כשתשתית הטעינה של רכבים חשמליים (EV) ממהרת לעמוד בקצב העלייה הדרמטית במכירות כלי רכב חשמליים בארצות הברית, כבר החלו פושעי סייבר וחוקרי אבטחת סייבר כאחד להתמקד בחולשות האבטחה של התשתית. האקרים כבר תקפו תחנות טעינה לרכב חשמלי (EV) ומומחי אבטחה קוראים לתקני אבטחת סייבר במטרה להגן על המרכיב ההכרחי הזה של עתיד הרכבים החשמליים.
בפברואר גילו חוקרי סייבר יחד עם חברת אבטחת סייבר ברשת האנרגיה Saiflow שתי נקודות תורפה ב- Open Charge Point Protocol (OCPP) שיכולות לשמש במתקפת מניעת שירות מבוזרת (DDoS) וגניבת מידע רגיש. המעבדה הלאומית של איידהו גילתה לאחרונה שכל מטען שהיא בחנה – הידוע יותר בשם Electric Vehicle Supply Equipment (EVSE) – הפעיל גרסאות מיושנות של לינוקס, כלל שירותים מיותרים ואיפשר לשירותים רבים לפעול כברירת מחדל. מתקפות פוטנציאליות אחרות כוללות יריב באמצע (AitM) ושירותים החשופים לאינטרנט הציבורי. הסיכונים הם לא רק תיאורטיים: לפני שנה, לאחר שרוסיה פלשה לאוקראינה, תקפו האקטיביסטים תחנות טעינה ליד מוסקבה כדי להשבית אותן ולהפגין את תמיכתם באוקראינה ואת הבוז שלהם לנשיא רוסיה ולדמיר פוטין.
חששות אבטחת הסייבר מתגברים כאשר מכירות כלי רכב חשמליים נסקו בארצות הברית ומהווים 5.8% מכלל כלי הרכב שנמכרו בשנת 2022, עלייה מ- 3.2% בשנה הקודמת. על פי משרד האנרגיה האמריקאי, נכון לעכשיו פחות מ- 51,000 תחנות טעינה מהירה ברמה 2 ו- DC זמינות בארה"ב, המייצגות את היכולת להטעין 130,000 כלי רכב בו זמנית. עם יותר מ- 1.5 מיליון כלי רכב חשמליים רשומים נכון ליוני 2022, ישנם 11 כלי רכב לכל יציאת טעינה ציבורית. כדי לעמוד בקצב הביקוש, יש לחברות הגדולות במגזר טעינת EV תוכניות התרחבות משמעותיות וממשל ביידן שואף להגדיל את מספר מטעני הרכב ל- 500,000 עד 2030.
לדברי פיל טונקין – מנהל בכיר לאסטרטגיה בחברת Dragos – ספקית אבטחת סייבר תעשייתית, בזמן שמומחי אבטחת סייבר חוששים מהחופזה ליצור תשתית טעינה מקיפה העלולה לבוא על חשבון אבטחת הסייבר, שאלת המוכנות לאבטחת סייבר היא חשובה במיוחד לאור הקישוריות של התשתית והיכולת לגרום נזק באמצעות גישה למתח גבוה זמין: "רוב מטעני EV יכולים להיחשב כטכנולוגיית האינטרנט של הדברים (IoT) והם מהראשונים שיש להם שליטה על כמות כה משמעותית של עומס חשמלי" וכן: "הסיכון המצטבר של כל כך הרבה מכשירים המחוברים לעתים קרובות למספר קטן של מערכות בודדות, אומר שצריך ליישם טכנולוגיה מסוג זה בזהירות".
במובנים רבים, תשתית טעינת EV מייצגת "סערה מושלמת" של טכנולוגיות. המכשירים מחוברים באמצעות יישומים ניידים ונושאים את אותם סיכונים כמו מכשירי IoT אחרים, אבל הם גם אמורים להפוך לחלק קריטי ברשת התחבורה בארצות הברית, כמו טכנולוגיות תפעוליות אחרות (OT). מכיוון שתחנות טעינת EV חייבות להיות מחוברות לרשתות ציבוריות, תהיה תקשורת מוצפנת קריטית לשמירה על אבטחת המכשירים, אומר טונקין: "האקטיביסטים יחפשו תמיד מכשירים מאובטחים בצורה גרועה ברשתות ציבוריות וחשוב שבעלי EV יישמו בקרות כדי להבטיח שהם לא מטרות קלות". גם תחנות טעינה ביתיות מהוות בעיה: כ- 80% מהטעינה מתבצעת בבית, לפי נתוני הפעלה של ChargePoint. אולם למרבה הצער, ייתכן שקל יותר לשבש את המכשירים הללו מכיוון שהצרכנים אינם מספיק עירניים לאבטחת סייבר: "זה לא מעשי שלקוח מקומי ממוצע צריך ליישם אבטחת סייבר, לכן ווידוא שהמכשיר עצמו והשיטות שהוא משתמש בו כדי לתקשר עם שירותים מבוססי ענן צריכים להיות תמיד באחריות הספק", לדברי טונקין.
יש הטוענים כי על ממשלת ארה"ב להעמיד לרשות החברות תקנים ושיטות עבודה מומלצות כדי למנוע חולשות אבטחת סייבר. Sandia National Laboratories למשל, המליצו על מספר יוזמות לחיזוק אבטחת הסייבר, כולל שיפור האימות וההרשאה של בעלי EV, הקשחת האבטחה לרכיב הענן של תשתית הטעינה והקשחת יחידות הטעינה בפועל מפני שיבוש פיזי. הממשלה יכולה לחייב יצור מטענים מאובטחים לרכבים חשמליים, אולם חברות מוכוונות תקציב לא תמיד בוחרות את ההטמעות המאובטחות ביותר בסייבר, אמר בריאן רייט – מומחה לאבטחת סייבר ב- Sandia והוסיף כי במקום זאת, יכולה הממשלה לתמוך ישירות בתעשייה על ידי ייעוץ, תקנים ושיטות עבודה מומלצות.