Estações de carregamento rápido EV e unidades de geração de energia solar e eólica podem representar uma ameaça à medida que nossa rede se torna cada vez mais vulnerável a ataques cibernéticos
Os provedores de rede não devem dissociar a cibersegurança ao considerar investir na confiabilidade e resiliência da rede. Na verdade, as três áreas trabalham juntas.
O impacto dos ataques cibernéticos não se limita à perda potencial de informações de identificação pessoal (PII) ou de propriedade intelectual, mas também dos níveis de serviço de operações.
A título de exemplo, considere o ataque de ransomware em 2021 na Colonial Pipeline, que roubou 100 gigabytes de dados em apenas algumas horas. O incidente interrompeu os sistemas de TI da Colonial por vários dias, ilustrando o impacto operacional que os hackers cibernéticos podem produzir. Deixando de lado o vetor e o motivo do ataque, o ponto é que esse hack cibernético resultou em um impacto significativo para as operações de TI da rede e para seus clientes, principalmente as transportadoras aéreas que dependiam do combustível da Colonial Pipeline. Igualmente impactadas foram as centenas de postos de gasolina do sudeste dos Estados Unidos que, em vários casos, ficaram sem combustível, embora isso tenha acontecido principalmente devido ao pânico irracional que levou os indivíduos a comprarem exageradamente. Dessa maneira, não é de surpreender que os consumidores não ficaram satisfeitos.
Novas preocupações
Um setor que está emergindo rapidamente no qual a interseção entre cibersegurança, confiabilidade e resiliência é evidente é no caso dos Recursos Energéticos Distribuídos (DER), um exemplo de IoT Industrial para a rede.
Como a rede depende cada vez mais de DER, como estações de carregamento rápido EV, unidades de geração solar e eólica – nossa rede se torna cada vez mais vulnerável a hackers, especialmente quando levamos em consideração que a superfície de vetor de ataque total é desconhecida. Dado o crescimento explosivo envolvendo uma gama de provedores do ecossistema, que variam desde fornecedores de hardware, de nuvem e de fontes de energia – muitos sendo start-ups – a confiabilidade e resiliência dessas empresas também são vistas pelas lentes da segurança.
Conforme destacado na publicação especial NIST 1800-32A do Centro Nacional de Excelência em Cibersegurança (NCCOE) de fevereiro de 2022, “Qualquer ataque que possa negar, interromper ou adulterar as comunicações DER pode impedir que um utilitário execute as ações de controle necessárias e pode diminuir a resiliência da rede”. Com a rápida mudança de concessionárias de rede controladas centralmente para servidores de borda da rede, surgem desafios únicos que, se não forem resolvidos, podem ter um impacto devastador na integridade, privacidade e acesso dos dados de clientes e provedores, bem como na confiabilidade e resiliência.
Dada essa interdependência, uma concessão – especialmente negação de serviço – para qualquer um desses componentes/players poderia causar grandes danos na disponibilidade e/ou desempenho de todo o ecossistema.
Outro item que merece atenção é o Guia de Proteção da Distribuição de Recursos de Energia do NIST, que os participantes do DER são fortemente encorajados a seguir.
Além disso, um relatório de julho de 2022 (SAND2022-9315) do Sandia National Laboratories destaca a crescente preocupação com o impacto das vulnerabilidades cibernéticas das estações de carregamento EV na adoção do usuário no caso de um grande incidente. O relatório também examina os efeitos em cadeia que podem ocorrer nos setores críticos da infraestrutura, como sistemas de energia e manufatura, devido a equipamentos de abastecimento de veículos elétricos (EVSE), veículos elétricos (EVs) ou sistemas de comunicação da operadora da rede mal implementados. No momento da publicação, Sandia declarou que havia poucas práticas recomendadas adotadas pela indústria de EV/EVSE.
NCCOE avançando com o CyberSecurity Framework
Uma área em particular que vem sido observada de perto pelo NCCOE é a Infraestrutura de Carregamento Rápido EV Extreme (https://www.nccoe.nist.gov/projects/cybersecurity-framework-profile-electric-vehicle-extreme-fast-charging-infrastructure). O NCCOE reconhece a natureza distribuída, a necessidade de escala, a conectividade instável – bem como as novas oportunidades – que o carregamento EV Extreme Fast apresenta. Dessa maneira, o NCCOE reuniu uma comunidade de interessados e especialistas para contribuir com a criação de um framework que os fabricantes de estações de carregamento e veículos elétricos, redes de nuvem de carregamento e concessionárias de energia elétrica possam utilizar para obter as melhores práticas na implementação de segurança desde o design. (https://www.nccoe.nist.gov/projects/cybersecurity-framework-profile-electric-vehicle-extreme-fast-charging-infrastructure.)
Embora os conceitos sejam tradicionais – autenticação, controle de acesso, confidencialidade, integridade de dados, monitoramento, etc. – a implementação deles neste ecossistema emergente traz novos desafios, além de oportunidades de inovação. Um exemplo disso é a existência de dados em repouso e em trânsito entre os principais subsistemas conectados como estações de carregamento (EVSE), veículos elétricos (EVs), Cloud/redes de carregamento de terceiros e concessionárias de energia elétrica. Esses, por sua vez, exigem um método de transação interoperável, altamente confiável e seguro, uma vez que os vetores de ataque são numerosos, expondo operadoras de rede e clientes a todos os tipos de vulnerabilidades.
Como dito anteriormente, muitos dos endpoints que precisam ser protegidos são categorizados como IoT Industrial e, por isso, podem contar com proteções tradicionais que estão em vigor nas redes de TI há décadas.
O momento atual não poderia ser mais adequado para que haja o alinhamento do crescente ecossistema EV com as melhores práticas de cibersegurança, e encorajo todas as partes interessadas a participar desse processo ou, pelo menos, seguir os conselhos do próximo produto de trabalho que provavelmente será repleto das melhores e mais funcionais práticas apresentadas em um framework, além de incluir um conjunto de cenários que abordam casos de uso comuns e específicos, necessidades de confiabilidade e resiliência.