Laddstationer är inte bara gränssnitt mellan elfordon och strömförsörjningen, utan är också kopplade till varandra via backend. Den nära kopplingen till energiförsörjning och därmed till kritisk infrastruktur gör själva laddningsinfrastrukturen till en sårbar nyckelkomponent. Därför betraktas laddningsinfrastrukturen allt mer som en potentiell attackpunkt, som det däremot sällan tas hänsyn till i ett säkerhetskoncept. Mot denna bakgrund är cybersäkerhet en avgörande faktor i laddstationer och bör därför ges en motsvarande hög prioritet. Hur Juice förebygger cyberattacker läser du här.

1. Hot om cyberattacker: en verklig, ofta underskattad fara
2. Varför är det relevant för laddningsinfrastruktur?
3. Hur kan man motverka det som laddstationstillverkare?
4. Facit

1. Hot om cyberattacker: en verklig, ofta underskattad fara

En studie från IT-branschorganisationen Bitkom (en representativ enkät till mer än 1 000 företag i alla branscher) visade att 84 procent av utfrågade tyska företag blev offer för cyberattacker av olika typ, bl.a. datastöld, spionage eller sabotage, under 2021. Den totala förlusten uppgår inom rekordåret 2021 till 223 miljarder euro – mer än dubbelt så mycket som 2018/2019 då den fortfarande låg på 103 miljarder euro. Dessutom blir angriparna också allt mer professionella.

2. Varför är det relevant för laddningsinfrastruktur?

E-mobiliteten har blivit en drivkraft för digitaliseringen av motoriserad privattransport. De olika källorna till faror som härrör från otillräcklig programvarusäkerhet underskattas emellertid ofta av nystartade företag eller företag som hittills inte har fokuserat så mycket på programvaran. Interoperabiliteten mellan bilar, laddstationer, energihanteringssystem och nätleverantörer ökar ständigt. Det innebär en ökad risk för avbrott som kan orsaka problem för mer än bara individuella elektroniska system. Alla uppkopplingar innebär också en eventuell sårbarhet för hackerattacker. Med andra ord kan laddningsinfrastrukturen potentiellt användas som inkörsport för cyberbrottslingar – med graverande följder för operatören.

Risker i samband med laddningsinfrastruktur

1. Datastöld
2. Elstöld
3. Manipulering av lasthanteringen
4. Spionage på personers laddning, och sedan inbrott i byggnaden

De sträcker sig från stöld av kunddata, via elstöld, genom till exempel obehörig aktivering av laddstationen för att ladda fordon på laddstationsinnehavarens bekostnad, till hackning av lasthanteringen, för att dra maximal effekt från alla laddstationer som är i drift samtidigt, därmed överbelasta nätkabeln och orsaka ett strömavbrott. Detta är möjligt eftersom en intelligent, reglerbar lasthantering är kopplad till en backend via internet.
Hackningen kan antingen också göras via internet eller ett ”Man in the middle”-scenario: Om laddstationerna kommunicerar med varandra via WLAN kan angriparen fånga upp signalen och skicka vidare en förfalskad signal. Den förändrade signalen kan till exempel alltid stänga av laddstationerna efter fem minuters laddningstid, eller starta alla laddstationer på maximal nivå eller till och med växelvis starta och stänga av dem. Matningsledningen överbelastas då, vilket utlöser säkringen. På så sätt kan, så fort det finns en heltäckande lasthantering, inte bara enskilda hus utan även hela stadsdelar, industriföretag, städer och länder hotas, utpressas och sättas ur spel.
Men faran för den privata sektorn får absolut inte ignoreras. Inbrottsgäng skulle kunna övervaka användarens laddningsbeteende via lasthanteringssystemet, härleda beteendemönster från detta och – så snart de registrerar avvikelser – slå till. I klartext: Om en laddstation inte drar ström vid de vanliga tiderna skulle man kunna dra slutsatsen att de boende är på semester och utnyttja möjligheten att bryta sig in.

3. Hur kan man motverka det som laddstationstillverkare?

”Security by design”

Den lättaste åtgärden är att minska de cyberrelaterade riskerna. För detta är det grundläggande att tänka säkerhetsorienterat. För laddningsinfrastrukturen betyder det att säkerheten behöver förankras redan på idé- och utvecklingsstadiet. För att säkerställa en heltäckande säkerhetsstruktur börjar detta ”Security by design”-synsätt vid upphandlingen av maskinvarukomponenter och löper genom hela programvaruutvecklingen, som omfattar samtliga kommunikationsprocesser. Alla uppkopplingar innebär nämligen risker för säkerhetsluckor. Då det uppstår många programvarusårbarheter redan under utvecklingsfasen är det viktigt att integrera programvarusäkerhet i utvecklingsprocessen redan från början, vilket hos Juice kallas ”Software first”-tillvägagångssättet. Användningen av allmänt erkända kodningsstandarder, kodanalysverktyg och regelbunden kodgranskning bidrar till att minska riskerna. Best Practices bidrar till en effektivare kvalitetssäkring.
På företagsnivå kan attacker förebyggas effektivt genom tekniska försiktighetsåtgärder, kontinuerlig övervakning och specifik personalutbildning. Att säkerhetskopiera ofta och ha en väl genomtänkt beredskapsplan bidrar till att avsevärt minimera skadorna från en lyckad cyberattack. För att bevisa kompetens inom cyberförsvaret, och skicka en signal om engagemang i allt vad informationssäkerhet och dataskydd heter, kan man överväga en certifiering enligt ISO 27001 – något som Juice redan har implementerat.

E-mobilitetssäkerhet – ett helhetskoncept

På Juice ser vi elektromobilitetens säkerhet som ett omfattande koncept som inte bara omfattar den mekaniska säkerheten, utan också användningssäkerheten och datasäkerheten. Som leverantör till biltillverkare är vi fast övertygade om att laddstationer måste uppfylla bilindustrins högsta standarder.
Vårt ingenjörsteam använder proprietära kretsuppsättningar och krypterade kommunikationssystem, och testar kontinuerligt robustheten i vår cybersäkerhet, såväl internt som i nära samarbete med oberoende programvarutekniker. Juice-laddstationerna är bland de första som uppfyller ISO-standarden 15118. Detta garanterar en säker dataförbindelse mellan infrastruktur och fordon och skyddar mot obehörig tillgång utifrån.

SS-ISO 21434

Dessutom är Juice som tillverkande företag certifierat enligt ISO/SAE 21434 ”Road vehicles – Cybersecurity engineering” och har därmed bevis på riskhantering vid produktutveckling. Denna standard omfattar alla faser i ett fordons livscykel: med början i utvecklingen, ända fram till skrotningen, och kräver tillämpning av cybersäkerhetsåtgärder på alla elektroniska system, komponenter, programvara och externa förbindelser.
Även om standarden tekniskt sett inte täcker infrastruktur utanför fordonet är laddningsinfrastrukturen en integrerad del i elfordonsekosystemet. Som en följd berörs säkerheten i laddningsprocesser, och tillhörande kommunikationssystem, direkt av ISO/SAE 21434. Vi är väl medvetna om detta samband och ser till att Juice laddningsinfrastruktur motsvarar högsta säkerhetsstandard. Detta engagemang höjer säkerheten för produktutvecklare, tillverkare av originalutrustning (OEM) och deras leverantörer.
Vi är OEM-leverantörer och tillverkar i Automotive-certifierade fabriker. Eftersom ISO 21434 Cybersecurity Engineering också täcker cybersäkerhetshanteringen i hela leveranskedjan är certifieringen för Juice en användbar komplettering. Men det viktigaste är att främja en företagskultur med cybersäkerhet på första parkett, från första början, i varje projekt.

4. Facit

Världen blir mer och mer uppkopplad, även i transportsektorn. I e-mobiliteten spelar laddstationerna en avgörande roll som knutpunkter i ett nätverk som intelligent förbinder fordon, hushållssystem och energileverantörer med varandra. Programvaran är nyckeln till dessa uppkopplingsmöjligheter, eftersom hela systemets anslutningar, säkerhet och framtidssäkerhet beror på den.
För ett effektivt skydd mot cyberattacker krävs det en lika holistisk förståelse för elektromobiliteten som ett uppkopplat helhetssystem. Slutligen kräver just sådana kritiska infrastrukturer som trafik och energi ett extra skydd, där cybersäkerheten spelar en avgörande roll. Utvecklings- och produktfilosofin som Juice Technology eftersträvar bygger på detta: ”Software first” och ”Security by design”. Företag som Juice kan, genom att sätta cybersäkerhet i centrum för sin strategi, bidra till att garantera elektromobilitetens säkerhet och stabilitet.

Relaterade ämnen

• https://juice.world/e-mobility-security/ (ISO/SAE 21434)
• https://juice.world/e-mobility-security-juice-erhaelt-internationale-zertifizierung-fuer-cybersicherheit/ (ISO 27001)
• https://juice.world/e-mobility-security-sicherheit-braucht-aufmerksamkeit/ (JWCD 2021)

externa källor

• https://www.businessinsider.de/gruenderszene/sponsored-post/sophos-cybersecurity/cybersecurity-in-unternehmen-sophos/?utm_campaign=copy&utm_medium=onsite_button&utm_source=social&tpcc=offsite_bigs_sharing_free_copy
• https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022