Rozwój elektromobilności ma swoją mniej oczywistą stronę. Jak ostrzega Rzeczpospolita, stacje ładowania aut elektrycznych mogą stać się narzędziem cybersabotażu wymierzonego w sieć energetyczną. Urządzenie, które codziennie ładuje samochód, w rękach atakującego bywa czymś w rodzaju konia trojańskiego.

Na czym polega zagrożenie

Nowoczesne ładowarki są stale podłączone do internetu, bo pozwala to zdalnie nimi zarządzać, rozliczać płatności i monitorować pracę. Ta sama łączność czyni je jednak potencjalnym celem. Gdyby ktoś przejął kontrolę nad wieloma stacjami naraz, mógłby jednocześnie włączać i wyłączać duże obciążenia, sztucznie wywołując gwałtowne skoki zapotrzebowania i destabilizując lokalną sieć.

To nie jest scenariusz rodem z filmu. Skoordynowany atak na rozproszone urządzenia to jeden z realnych sposobów, w jaki można próbować uderzyć w infrastrukturę krytyczną, nie zbliżając się fizycznie do żadnej elektrowni.

54 krytyczne luki

Skalę problemu pokazują badania niemieckiego Federalnego Urzędu do spraw Bezpieczeństwa Informacji (BSI). W ciągu dwóch lat eksperci wykryli 54 krytyczne podatności w dziesięciu popularnych, komercyjnych modelach ładowarek. Ponad połowa z nich pozwalała na zdalne, bezwarunkowe uruchomienie złośliwego kodu z uprawnieniami administratora, czyli w praktyce na pełne przejęcie urządzenia.

Na zagrożenie zwracają uwagę także firmy zajmujące się cyberbezpieczeństwem. Analitycy wskazują, że wiele podłączonych do sieci urządzeń projektowano z myślą przede wszystkim o funkcjonalności, a nie o odporności na ataki. Osobną kwestią jest pochodzenie sprzętu i podzespołów, w tym komponentów spoza Europy, co budzi pytania o zaufanie do całego łańcucha dostaw.

A Polska?

W polskim kontekście obraz jest na razie spokojniejszy. Zespół reagowania NASK oraz resort cyfryzacji informują, że do tej pory nie odnotowano incydentów bezpieczeństwa dotyczących stacji ładowania. Polskie Sieci Elektroenergetyczne przyznają jednak, że lokalne, regionalne problemy w sieci są teoretycznie możliwe.

Paradoksalnie Polska może być w tej dziedzinie w nieco lepszej sytuacji niż część Europy Zachodniej. Nasza infrastruktura ładowania powstawała później, już z wykorzystaniem nowszych, szyfrowanych protokołów komunikacji, co utrudnia część znanych ataków.

Jak się bronić

Eksperci wskazują kilka podstawowych kierunków. To przede wszystkim szyfrowanie komunikacji, rezygnacja z domyślnych haseł administracyjnych, wieloskładnikowe uwierzytelnianie oraz oddzielanie systemów sterujących od publicznego internetu. Rośnie też znaczenie testów bezpieczeństwa urządzeń przed dopuszczeniem ich na rynek.

Wnioski są uniwersalne. Wraz z transformacją energetyczną i rozwojem elektromobilności liczba podłączonych do sieci urządzeń będzie rosła, a każde z nich to potencjalny punkt wejścia. Bezpieczeństwo trzeba więc projektować od początku, a nie dodawać je dopiero po pierwszym poważnym incydencie.