אבטחת סייבר ברשתות טעינת רכב חשמלי: מדריך מעשי למפעילים ולרוכשים

/ / Published in פתרונות טעינה לרכב חשמלי
Cybersecurity in EV Charging Networks

מתקן טעינה יכול לכלול תכנית תעריפים נכונה של חברת החשמל, שילוב מתאים של מטענים, ותאימות כלכלית מוצקה – ועדיין לתפקד בצורה גרועה אם אבטחת מידע (סייבר) מטופלת כהמשך מחשבה לאחר מעשה. ברגע שהמטענים תלויים בתוכנת ענן, מערכות תשלום, חיבורי נדידה ותמיכה מרחוק, הרשת מפסיקה להיות רק נכס חשמלי. היא הופכת לסביבת טכנולוגיה תפעולית (OT) עם חשיפה ממשית להשבתות, כשלים בשליטה וסיכוני מידע.

עבור מפעילים וקונים, השאלה המעשית היא לא האם רשתות טעינת רכב חשמלי (EV) יכולות להיות מותקפות. אלא אילו כשלים הכי חשובים לעסק: נעילות מרחוק, הפצות קושחה תקועות, זרמי תשלום שבורים, נתוני זמינות כוזבים, רשומות משתמשים חשופות, או התאוששות איטית לאחר שתלות בפלטפורמה אחת נכשלת. תוכניות האבטחה הטובות ביותר בנויות סביב זמינות גבוהה, אחריותיות ויכולת התאוששות, ולא סביב שפה תואמת תקנים מופשטת.

מדוע אבטחת מידע היא החלטה תפעולית

בטעינת רכב חשמלי (EV), אבטחת מידע אינה רק נושא של מערכות מידע (IT). היא משפיעה ישירות על זמינות המטענים, מוכנות הצי, רווחיות האתר וממשל הספקים.

חשבון ניהולי שנפרץ יכול לנטרל מטענים באותה יעילות כמו תקלת חומרה. שחרור תוכנה שנשלט בצורה גרועה יכול ליצור שיבוש חוצה פורטפוליו מהר יותר מבעיה חשמלית מקומית. בקרות שילוב חלשות יכולות להפריע לנדידה, לחיוב או לאישור סשן גם כשהמטען עצמו תקין.

סוג האתר משנה את ההשפעה העסקית. אתר טעינת AC במקום עבודה עשוי לסבול השפלה מסוימת בשירות בקלות רבה יותר מאשר מאגר צי רכב (fleet depot) או מיקום טעינה מסחרי מהיר DC, שבו שעות טעינה אבודות מורידות מיד את תפוקת הרכבים או ההכנסות. לכן, החלטות אבטחה צריכות להיות קשורות לחיוניות האתר, ולא מנוהלות כרשימת ביקורת גנרית של מערכות מידע (IT).

היכן משטח התקיפה האמיתי נמצא

רוב סיכון אבטחת המידע בטעינת רכב חשמלי (EV) מגיע משכבת הבקרה סביב המטען, לא רק מארונית המטען עצמה.

תחום סיכון חולשה אופיינית תוצאה תפעולית שאלת קונה
בקר מטען ותצורה מקומית אישורים ברירת מחדל, שירותים מקומיים חלשים, שינויי תצורה לא מנוהלים תצורה שגויה של המטען, מחברים לא זמינים, שיטות פתרון תקלות מקומיות לא בטוחות כיצד מסירים ברירות מחדל וכיצד מאושרים שינויי תצורה?
רשת האתר עיצוב LAN שטוח, הפרדה לקויה ממערכות אורח או ארגוניות בלימה קשה יותר, היקף השבתה רחב יותר, מורכבות התאוששות גבוהה יותר האם המטענים מופרדים ממערכות מידע (IT) ארגוניות, נקודות מכירה (POS), מצלמות ו-Wi-Fi לאורחים?
פלטפורמת ענן וניהול מטענים חשבונות עם הרשאות עודפות, אימות דו-שלבי (MFA) חלש, נתיבי ביקורת לא ברורים פקודות מרחוק לא מורשות, שינויי תעריפים או שליטה בהתקן האם אימות דו-שלבי (MFA) הוא חובה והאם פעולות מוסמכות מתועדות לפי משתמש וחתימת זמן?
פרוטוקולים ואינטגרציות צד שלישי טיפול חלש ב-OCPP, OCPI, נדידה או תלויות תשלום כשל בסשן, שיבוש בסילוק, בעיות אינטראקציה (Interoperability) אילו ממשקים חשופים וכיצד מסובבים אישורים, טוקנים ותעודות?
קושחה וצנרת עדכונים ממשל שחרורים חלש, תכנון גלגול לאחור (rollback) גרוע, הרשאות דחיפה רחבות השבתות מרובות אתרים, אי-תאימות, שחזור איטי כיצד עדכונים נבדקים, מאושרים, מועלים בשלבים ומגולגלים לאחור?
נתונים ודיווח זכויות ייצוא לא מלאות, שמירה לא ברורה, גישה חלשה ללוגים זיהוי פלילי (forensics) גרוע, תלות בספק, הגירה קשה יותר ופתרון מחלוקות למי שייכים הלוגים, היסטוריית ההתקנים, נתוני המשתמש ורשומות התצורה?

הטבלה הזו חשובה כי רשת הטעינה אינה חסינה יותר מהתלות התפעולית החלשה ביותר שלה. קונים המתמקדים רק בדירוגי מעטפת המטען (enclosure ratings) או רמות הספק עלולים להחמיץ את משטחי השליטה שיוצרים מאוחר יותר את הסיכון העסקי הגדול ביותר.

פרוטוקולים פתוחים משפרים גמישות אבל דורשים ממשל טוב יותר

מפעילים רבים רוצים סביבות פתוחות ובעלות אינטראקציה משום שהן מפחיתות תלות (lock-in) ותומכות בהשתתפות רחבה יותר באקוסיסטם. זה בדרך כלל הכיוון האסטרטגי הנכון, אבל פתוח לא אומר מאובטח מעצמו.

קונים צריכים להבין מה המשמעות של OCPP עבור תחנות טעינה מסחריות לרכב חשמלי (EV) מכיוון שתמיכה בפרוטוקול אינה רק תכונת אינטראקציה. זוהי גם שאלת ממשל הכוללת אימות, בקרת פקודות, ניהול גרסאות, טיפול בתעודות וגבולות אחריות בין ספק המטענים, ספק הפלטפורמה ומפעיל המטען.

סביבה פתוחה יכולה לשפר את כוח המיקוח לטווח ארוך ולהקל על פיתוח פורטפוליו רב-ספקים. היא יכולה גם ליצור משטח שילוב רחב יותר אם בקרות השותפים, סיבוב האישורים ובעלות השינויים מעורפלים.

לכן קונים צריכים להעריך רשתות טעינה פתוחות באותו משמעת שהם מיישמים על תנאי זמן פעולה (uptime) או רכישה. גמישות היא בעלת ערך, אבל רק כאשר למפעיל עדיין יש נראות ברורה לגבי מי יכול לשלוח פקודות, מי הבעלים של ניהול האירוע וכיצד שינויים מאומתים לפני שהם משפיעים על אתרים פעילים.

גישה מרחוק וקושחה הם סיכונים בעלי מינוף גבוה

תמיכה מרחוק היא אחד היתרונות הגדולים ביותר ברשתות טעינה מודרניות. היא מפחיתה נסיעות טכנאים, מזרזת אבחון והופכת ניהול חוצה פורטפוליו למעשי יותר. היא גם יוצרת את אחד מנתיבי התקיפה בעלי הערך הגבוה ביותר אם בקרות הזהות וממשל השינויים חלשים.

מפעילים צריכים להניח שכל חשבון המסוגל לשנות תצורת מטען, גישת משתמש, לוגיקת תמחור או מצב קושחה הוא נקודת שליטה בעלת השפעה גבוהה. התחברויות תמיכה משותפות, הפרדת תפקידים לא מלאה או כללי אישור לא ברורים מקלים מאוד על כך שטעות אחת או אישור אחד שנפרץ ישפיעו על מספר אתרים.

אותה לוגיקה חלה על תיקונים (patches) ושחרורים. המאמר של PandaExo על אסטרטגיית עדכון קושחה עבור מפעילים שימושי כאן משום שהוא מגדיר עדכונים כהגנה על זמן פעולה (uptime) ולא כתחזוקת רקע. מודל ההפעלה הטוב ביותר משתמש בהפצה מדורגת, חלונות תחזוקה, משמעת גלגול לאחור (rollback) וניטור התראות לאחר השחרור במקום שינויים רחבים ובודדים ברחבי כל הנכס.

יש כאן חילופין (tradeoff) אמיתי. גישה מרחוק מהירה יותר ושליטה ריכוזית בשחרורים משפרים את יעילות התפעול, אבל גם מגבירים את החשיבות של הרשאות מבוססות תפקיד, זרימות עבודה של אישורים ורישום ביקורת חזק. קונים לא צריכים לדחות יכולות מרחוק. הם צריכים להתעקש שיכולות אלו ינוהלו כמו בקרות תשתית קריטית.

בנו אבטחה סביב יכולת התאוששות, לא סביב מניעה מושלמת

שום מפעיל לא יכול לחסל כל סיכון ברשת. המטרה המעשית יותר היא לצמצם רדיוס פיצוץ (blast radius), לזהות תקלות מוקדם, ולהתאושש במהירות כשמשהו משתבש.

  1. בצעו הפרדה (Segmentation) של הסביבה.
    שמרו על מטענים, התקני תשלום, ממשקי ניהול ומערכות ארגוניות בנתיבי רשת מופרדים היטב במידת האפשר. הפרדה טובה מקלה על הבלימה ומונעת מבעיה מקומית להפוך לאירוע תפעולי חוצה פורטפוליו.
  2. חזקו את הזהות והגישה (Identity and Access).
    דרשו חשבונות בעלי שם (named accounts), אימות דו-שלבי (MFA) לתפקידים מוסמכים (privileged roles), וגישת ההרשאה המינימלית (least-privilege access) הן עבור צוותים פנימיים והן עבור תמיכת צד שלישי. אם ספק עדיין מסתמך על אישורים משותפים לפעולות קריטיות, זהו דגל אדום מסחרי ותפעולי.
  3. הטילו ממשל על כל שינוי מהותי.
    עריכות תצורה, שינויי תמחור, דחיפות קושחה, רשימות לבנות ואתחולים מרחוק צריכים להיות ניתנים למעקב. המטרה אינה ביורוקרטיה. היא לוודא שמפעילים יכולים לענות מי שינה מה, מתי ולמה לאחר תקרית.
  4. נטר אותות בריאות ואבטחה גם יחד.
    בעיית סייבר עלולה להתבטא תחילה ככישלונות התחלת סשן, דפוסי חוסר זמינות חריגים (offline patterns), שגיאות אימות חוזרות או התנהגות מחברים לא מוסברת. הניטור צריך לחבר אירועי רשת לביצועי המטען, ולא להתייחס אליהם כאל עולמות נפרדים.
  5. שלטו בתלות הצד השלישי באופן חוזי.
    ספקי תשלום, שותפי נדידה, פלטפורמות תוכנה, צוותי שירות וספקי תקשורת – כולם משפיעים על הסיכון. חוזים צריכים להגדיר גבולות גישה, אחריותיות להסלמה (escalation) וזמינות לוגים, במקום להניח ששיתוף פעולה יהיה אוטומטי במהלך תקרית.
  6. תרגלו פעולה במצב ידני ובמצב מושפל.
    מפעילים צריכים לדעת מה קורה אם ניהול הענן נפגע, אם אתר אחד מאבד תקשורת, או אם יש צורך להחזיר (roll back) שחרור במהירות. תכנון התאוששות חשוב במיוחד עבור מאגרי צי רכב (fleet depots) ומיקומי DC מסחריים שבהם הפרעת שירות משפיעה מיד על לוחות זמנים ועל כלכלת האתר.

דגלים אדומים ברכישה שקונים צריכים לתפוס בשלב מוקדם

בגרות אבטחה בדרך כלל הופכת גלויה לפני הפריסה אם קונים שואלים את השאלות הנכונות.

תחום סימן חזק דגל אדום
ניהול זהויות חשבונות ניהול בעלי שם (named), אימות דו-שלבי (MFA), הפרדת תפקידים ברורה התחברויות תמיכה משותפות או בקרות גישה מוסמכת (privileged) חלשות
ממשל עדכונים הוצאה מדורגת, זרימת אישור, יכולת גלגול לאחור הרשאות דחיפה רחבות עם נראות מפעיל מועטה
רישום וזיהוי פלילי (Logging and Forensics) לוגים ניתנים לייצוא, היסטוריית התקנים, נתיב ביקורת תצורה המפעיל אינו יכול לאחזר רשומות ללא תיווך הספק
הכוונת ארכיטקטורת רשת המלצות ברורות על הפרדה (segmentation) ותקשורת המטען צפוי לשבת על רשת LAN עסקית לשימוש כללי
בעלות על תקרית אחריותיות מוגדרת על פני חומרה, פלטפורמה ואינטגרציות סיכון להטלת אחריות הדדית (finger-pointing) בין מספר ספקים
בעלות על מידע בהירות חוזית בנושאי שמירה, ייצוא ותמיכה בהגירה (migration) ספק הפלטפורמה שולט למעשה בהיסטוריה התפעולית

קונה לא צריך שכל ספק ייראה זהה, אבל כל ספק צריך להיות מסוגל להסביר כיצד בקרות אבטחה מתייחסות לרציפות תפעולית. אם תשובות נשארות כלליות, הסיכון בדרך כלל צץ מאוחר יותר בזמן פתרון תקלות, הגירת פלטפורמה או במהלך תקרית אמיתית.

זה הופך לחשוב עוד יותר כאשר אתר מחליף שותפים או שפורטפוליו עובר בין פלטפורמות. רשימת תיוג להעברת מידע של מטעני רכב חשמלי (EV) פורמלית צריכה להיות חלק מבדיקת הרכש מכיוון שגישה לא מלאה ללוגים, תעודות, היסטוריית תצורה ורשומות משתמשים הופכת גם את הזיהוי הפלילי (forensics) כאת המעבר להרבה יותר קשים ממה שצריך.

סדרי עדיפויות באבטחה משתנים לפי סוג האתר

לא כל אתר טעינה זקוק לאותה הדגשת אבטחה. סדרי העדיפויות צריכים לשקף כיצד האתר יוצר ערך ומה העלות האמיתית של השבתה.

סוג אתר עדיפות האבטחה הגבוהה ביותר מדוע היא מובילה
טעינת AC במקום עבודה עם שהייה ארוכה בקרת גישה, פרטיות משתמש, תהליך התאוששות פשוט הפרעת שירות בדרך כלל נסבלת לפרקי זמן קצרים, אך ממשל גרוע יכול להתרחב על פני משתמשים ונכסים רבים
טעינה ציבורית למחצה בקמעונאות, מלון או שימוש מעורב שלמות תשלום (Payment integrity), הפרדת תפקידים, ניטור מרחוק כשלים פונים לקהל פוגעים באמון, בדיוק הסילוק (settlement), ובאיכות הנתפסת של האתר
טעינה במאגר צי רכב (Fleet depot) זמינות גבוהה (Uptime), בקרת שינויים, הפרדה (Segmentation), גיבוי ידני כשל בטעינה משפיע על מוכנות לשליחות ועלול ליצור שיבוש תפעולי מיידי
טעינה מסחרית מהירה DC (High-power commercial DC charging) משמעת גישה מרחוק (Remote access discipline), ממשל תיקונים (patch governance), חוסן תקשורת, הסלמת תקרית (incident escalation) ניצול גבוה וציפיות לשהייה קצרה מגדילים את עלות ההשבתה וההתאוששות האיטית

זו הסיבה לכך שמדיניות אבטחה ארגונית אחת אינה מספיקה כשלעצמה. מפעילים צריכים תקני בקרה משותפים, אבל הם גם צריכים סדרי עדיפויות לתגובה ברמת האתר המשקפים את ההשלכות העסקיות.

כשצוותים מתחילים למסד את זרימות העבודה האלה, המאמר של PandaExo על אסטרטגיית זמן פעולה לרשת טעינת רכב חשמלי (EV) מהווה הפניה משלימה שימושית מכיוון שגילוי, טריידז' (triage) והסלמה (escalation) הם שקובעים אם בעיית סייבר תהפוך לאירוע תפעולי קצר או להשבתה ממושכת.

שאלות שיש להציג בפני ספקים ושותפים

שאלות אלו בדרך כלל חושפות האם לספק יש מודל תפעולי אמיתי או רק נרטיב אבטחה שטחי.

  • האם אימות דו-שלבי (MFA) חובה עבור כל משתמש מוסמך, כולל אנשי שירות של צד שלישי?
  • האם המפעיל יכול לבקר ביקורת (audit) על אתחולים מרחוק (remote restarts), עריכות תצורה, דחיפות קושחה ושינויי תמחור לפי משתמש בעל שם?
  • כיצד מתבצע אימות לאינטגרציות של OCPP, OCPI, נדידה ותשלום, וכיצד מסובבים תעודות (certificates) או טוקנים (tokens)?
  • מהו מודל ההפרדה הרשתי (network segregation) המומלץ בין מטענים, קישוריות (backend connectivity), מערכות תשלום ומערכות מידע (IT) ארגוניות?
  • מהי תכנית הגלגול לאחור (rollback) אם שחרור (release) גורם לאי-יציבות על פני מספר מטענים?
  • אילו לוגים, קבצי תצורה ורשומות היסטוריית התקנים המפעיל יכול לייצא מבלי לפתוח במחלוקת?
  • מי מוביל את ניהול האירועים (incident response) כאשר המטען, הפלטפורמה, נתיב התקשורת וספק התשלום כולם משפיעים על האירוע?
  • אילו נהלים למצב מושפל או גיבוי ידני קיימים אם השליטה בענן אינה זמינה חלקית?

איכות התשובות חשובה לא פחות מהתשובות עצמן. שותפים בשלים מגיבים עם זרימות עבודה, ראיות והגדרת גבולות. שותפים חלשים מגיבים בהבטחות כלליות ומעט פירוט תפעולי.

סיכום מעשי

אבטחת מידע (סייבר) ברשתות טעינת רכב חשמלי (EV) אינה נושא צדדי לצוותי מערכות מידע (IT) לבדיקה לאחר הרכש. היא חלק מאיך שמפעילים מגנים על זמן פעילות (uptime), איך קונים מגנים על גמישות עתידית, וכיצד פורטפוליו נמנע מעיכובי התאוששות שניתן להימנע מהם כשמשהו משתבש.

הגישה המעשית היא ישירה. מפה את משטחי התקיפה (attack surface) מעבר לחומרת המטען. התייחס לגישה מרחוק, לממשל קושחה (firmware governance) ולאינטגרציות של צד שלישי כאל נקודות שליטה בעלות השפעה גבוהה. התאם סדרי עדיפויות של אבטחה לחיוניות האתר. דרש בעלות ברורה על מידע, ביקורתיות (auditability) ואחריותיות על תקרית (incident responsibility) בחוזים. בנה מערכי התאוששות (recovery playbooks) שמניחים שכשלים מסוימים יתרחשו וודא שהעסק יוכל להמשיך לפעול כשהם קורים.

עבור מפעילים וקונים, הלך רוח זה בדרך כלל מניב תוצאות טובות יותר מאשר לרדוף אחרי טענות האבטחה הדרמטיות ביותר. בטעינת רכב חשמלי (EV), אבטחת מידע חזקה פחות קשורה להישמע מחמיר ויותר קשורה להפיכת הרשת לניתנת לשליטה, נראית וברת התאוששות לאורך כל אורך חייה התפעוליים.

What you can read next

Type 1 vs. Type 2 EV Chargers What’s the Difference
טעינה מסוג 1 לעומת טעינה מסוג 2: מה ההבדל?
3.5kW-7kW-AC-EV-Charging-Station-Wall-mounted
עתיד התדלוק הביתי: בחירת מטען הרכב החשמלי החכם הטוב ביותר לביתך
Custom Wiring Harnesses for EV Dash Cams
מדריך מקצועי לחיווט מותאם אישית למצלמות רכב חשמליות