Seguridad e Infraestructura de Recarga de Vehículos Eléctricos

Seguridad e Infraestructura de Recarga de Vehiculos Electricos

Con más países alcanzando la punto de inflexión Para la adopción de vehículos eléctricos (EV), es más urgente que nunca que los sectores público y privado inviertan en infraestructura de carga de EV. Un ecosistema de carga de vehículos eléctricos sólido y altamente seguro es esencial para garantizar la disponibilidad y la estabilidad de la red, brindar una experiencia de carga perfecta a los conductores y lograr un transporte sin emisiones.

La buena noticia es que la construcción de la infraestructura de carga de vehículos eléctricos está cobrando impulso. La desventaja es que los riesgos de seguridad cibernética están creciendo junto con la infraestructura de carga, y los ciberdelincuentes están comenzando a darse cuenta.

Hoy en día, los propios cargadores de vehículos eléctricos son el objetivo principal, con ataques que van desde plantar ransomware hasta secuestrar cargadores. pantallas de mensajes con contenido objetable o políticamente motivado. En una importante llamada de atención a los fabricantes, un especialista en seguridad de sombrero blanco demostró vulnerabilidades de hardware y software del cargador EV. Hacks recientes también han demostrado que los vehículos eléctricos también están en riesgo.

Las vulnerabilidades son más amplias que los cargadores y los vehículos eléctricos

Las redes de comunicaciones que conectan los cargadores con su sistema de gestión, los datos personales que viajan a través de esas redes, los operadores de los puntos de carga que cobran los pagos y la propia red son cada vez más vulnerables a medida que crece el ecosistema EV y se expande la superficie de ataque. Los riesgos incluyen (pero no se limitan a):

  • Interrupción de las operaciones de las redes de cargadores públicos, inutilizando una gran cantidad de cargadores e interfiriendo con el transporte
  • Adquisición de redes de cargadores para utilizar los cargadores como bots en ataques masivos de denegación de servicio distribuido (DDoS)
  • Robo de información de identificación personal (PII) de los clientes, incluida la información de la tarjeta de pago
  • Pagos fraudulentos por electricidad utilizada en la carga de vehículos eléctricos
  • Interrupción de la red eléctrica, lo que provoca apagones y daños en los equipos.
  • Daño a la reputación del proveedor de carga de vehículos eléctricos

Como saben los expertos en seguridad de TI, cada vez que tiene comunicaciones digitales entre dos puntos, tiene una vulnerabilidad potencial. Cuando un EV se conecta a un cargador en red, se produce una cascada de comunicaciones bidireccionales entre varias computadoras: entre el vehículo y el cargador, el cargador y la aplicación móvil del conductor, el cargador y la red, el cargador y el sistema de administración de back-end. , el sistema de gestión y una pasarela de pago, y el sistema de gestión y el operador del punto de recarga. Esa es una amplia superficie de ataque.

Se necesita coordinación y compromiso en todo el ecosistema de carga de vehículos eléctricos para lograr la seguridad integral necesaria para proteger las redes de carga de vehículos eléctricos, los datos personales y de pago y la red.

Los estándares y protocolos ofrecen un camino a seguir

Los proveedores de soluciones de administración de energía y carga de vehículos eléctricos deben comprometerse con los protocolos y estándares de la industria, desarrollados por consorcios globales como Open Charge Alliance (OCA) y la Organización Internacional para la Estandarización (ISO), y las protecciones que brindan. También lo hacen otros actores de la industria, como los fabricantes de cargadores de vehículos eléctricos y sus subproveedores, los fabricantes de automóviles y los servicios públicos.

La clave para la seguridad de la red es el Protocolo de Punto de Carga Abierto (OCPP). Gobierna las comunicaciones entre las estaciones de carga y un sistema de gestión central. La última versión incorpora estándares para la configuración de conexión segura, eventos de seguridad y registro, y actualizaciones de firmware seguras.

Otra medida esencial es ISO 27001, un marco integral que cubre los controles legales, físicos y técnicos involucrados en los procesos de gestión de riesgos y seguridad de la información de una empresa. El cumplimiento garantiza que todos los procesos, procedimientos y herramientas relevantes se implementen y monitoreen para proteger la plataforma de carga EV.

ISO 15118.20 es un estándar internacional que se actualizó en 2022 para reforzar los requisitos de seguridad para las comunicaciones bidireccionales entre una estación de carga y un vehículo eléctrico. El estándar proporciona la capacidad de enchufar y cargar, que utiliza certificados de seguridad para identificar automáticamente el EV en el cargador y autenticar un método de pago. También rige el intercambio de datos necesarios para el vehículo a la red (V2G), que envía la energía almacenada en la batería EV de regreso a la red eléctrica.

Las mejores prácticas de seguridad de TI brindan protección de múltiples capas

La primera mejor práctica de seguridad de TI que las empresas del ecosistema de carga de vehículos eléctricos deben considerar es organizativa: contratar a un director de seguridad de la información (CISO). Con una amplia superficie de ataque que defender y la necesidad de proteger los datos de ataques internos y externos, el CISO debe trabajar en estrecha colaboración con el director de tecnología (CTO) para coordinar la seguridad de TI y la seguridad de la infraestructura de carga de vehículos eléctricos.

Las comunicaciones y el intercambio de datos entre el software de gestión en la nube, los cargadores de vehículos eléctricos, los vehículos eléctricos y la red eléctrica pueden protegerse mediante las mejores prácticas de seguridad de TI, como la infraestructura de clave pública (PKI) X.509, la seguridad de la capa de transporte (TLS), la «tunelización» segura » a través de Internet y el cifrado de datos.

Los proveedores de infraestructura de carga de vehículos eléctricos también deben preocuparse por las normas de privacidad de datos específicas de la PII. Cualquier organización que transporte, maneje o almacene PII debe cumplir con el Reglamento General de Protección de Datos (GDPR) en la UE, la Ley de Protección de Información Personal (APPI) en Japón, la Ley de Privacidad del Consumidor de California (CCPA) y la nueva Ley de Derechos de Privacidad de California (CPRA).

El cumplimiento de los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y los estándares de seguridad SOC 1 proporciona los controles y medidas de seguridad para proteger las transacciones con tarjetas de crédito y débito durante la transmisión y el almacenamiento. Los controles incluyen el uso de tokens en lugar de datos legibles y el almacenamiento solo de los últimos cuatro dígitos de una tarjeta de crédito. Las salvaguardas inteligentes para los sistemas de gestión de facturación deben reconocer y prevenir el pago fraudulento.

Los sistemas de detección y respuesta de punto final (EDR) monitorean continuamente los dispositivos conectados a la plataforma de administración de carga EV, identifican intrusiones y permiten una respuesta rápida para que los ciberdelincuentes no puedan penetrar en la red y pasar a otros componentes, ya sea el software de administración, el automóvil o la red. .

Y realizar pruebas anuales de penetración de infraestructura y aplicaciones es esencial para descubrir vulnerabilidades potenciales y construir un plan sólido para resolverlas.

La comida para llevar final

Proteger la infraestructura de carga de vehículos eléctricos de los ciberdelincuentes es un trabajo para todos los participantes en el ecosistema. Ya sea que esté considerando alojar cargadores EV en su lugar de trabajo o sea un participante activo en el ecosistema, la seguridad debe ser una prioridad. Una conclusión clave de la industria de la seguridad de TI es el reconocimiento de que esta será una batalla perpetua. Cuanto más crece el ecosistema de carga de vehículos eléctricos, más valor monetario ofrece a los ciberdelincuentes. El desafío de adelantarse a los malos actores y responder rápidamente cuando se conocen amenazas desconocidas, nunca termina.

Fuente del artículo

Deja un comentario