Waarom de cybersecurity van laadstations waterdicht moet zijn

Hoe belangrijk is cybersecurity voor laadstations van elektrische auto’s? ‘Elektrische laadinfrastructuur is een aanlokkelijk doelwit voor hackers en heeft daarom een zeer hoog beschermingsniveau nodig’, zegt Chris van de Stadt van EVBox. ‘In het ergste geval kan een gehackt laadstation in een particuliere garage leiden tot een nationale black-out.’

Dat heeft alles te maken met digitalisering. Zonder digitalisering kan bijvoorbeeld de transformatie van vervoer niet worden gerealiseerd in de korte tijd die de Green Deal van de EU heeft bepaald. Maar digitalisering leidt ook tot vergaande connectiviteit. Software-oplossingen vragen voortdurend om onderhoud en updates, die tegenwoordig meestal ‘over-the-air’ worden uitgerold via een permanente internetverbinding met WLAN of mobiele communicatie.

Welkom bij het IoT

Deze connectiviteit is wenselijk. Naast snelle en regelmatige updates maakt het ook het opzetten van autonome thuissystemen mogelijk. Alle elektrische componenten van een huis kunnen dan aan elkaar worden gekoppeld en de elektriciteit van eigen zonnepanelen kan bijvoorbeeld rechtstreeks aan de elektrische auto worden geleverd.

Zelfs particuliere laadstations leveren continu gegevens aan andere onderdelen van het thuissysteem voor evaluatie. Fabrikanten, laadpuntheerders (CPO’s) en netbeheerders vertrouwen op deze gegevens. Met hun hulp kunnen de laders en het netwerk worden geoptimaliseerd en kan overbelasting van worden voorkomen. Daartoe stellen netwerkproviders bijvoorbeeld belastingprofielen op waarmee ze de stroom kunnen regelen en sturen. Voorwaarde hiervoor is een permanente verbinding met de publieke en privé laadinfrastructuur.

Dit maakt laadstations, evenals elektrische auto’s, integraal onderdeel van het Internet of Things, afgekort het IoT. Cybercriminaliteit is momenteel booming, en grootschalige datastromen met constante internetconnectiviteit zijn een lucratief doelwit. Een inval in deze systemen kan bijvoorbeeld worden gebruikt om gegevens te stelen of netwerken te infiltreren.

De vertakte verbindingen met vele interfaces tussen fabrikanten, exploitanten en netwerkproviders zijn dus zowel een vloek als een zegen. Veel interfaces betekenen veel potentiële kwetsbaarheden. Als een hacker inbreekt door één van deze kwetsbaarheden te gebruiken, kunnen de gevolgen van grote omvang zijn.

Door een privaat laadstation aan te vallen met bijvoorbeeld malware of ransomware zouden aanvallers toegang kunnen krijgen tot beveiligde thuisnetwerken. Hierdoor zouden ook accountconnecties, smart home-systemen en zelfs de elektrische auto gevaar lopen via de internetverbinding van het laadstation. Het is denkbaar dat de stroomvoorziening binnenshuis wordt stilgelegd door ransomware en dat deze alleen door het betalen van losgeld weer kan worden vrijgegeven.

De schade van slecht beveiligde laadstations voor particulieren kan dus enorm zijn. Het wordt echter nog erger wanneer aanvallers het laadstation gebruiken als toegangspoort tot een veel groter netwerk. Er is immers meestal een verbinding met grote elektriciteitsleveranciers of de fabrikanten van de laadstations om gegevens te verzamelen. In het ergste geval kunnen hackers andere thuisnetwerken binnendringen en de stroomvoorziening van meerdere huishoudens of zelfs hele steden onderbreken. Hetzelfde geldt voor openbare laadstations. Als ze bij een ziekenhuis horen, kan een slecht beveiligd laadstation voor elektrische auto’s zelfs mensenlevens in gevaar brengen.

Van een onveilig laadstation tot een potentiële black-out

Een succesvolle aanval op het load management zou een enorme verstoring kunnen veroorzaken. Hackers zouden deze software bijvoorbeeld kunnen gebruiken om in delen van een land de stroom uit te schakelen of de toevoer te manipuleren. Het is ook mogelijk dat de stroomvoorziening wordt opgedreven en daardoor het hele net wordt overbelast. Het ergste resultaat hiervan zou een black-out zijn.

De veiligheid van stroomvoorzieningen kan door verschillende factoren en op diverse niveaus worden gewaarborgd. Zoals eerder vermeld, ontstaan er verschillende interfaces wanneer meerdere componenten van het IoT in een netwerk worden opgenomen. Als deze niet allemaal hetzelfde beveiligingsniveau hebben, bestaat het risico van een aanval via het minst veilige punt in het netwerk.

Hackers bedenken voortdurend nieuwe manieren om beveiligingsmaatregelen te ondermijnen of om ze simpelweg uit de weg te gaan. Dit betekent ook dat zij de huidige beveiligingsnormen meestal een stap voor zijn en daarom moet de infrastructuur regelmatig worden bijgewerkt naar de laatste – en veiligste – stand van zaken.

Vanaf het begin op het ergste voorbereid

Omdat hackers een voorsprong hebben in aanvalsstrategieën, blijft hun kans op succes groot. De sector kan zich alleen voorbereiden op wat hij al kent. Het onbekende vormt nog steeds een groot gevaar. Daarom komen malafide inbreuken in diverse systemen nog steeds voor. In zo’n geval geldt voor de infrastructuur en EV-industrie hetzelfde principe als voor iedereen: bereid je zo goed mogelijk voor op het ergste.

Daarom omvat een solide beveiligingsconcept een kant-en-klare strategie voor weerbaarheid die de schade bij een calamiteit zo beperkt mogelijk moet houden. Regelmatige back-ups bieden bijvoorbeeld enige speelruimte bij een ransomware-aanval. Als je de systemen kunt herstellen met behulp van de back-ups, is het betalen van ‘losgeld’ niet nodig. Vooral als het gaat om kritieke infrastructuur is veerkracht essentieel om mobiliteit en de beschikbaarheid van energie op de lange termijn te garanderen.

Het toenemende aantal elektrische voertuigen leidt ook tot een toenemend aantal laadstations. Deze worden een integraal onderdeel van de infrastructuur en moeten als zodanig speciale bescherming krijgen. Dit moet op verschillende niveaus gebeuren en regelmatig worden vernieuwd. De mobiliteitstransitie kan niet worden doorgezet als deze niet voldoende beveiligd is. Immers, in tegenstelling tot overbelasting van het netwerk door ‘te veel’ elektrische voertuigen, bestaat het risico van een black-out door een gebrek aan cyberbeveiliging wel degelijk.