieczeństwa pojazdów elektrycznych polega zarówno na budowaniu zaufania, jak i ograniczaniu ryzyka. Bezpieczne systemy, jak mówi, „dają nam pewność, że nasze cyfrowe fundamenty nowej generacji pozwalają mierzyć wyżej, niż moglibyśmy osiągnąć inaczej”.
