Грузовые перевозки

Незащищенные зарядные станции для электромобилей могут содержать вредоносное программное обеспечение для электромобилей, создавая риски кибербезопасности и ответственности для компаний, строящих собственные сети зарядки.

Автор: Арджун Рамадеванахалли

Поскольку киберриски электромобилей растут, тщательное планирование закупок может предотвратить головную боль

Изображение зарядного устройства эпохи электрической эры, заряжающего автомобиль. Разрешение предоставлено Electric Era

Арджун Рамадеванахалли — юрист компании Morgan, Lewis & Бокиус.

Быстрое внедрение электромобилей высвобождает накопившийся спрос на зарядную инфраструктуру. Национальная лаборатория возобновляемых источников энергии Министерства энергетики, которая отслеживает ежеквартальный рост инфраструктуры зарядки электромобилей, наблюдает устойчивый из года в год рост количества портов для поставок оборудования для общественных электромобилей, или EVSE. По оценкам NREL, стране потребуется развернуть около 200 000 портов быстрой зарядки постоянного тока EVSE (150 кВт или выше) и около 1 миллиона общедоступных зарядных портов EVSE уровня 2 для поддержки более 30 миллионов электромобилей, которые, по оценкам, будут находиться в дороге к 2030 году. представляет прекрасную возможность для представителей отрасли, но также представляет уникальные риски с точки зрения кибербезопасности.

Слияние цифровых устройств в экосистеме электромобилей представляет собой богатую среду для киберпреступников. EVSE включает в себя множество взаимосвязанных платформ, подключение к инфраструктуре электросетей и обмен операционными и клиентскими данными, и все это распределено по широкому географическому охвату. Крупномасштабная компрометация EVSE, подключенного к сети, может вызвать сбои в системе распределения электроэнергии из-за изменения структуры нагрузки или напряжения в системе. Злоумышленники также могут внедрить вредоносное программное обеспечение в электромобиль клиента, сначала скомпрометировав незащищенную зарядную станцию, к которой этот электромобиль в конечном итоге подключается.

Снижение этих киберрисков эффективно начинается с цепочки поставок. Поставщики и покупатели должны гарантировать, что закупки для EVSE и сопутствующих услуг учитывают киберриски на протяжении всего жизненного цикла своих проектов. Хорошей новостью является то, что отрасль и федеральные партнеры осознали необходимость усиления кибербезопасности на этапе заключения контракта — Объединенное управление энергетики и транспорта недавно выпустило руководство по формулировкам закупок в области кибербезопасности. Поставщики и покупатели должны учитывать следующие руководящие принципы при разработке EVSE.

Начните снижать риски на этапе закупок

Покупатели, оценивающие поставщиков EVSE, должны участвовать в мероприятиях по снижению рисков кибербезопасности, проводя оценку рисков поставщика. Оценка рисков поставщика обычно включает в себя некоторую проверку мер безопасности, репутации, процедур и более широкой программы кибербезопасности поставщика с целью присвоения рейтинга риска желаемым закупкам. Оценка рисков может помочь выявить уязвимости или потенциальные риски, исходящие от поставщика, и определить, может ли покупатель адекватно смягчить эти риски самостоятельно или посредством положений контракта. Оценки рисков поставщика также могут использоваться покупателями на постоянной основе или через стороннего инспектора для оценки состояния кибербезопасности поставщика.

Сбалансируйте киберриск и ответственность в контрактах на поставку

Сторонам контрактов EVSE необходимо будет найти правильный баланс между разделением киберрисков и управлением потенциальной ответственностью за инциденты кибербезопасности. Поставщики в сфере технологий часто предоставляют продукты по контрактам, которые ограничивают или полностью отказываются от ответственности. Однако набирает силу изменить этот баланс и потребовать от поставщиков нести ответственность за кибербезопасность за незащищенные продукты и услуги. Перенесение ответственности на продавцов и поставщиков было ключевой целью Национальной стратегии кибербезопасности Белого дома, опубликованной ранее в этом году, в которой отмечалось, что «ответственность должна быть возложена на заинтересованные стороны, наиболее способные принять меры для предотвращения плохих результатов, а не на ни конечные пользователи, которые часто страдают от последствий небезопасного программного обеспечения, ни разработчик с открытым исходным кодом компонента, интегрированного в коммерческий продукт».

Покупателям EVSE следует использовать доступные инструменты, такие как описанная выше оценка рисков, чтобы тщательно взвесить киберриски соглашения и определить соответствующую долю ответственности за кибербезопасность. Как минимум, контракты должны предусматривать сценарии, в которых поставщик несет ответственность за обязательства, возникающие в результате инцидентов кибербезопасности или несоблюдения необходимых стандартов обслуживания.

Стремление к принципам безопасности при проектировании

< р>Компании, которые строят свои собственные сети зарядки или заключают контракты с другими компаниями на выполнение этой работы, должны учитывать вопросы кибербезопасности на протяжении всего жизненного цикла EVSE, чтобы гарантировать, что продукт «безопасен по своей конструкции». На инженерном языке термин «защищенный по дизайну» относится к продукту, который был разработан так, чтобы быть максимально защищенным от уязвимостей. Готовые продукты, представленные сегодня на рынке, не разработаны с учетом этих принципов и могут быть развернуты со значительными уязвимостями безопасности. Покупателям и поставщикам необходимо будет уделять особенно пристальное внимание рискам кибербезопасности на протяжении всего жизненного цикла EVSE — от концепции до вывода из эксплуатации, — которые возникают из-за аппаратного и программного обеспечения в их цепочках поставок, чтобы избежать проблем в дальнейшем.

Покупателям и поставщикам следует рассмотреть инструменты для повышения прозрачности и содействия безопасному развитию. Стороны могут вести переговоры о принятых методах и стандартах безопасного проектирования, которые будут служить руководством для работы. Стороны также могут полагаться на такие инструменты, как спецификации оборудования и программного обеспечения, для инвентаризации каждого компонента EVSE и обеспечения целостности аппаратного и программного обеспечения, которое он содержит.

Эффективные киберпрактики в посттранзакционных услугах

Покупателям, которые покупают или арендуют EVSE, часто требуется определенная степень постоянной поддержки в рамках долгосрочного соглашения об обслуживании или аналогичного соглашения. Контракты на эти услуги должны охватывать базовые методы обеспечения кибербезопасности, такие как реагирование на инциденты, уведомления о нарушениях и управление уязвимостями (например, обновление антивирусных сигнатур). Постоянное взаимодействие между поставщиками услуг и субподрядчиками с EVSE покупателя также создает множество точек соприкосновения, которые представляют уникальные киберриски. Удаленный доступ является одним из примеров.

Покупатели должны ограничить доступность удаленного доступа, где это возможно, и гарантировать, что поставщик услуг разрешает выполнять работу только авторизованному персоналу в соответствии с соглашением об обслуживании. Покупатель также должен гарантировать, что любые обязательства, согласованные поставщиком услуг, такие как проверка биографических данных его персонала, будут «перетекать» и на субподрядчиков поставщика услуг, выполняющих работу.

Не существует «серебряной пули», гарантирующей идеальную кибербезопасность, и контракты не смогут снизить все будущие риски в быстро развивающейся отрасли EVSE. Но тщательное планирование на этапе закупок может избавить компании от головной боли в будущем и помочь раскрыть весь энергетический потенциал экосистемы электромобилей.