Em 2022, as vendas globais de veículos elétricos (VE) aumentaram 60% em todo o mundo e um em cada sete automóveis de passageiros comprados em todo o mundo era elétrico. Em contraste, apenas cinco anos antes, apenas um em cada 70 automóveis comprados era um veículo elétrico. Atualmente a procura por VE por parte dos consumidores está a atingir um máximo histórico, mas o crescimento deste setor pode implicar desafios de segurança sem precedentes.
A indústria automóvel de elétricos está a atravessar numa fase de rápida expansão. Estão a surgir novas estações de carregamento de veículos elétricos nos parques de estacionamento e pelas ruas de todo o mundo. No entanto, as novas instalações podem levar os cibercriminosos a atacar as redes de carregamento de veículos elétricos, os próprios veículos e/ou as redes elétricas ligadas, explicou a Check Point Software Technologies Ltd., empresa especializada mundialmente em soluções de cibersegurança para empresas e governos a nível mundial.
Risco dos carregadores de veículos elétricos
Para muitos dispositivos ligados a redes pelo que uma preocupação são as medidas de cibersegurança que foram “aparafusadas”, mas não “incorporadas”. A cibersegurança foi, em grande medida, um pensamento tardio. No caso dos carregadores de veículos elétricos, a situação é descrita pela Check Point por uma perspetiva particularmente inquietante, uma vez que os carregadores estão interligados com outras infraestruturas.
Para o Instituto Nacional de Normas e Tecnologia (NIST, na sigla em inglês a enorme preocupação com a cibersegurança em relação respeito às estações de carregamento de veículos elétricos:
“O EVSE, equipamento de abastecimento de veículos elétricos, é suportado por eletrónica, tanto para carregar o veículo como para facilitar as comunicações, pelo que o EVSE é suscetível a vulnerabilidades e ataques de cibersegurança. O EVSE também liga dois setores críticos, como a redes de operadores de transportes e energia que nunca estiveram ligados eletronicamente antes. Isto cria o potencial para ataques que podem ter impactos significativos em termos monetários, interrupções de negócios e segurança humana.”
Exemplos do mundo real
Os ciberataques que exploram os pontos fracos das estações de carregamento de veículos elétricos podem causar flutuações e cortes de energia, uma vez que os ataques alterariam subitamente as necessidades das redes de carregamento. Em alternativa, será que um ciberataque poderia desativar completamente a infraestrutura de carregamento de veículos elétricos, deixando os condutores sem energia? Isto seria semelhante a um corte no abastecimento de combustível, que quase ocorreu na costa leste dos EUA, durante o ataque ao Colonial Pipeline.
Os exemplos acima representam apenas uma pequena parte dos cenários perigosos sobre os quais os investigadores de cibersegurança e de equipamento de abastecimento de veículos elétricos escreveram. Alguns investigadores já se depararam com vulnerabilidades que poderiam permitir que os cibercriminosos desligassem remotamente os carregadores de veículos elétricos ou roubassem eletricidade.
Enquanto sociedade e no seio da comunidade da cibersegurança, a Check Point indica que é preciso trabalhar em conjunto para fazer face a este tipo de risco cibernético.
Abordagem do risco
Embora a lista de formas de abordar o risco não seja exaustiva, oferece bons pontos de partida:
Segmentação da rede e do hardware: A indústria deve aproveitar os componentes de confiança e criar uma arquitetura segmentada. Assim, um perigo num setor não se transformaria necessariamente num perigo lateral para um setor adjacente.
Segurança do software: As empresas do ecossistema dos veículos elétricos devem utilizar software seguro. A implementação do princípio do “privilégio mínimo” é fundamental, uma vez que garante que o software funcione com o nível de permissão mais baixo possível.
Monitorização e planeamento da resposta a incidentes: Os produtores de equipamentos para veículos elétricos devem monitorizar continuamente os sistemas para detetar ciberactividades maliciosas e devem estar preparados para o aparecimento de ciberameaças. As empresas podem querer explorar soluções MDR/MPR.
Integrar a segurança, em vez de a colocar de parte: A cibersegurança tem de ser integrada no software, nas operações de implementação de hardware e muito mais. Além disso, temos de ter em conta o fator humano na discussão sobre o risco cibernético. Por exemplo, os técnicos precisam de ser devidamente formados e autorizados antes de se envolverem com a infraestrutura.
A Check Point lembrou que mais de um milhão de linhas de código estão incorporadas em muitos dos automóveis atuais. O software automóvel nunca foi tão complexo. Agora, o desafio é como protegê-lo.