Hoće li električni automobili i kamioni biti sljedeće igralište za hakere?
Neki stručnjaci za cyber sigurnost dižu uzbunu, opisujući uznemirujuće scenarije mogućih napada koji uključuju vozila koja izlete s ceste ili se zapale.
Električna vozila su prepuna čipova i softvera koji kontrolišu sve, od njihovih baterija i motora do tempomata i kočenja. Također se gotovo svakodnevno uključuju na punjače, šaljući informacije naprijed-nazad preko mreža za punjenje ili interneta. Bežično komuniciraju s kompanijama koje su ih proizvele, prodavačima električnih vozila, mobilnim i kućnim Wi-Fi mrežama i aplikacijama na telefonima njihovih vlasnika.
Ova kombinacija ogromne računarske snage i brojnih internetskih veza predstavljat će primamljivu priliku za digitalne diletante, jer se predviđa da će se milioni električnih vozila pojaviti u narednih nekoliko godina, kažu stručnjaci za cyber sigurnost.
„To je veoma složen ekosistem različitih igrača i različitih skupova tehnologija. To pokazuje koliko potencijalnih ulaza postoji za hakere,” kaže Benjamin Klein, partner u McKinsey & Co. koji je specijaliziran za cyber sigurnost.
Mogućnost iz noćne more: Hakeri šire zlonamjerni softver na hiljade ili milione električnih vozila. Napadi paraliziraju automobile sve dok njihovi vlasnici ne plate naknadu, na isti način na koji ransomware može ugasiti računarsku mrežu dok hakeri ne dobiju novac. Što je još gore, hakeri bi mogli pokvariti sistem za punjenje EV-a i preopteretiti baterije, potencijalno ih zapaliti, ili preuzeti kontrolu nad ubrzanjem i kočenjem vozila, što može dovesti do nesreće.
„Zamislite da automobili počnu da voze nasumično“, kaže Stuart Madnick, profesor i stručnjak za cyber sigurnost na Sloan School of Management pri Massachusetts Institute of Technology. „To je sasvim u okvirima izvodljivosti.“
Druge mogućnosti, kažu stručnjaci, uključuju hakere koji preuzimaju kontrolu nad mrežama za punjenje i koriste ih za krađu informacija kupaca ili čak rušenje dijelova električne mreže.
Do sada su prijavljena hakovanja bila relativno mala. Prošlog februara, nakon ruske invazije na Ukrajinu, ugašeni su punjači duž glavnog autoputa u Rusiji, a na ekranima su počeli da se prikazuju proukrajinski slogani. U aprilu su hakovani javni punjači na britanskom ostrvu Wight kako bi na svojim ekranima prikazali pornografiju.
No, Sandia National Laboratories Ministarstva energetike SAD-a prošle godine upozorili su u izvještaju da “trenutno ne postoji sveobuhvatan… pristup cyber sigurnosti” u industriji električnih vozila ili punjača, te da bi cyber napadi mogli usporiti prihvatanje EV-a. U međuvremenu, zvaničnici Bidenove administracije su u oktobru održali forum Bijele kuće iza zatvorenih vrata s proizvođačima električnih vozila, komponenti za električna vozila i punjača kako bi naglasili potrebu za strožim sigurnosnim kontrolama.
Evo detaljnijeg pogleda na neke od rizika cyber sigurnosti koje predstavljaju električna vozila i punjači i šta bi se moglo učiniti da se ranjivosti svedu na minimum.
EV rizici
Loši akteri imaju mnogo potencijalnih načina da uvedu zlonamjerni softver ili malware u električna vozila i mnogo načina da izazovu nered ako to učine.
U električnim vozilima, većina mehaničkih karakteristika vozila sa unutrašnjim sagorijevanjem – klipovi, ventili, radilice, karburatori, pumpe za gas i vodu – zamijenjena je elektronikom. Čipovi i softver kontrolišu kako se baterije pune, kako prenose električnu energiju do motora, kako motori ubrzavaju i kako vraćaju električnu energiju u baterije tokom kočenja, između ostalih aktivnosti.
Dok luksuzni automobil sa unutrašnjim sagorijevanjem može imati oko 150 elektronskih kontrolnih jedinica, „to nije ništa u poređenju sa 3.000 čipova koje vidimo u prosječnom EV-u“, kaže Syed Ali, partner i stručnjak za cyber sigurnost u konsultantskoj firmi Bain & Co. EV takođe koristi milione više linija računarskog koda, kaže on.
Ipak, uprkos ovom velikom oslanjanju na računarsku tehnologiju, „mi smo u veoma nezreloj i ranoj fazi“ u zaštiti cyber sigurnosti EV-a, kaže gospodin Ali.
Posebno zabrinjavaju periodična ažuriranja softvera koja proizvođači električnih vozila bežično prenose u automobile svojih kupaca. Ako bi haker mogao umetnuti zlonamjerni softver u ova ažuriranja, to bi potencijalno moglo oštetiti stotine hiljada automobila.
„Znamo da se to može učiniti“, kaže Jim Guinn, globalni lider cyber industrije u konsultantskoj firmi Accenture.
Demonstracija iz 2015. koja je uključivala Jeep Cherokee pružila je primjer iz stvarnog života kako hakeri mogu iskoristiti sigurnosne propuste u automobilu povezanom s internetom. Istraživači su daljinski provalili u elektroniku vozila preko mobilne veze i preuzeli kontrolu nad njegovim upravljačem, gasom i kočnicama slanjem komandi sa laptopa sa višekilometarske udaljenosti. Vozač, reporter magazina Wired, nije mogao da zaustavi SUV od slijetanja u jarak. Proizvođač automobila je naknadno povukao 1,4 miliona vozila kako bi instalirao softverski patch kako bi popravio ranjivost.
Taj džip je bio standardno vozilo sa unutrašnjim sagorijevanjem. EV-ovi, ističe gospodin Ali, nude daleko više ciljeva za cyber napad.
Gospodin Guinn iz Accenturea kaže da nisu samo čipovi, komunikacijske veze i stalni spojevi punjača ono što EV vozila čini podložnim hakiranju. To je i zato što je industrija koja ih stvara mlada i u žurbi.
„Brzo prihvatanje [EV-a], brzi ciklusi testiranja, brzi rast broja proizvedenih jedinica stvaraju mogućnosti da se ranjivosti ne provjeravaju ili ne spoznaju“, kaže on.
Lake mete?
Stručnjaci za cyber sigurnost opisuju brojne načine na koje hakeri mogu zaraziti električna vozila i punjače zlonamjernim softverom
Vozila: Čipovi i softver kontroliraju većinu funkcija električnih vozila, uključujući punjenje, ubrzanje i kočenje. Hakeri bi mogli ubaciti malware u ažuriranja softvera koje proizvođači električnih vozila prenose u automobile, oštetivši vozila ili preuzimajući kontrolu nad njima, kažu stručnjaci za cyber sigurnost.
Kućni punjači: kućni punjači za EV komuniciraju s kompanijama koje su ih proizvele, a ponekad i s električnim aparatima, Wi-Fi ruterima, mobilnim mrežama i telefonskim aplikacijama. Istraživači kažu da bi hakeri mogli iskoristiti ove veze za instaliranje zlonamjernog softvera.
Javni punjači: Stručnjaci kažu da bi hakeri mogli instalirati zlonamjerni softver u javne punjače tako što bi povezivali laptope na njih, hakovali internetske veze punjača ili zarazili vozila koja koriste punjače. Zlonamjerni softver bi se tada mogao proširiti mrežom punjača.
Savez za automobilske inovacije, glavna američka trgovačka grupa u automobilskoj industriji, odbila je razgovarati o konkretnim potencijalnim prijetnjama od električnih vozila, ali je u izjavi rekla da je “cyber sigurnost glavni prioritet za proizvođače automobila” i da su njeni članovi “prilagodili dobro ocijenjene okvire za upravljanje cyber sigurnošću iz drugih konteksta i industrija.”
Najveći proizvođač električnih vozila, Tesla Inc., nije član trgovačke grupe i nije odgovorio na zahtjev za komentar. Ali na svojoj web stranici kaže da cijeni doprinos istraživača cyber sigurnosti o mogućim ranjivostima u svojim vozilima. “Istražiti ćemo legitimne izvještaje i uložiti sve napore da brzo ispravimo svaku ranjivost”, kažu.
Kućni punjači
Stručnjaci predviđaju da će se većina EV punjenja odvijati u kućama vlasnika automobila. Kućni punjači mogu biti i sigurnosni rizici.
Kada je vozilo priključeno na 240-voltni punjač nivoa 2, koji omogućava brže punjenje baterije od punjača koji se priključe na standardne kućne utičnice od 120 volti i često dolaze uz vozilo, informacije o baterijama automobila, nivou napunjenosti i drugim podacima se komuniciraju dvosmjerno sa kompanijom koja je napravila punjač, a ponekad i sa električnim uređajima. Ovi vodovi bi mogli biti kanali za zlonamjerni softver, kažu stručnjaci.
Štaviše, mnogi kućni punjači povezani su s Wi-Fi mrežom vlasnika i aplikacijom za pametne telefone ili s mobilnom mrežom, nudeći više potencijalnih vektora napada.
U 2021. godini, sigurnosna firma Pen Test Partners ispitala je šest brendova “pametnih” punjača koji se koriste u SAD-u i Velikoj Britaniji, a koji vlasnicima električnih vozila omogućavaju daljinski nadzor i upravljanje punjenjem. Otkriven je niz nedostataka, od kojih bi neki mogli omogućiti hakerima da preuzmu kontrolu nad uređajima ili učitaju potencijalno zlonamjerni softver na njih.
Genevieve Cullen, predsjednica Electric Drive Transportation Association, trgovačke grupe, kaže da proizvođači električnih vozila i punjača, i povezane industrije “rade zajedno, i sa regulatorima, kako bi osigurali siguran i pouzdan sistem električnog transporta – od elektrana do vozila i javnih i kućnih punjača.”
Javne mreže za punjenje
Više od 160.000 javnih punjača instalirano je u američkim trgovačkim centrima, odmorištima na autoputu, poslovnim parkovima i drugdje. Federalni zakon o infrastrukturi iz 2021. predviđa sredstva za pomoć u izgradnji još 500.000.
Stručnjaci kažu da relativni nedostatak sigurnosti u infrastrukturi za punjenje čini napade na njih mogućim.
“Neke mreže za punjenje električnih vozila su vrlo nesigurne jer nisu dizajnirane sa sigurnošću na umu,” kaže g. Guinn. “Dizajnirani su s obzirom na pouzdanost i bezbjednost.”
Istraživači sa Univerziteta Concordia u Montrealu, Sandia Labs i drugdje kažu da bi zlonamjerni softver mogao biti uveden u ove uređaje i mreže koje ih pokreću na različite načine.
Hakeri bi mogli fizički prilagoditi punjače – recimo, uključivanjem prijenosnih računala ili drugih uređaja koji sadrže zlonamjerni softver u njihove USB portove ili druge pristupne portove. Mogli bi se daljinski povezati s punjačem preko internet veze i instalirati zlonamjerni softver. Ili bi mogli ubaciti zlonamjerni softver u EV koji bi se prebacio na punjač kada se vlasnik vozila uključi.
Jednom kada se softver instalira na jedan punjač, moguće je da se distribuira kroz cijelu mrežu punjača, kažu istraživači. Tada bi hakeri mogli držati mrežu kao taoca i zahtijevati plaćanje otkupnine, ili čak napasti električnu mrežu koristeći mrežu punjača da crpe više energije nego što je lokalna mreža sposobna prenijeti.
Hakeri bi također mogli pokrenuti napad u drugom smjeru – korištenjem računara mreže za punjenje da zaraze sama vozila. „Svako priključenje automobila omogućava da njegov softver bude izložen softveru koji je modifikovan ili neovlašćen na stanici za punjenje EV-a“, kaže gospodin Ali.
Uz takve napade, kriminalci bi mogli ukrasti vlasničke podatke o računu za punjenje električnih vozila i koristiti ih za besplatno punjenje ili pokušati oštetiti električni sistem automobila, između ostalog.
Postoje neki sigurnosni standardi koje su kreirale industrijske grupe, poput onih sadržanih u softveru koji kontrolira komunikaciju između mreža za punjenje i centralnih računara koji njima upravljaju. Ali ne pridržavaju se sve mreže za punjenje tih standarda, kažu istraživači cyber sigurnosti.
Udruženje za punjenje električnih vozila, trgovačka grupa za industriju javnih mreža za punjenje, kaže da industrija razumije važnost cyber sigurnosti i shvaća je vrlo ozbiljno.
“Sigurnost naših električnih mreža je od kritične važnosti dok prelazimo na električna vozila”, navodi grupa u saopćenju. S obzirom na to da se industrija inovira tako velikom brzinom, “imperativ je da cyber sigurnost stavimo na prvo mjesto u razvoju ovih inovacija, poput softvera, komunikacijskih protokola i čitača plaćanja.”
Šta se može učiniti?
Stručnjaci kažu da se industrija električnih vozila i industrije punjenja moraju udružiti kako bi zajedno stvorili jače i šire sigurnosne protokole, poput onih u vezi sa firewallima računara i mreže i autentifikacijom korisnika – i slijedili ih.
Udruženje za automobilske inovacije kaže da podržava „javni/privatni pristup sa više dioničara koji ocrtava jasne uloge i odgovornosti u cyber sigurnosti, uključujući provajdere infrastrukture za punjenje električnih vozila, kako bi se zaštitili od cyber prijetnji“.
Drugi kažu da su potrebni pojačani nadzor i regulacija vlade.
Neka pomoć će doći od zakona o infrastrukturi, koji zahtijeva od Federalne uprave za autoceste da implementira standarde fizičke i cyber sigurnosti za javne punjače koje finansira.
U septembru je Nacionalna uprava za sigurnost saobraćaja objavila vlastite revidirane smjernice za cyber sigurnost za industriju vozila. Među njima su i one koje imaju za cilj spriječavanje bežičnih napada savjetujući proizvođače automobila da “ograniče veze između bežično povezanih ECU-a (elektronskih kontrolnih jedinica)” i sistema za kontrolu vozila “kao što su kočenje, upravljanje, pogon i upravljanje snagom”.
Ali ove smjernice nemaju zakonsku snagu.
Prof. Madnick kaže da savezni zakon također ne zahtijeva od kompanija da prijave plaćanja ransomware-a osim onih koji utiču na kritičnu infrastrukturu. To znači da obim i priroda ovih napada nisu u potpunosti poznati, što otežava provođenje mjera za njihovo ograničavanje.
Možda će biti potreban veliki cyber napad na infrastrukturu električnih vozila prije nego što industrija i zakonodavci preduzmu ozbiljne korake kako bi ih spriječili, kažu neki stručnjaci.
„Ponekad nam je potreban poziv za buđenje“, kaže prof. Madnick.
Članak „Could Electric Vehicles Be Hacked?“, autora Bart Zieglera, preveden je sa portala The Wall Street Journal.
