טעון שיפור: עמדות הטעינה לרכב חשמלי הן גן עדן להאקרים

מכל חולשות האבטחה באקוסיסטם של הרכב החשמלי, נקודה אחתמסתמנת כפופולרית במיוחד בקרב ההאקרים: התשתיות לטעינת אותם כלי רכב. ארגונים בענף, כמו SAE (איגוד מהנדסי הרכב האמריקאי) וגם האו"ם, כבר הובילו בהצלחה אימוץ רגולציות ותקנים מחמירים להגנת סייבר על כלי רכב מקושרים וחשמליים, אבל בכל הנוגע לתשתיות התומכות באותם רכבים, האבטחה בינתיים נשארת מאחור - והאיום רק גדל מדי יום.

כבר עכשיו, פריצה של עמדות טעינה לרכב חשמלי לא מתבצעת רק לצורך הטענה בחינם של הרכב. תוקפי סייבר משתמשים בפריצות גם לצורך הצהרות פוליטיות. בפריצה לאחת מעמדות הטעינה, למשל, נכתב “Putin is a d***head” במחאה על פלישת רוסיה לאוקראינה. לכאורה, לא מזיק, אבל הפריצה הזו היא דוגמה לסוג המתקפות שתחנות הטעינה והתשתית לרכב החשמלי פגיעות אליהן במיוחד.

ההיסטוריה מראה, שכל יעד שקשור לתשתיות והינו עתיר משאבים יהיה תמיד מטרה מועדפת לגורמים בעלי כוונת זדון. בשנת 2021 חברת האנרגיה האמריקאית Colonial Pipeline היתה קורבן למתקפת סייבר של גורמים זרים עקב סיסמה שנפרצה. בסופו של דבר, הנכס שנפרץ עלה לחברה דמי כופר בסכום של 4.4 מיליון דולר, בנוסף לעצירת תהליכי אספקת הדלק בחוף המזרחי של ארצות הברית. תארו לעצמכם שמתקפה כזו מתרחשת על תשתית טעינת הרכב החשמלי, שבה בקליפורניה לבדה הושקעו 55 מיליון דולר. גם בישראל, תהליכי הקמת תחנות הטעינה בעיצומם וגורמים מרכזיים במשק, בהם חברות אנרגיה, חברות בניה, יבואני רכב ואחרים נערכים להקמת רשתות של תחנות טעינה לרכבים הללו.

לפני שמדברים על הפתרון כדאי לזהות בבירור את הבעיה ולסקור כמה מהגורמים שהופכים את תשתיות הטעינה ל"גן עדן של האקרים":

1. השילוב של משטח תקיפה פגיע עם דאטה יקר

תחנת הטעינה עצמה היא רק חזית של תשתית מורכבת ומסובכת הרבה יותר. אף על פי שהעמדה מחוברת לרשת, הנקודה הפגיעה ביותר נמצאת בגוף המערכת, ביחידת בקרה מרכזית (CCU) שהופכת את עמדת הטעינה למכשיר מקושר ((IoT). באמצעות יחידת הבקרה, העמדה יכולה לתקשר דרך רשת אלחוטית כדי ליצור תקשורת מכונה-למכונה (machine-to-machine). היא מנהלת את איסוף הנתונים, כולל מיקום ונתונים כמו כתובות דוא"ל של בעלי הרכב, כרטיסי אשראי ומספרי IP שהם בעלי ערך גבוה במיוחד לתוקפי סייבר. מכיוון שיצרני רכב וחברות תשתיות מנהלים את גביית התשלום על טעינת הרכב דרך אפליקציות בטלפונים ניידים, משטח ההתקפה יכול להתרחב גם לנתונים שנאספו על ידי הטלפון הנייד, כולל נתוני מיקום והיסטוריית התנהגות מקוונת.

2. יותר מדי טבחים במטבח אחד

התשתיות לרכב החשמלי ייחודיות בכך שהן משלבות גורמים שונים מענפי תעשיה רבים. שרשרת האספקה היא ענפה ובעלת קישוריות, וכתוצאה מכך הגישה לאבטחת סייבר אינה שגרתית כמו אבטחת כלי רכב לפני 50 שנה. בדומה לכך, גם חולשות האבטחה מפוזרות באופן נרחב יותר. בעוד שיחידת הבקרה היא בין התחומים הפגיעים ביותר, יש נקודות חולשה גם בתוך העמדות עצמן, בתוך הציוד שאחראי על החיבורים בין רשת החשמל לעמדת הטעינה וכן בתוך הנכסים שיושבים בצד של רשת החשמל. כל אחת מהנקודות היא בבעלות של גורם אחר: חלקן של חברות שירותי תשתית ואחרות של חברות תשתית הנפט או הטעינה. כל אחת מהנקודות גם תוכננה על ידי מספר גורמים, כולל יצרני רכב והספקים שלהם.

3. אימוץ מהיר גורם לרשלנות

המומנטום (כלומר, הכסף) שמעודד את אימוץ הרכב החשמלי הוא הרבה מעבר למה שניתן היה לצפות לפני עשור. לפי סוכנות Bloomberg NEF, מכירות רכב חשמלי יעלו מ-6.6 מיליון רכבים בשנה ב-2021 ל-20.6 מיליון כלי רכב ב-2025 - צמיחה של 312% במשך חמש שנים בלבד. באיחוד האירופי בלבד 30 מיליון כלי רכב חשמליים חדשים צפויים לעלות על הכביש ב-5 השנים הקרובות.

בפברואר 2022 הציג ממשל ביידן תוכנית בהיקף 5 מיליארד דולר לפריסת רשת תחנות טעינה לרכב חשמלי לאורך כבישים בין מדינתיים. גם החוק להפחתת האינפלציה (Inflation Reduction Act) מקדם את ייצור הרכב החשמלי - כולל השקעה משמעותית בחברות בענפי קלינטק וסוללות. הצעת חוק התשתיות בסך טריליון דולר לשיפוץ כבישים וגשרים כוללת גם סעיף של השקעה משמעותית בתשתיות טעינה. הצמיחה הזו לא יכולה להתרחש בחלל ריק וחיוני להבטיח את תפקידן של תחנות הטעינה. ככל שהביקוש מזנק, הצורך באבטחת סייבר של כלי הרכב נמצא מאחור - מה שעלול להביא לפרוטוקולים מרושלים של אבטחת סייבר המיושמים כלאחר יד, במקום לשלב אותם כבר בשלב התכנון.

4. אין סוף לסוגי ההתקפה הפוטנציאליים

הפריצות הראשונות לתחנות טעינה התמקדו בהצגת הודעות בוטות של ההאקרים, אבל זו רק ההתחלה. חברות אירופיות בתחום החשמל ואנרגיית הרוח (Deutsche Windtechnik AG, Enercon GmbH ו-Nordex SE) סבלו מהתקפות דרך תחנות טעינה מקושרות. ההתקפות התפרשו על פני יותר תחומים ממה שחשבנו שאפשרי במקור, כולל, בין השאר, עצירת זרם האלקטרונים, גניבת מידע ותשלומים, וגניבת זהויות. שיבושים בשירות הפכו לבעיה נרחבת שהביאה לתסכול של הצרכנים ולהפחתת ההכנסה הכוללת.

מה התעשיה יכולה לעשות בנידון? ובכן, ארגונים כמו SAE (איגוד מהנדסי הרכב החשמלי), האו"ם, NHTSA (מינהל הבטיחות בכבישים המהירים הפדרלי), Auto ISAC, משרד האנרגיה הישראלי, וארגונים נוספים כבר פיתחו ויישמו רגולציות ותקנים מצליחים עבור יצרני הרכב לצורך הגנה על כלי רכב מקושרים וחשמליים. כעת, יש להשקיע תשומת לב דומה בהגנה על התשתיות לטעינת הרכב החשמלי. בפני הרשת הענפה של תחנות טעינה עומדות בעיות רבות, אך ישנם גם פתרונות פוטנציאליים רבים. ריבוי הגורמים המעורבים מחייב שיתוף פעולה ביניהם. לכן חשוב שכולם יפעלו יחד, כדי להגן בסופו של יום על הצרכנים.

רועי פרידמן הוא מנכ"ל הסטארט-אפ C2A Security