image

Nationale Agenda Laadinfrastructuur werkt aan versleuteling laadpalen

maandag 8 maart 2021, 10:16 door Redactie, 11 reacties

Binnen de Nationale Agenda Laadinfrastructuur (NAL) wordt gewerkt aan een "waterdichte versleuteling voor laadpalen". Dat laat Gerben-Jan Gerbrandy, voorzitter van de NAL, tegenover Trouw weten. Volgens Gerbrandy is het belangrijk dat cybersecurity bij de uitrol en ontwikkeling van laadpunten meteen betrokken wordt. Cybersecurity van laadpalen krijgt echter niet altijd voldoende aandacht, zo waarschuwde de NAL eerder.

"Je moet er niet aan denken dat een hacker dat hele systeem in de toekomst kan kraken of stilleggen", stelt Gerbrandy. Drie jaar geleden lieten onderzoekers van de Duitse Chaos Computer Club (CCC) zien hoe laadpalen voor elektrische auto's zijn te compromitteren, waardoor het mogelijk was om op kosten van iemand anders de auto op te laden. De NAL is een koepel van bedrijven, overheden en belangenclubs die samen verantwoordelijk zijn voor de uitrol van de (snel)laadinfrastructuur.

Vorig jaar liet de organisatie al weten dat als de groei van het aantal elektrische auto’s doorzet cybersecurity van laadpalen van cruciaal belang is. "Wanneer hackers controle krijgen over laadinfrastructuur met een capaciteit van zo’n 1 GigaWatt kan dit een blackout veroorzaken van het Nederlandse elektriciteitsnet. Met de huidige uitrol van laadinfrastructuur is deze capaciteit binnen een à twee jaar gerealiseerd", waarschuwde Anjos Nijk, directeur van het European Network for Cyber Security (ENCS).

"Laadpalen zijn vaak verbonden met het internet. Dit maakt ze een makkelijk doel voor hackers. Bij onze computers vinden we het normaal dat we die beveiligen met een antivirusprogramma en dat we regelmatig updates installeren. Bij laadpalen moet dit ook de norm worden, een veilige laadpaal die goed beschermd is en ook regelmatig van updates voorzien wordt", voegde Harm van den Brink van ElaadNL toe.

In januari maakte staatssecretaris Van Veldhoven van Infrastructuur bekend dat de Rijksoverheid miljoenen euro's investeert om een landelijk dekkend netwerk van laadpalen voor elektrische auto's te bouwen en daarbij ook naar cybersecurity kijkt. Onder de NAL is een taakgroep gestart dat cybsecurityrisico's voor de laadinfrastructuur in kaart brengt. Naast dit onderzoek, dat later dit jaar tot een advies moet leiden, wordt daarnaast onderzocht in welke mate de bestaande laadinfrastructuur uitgerust kan worden met 'cybersecuritymodules' voor aanvullende bescherming.

Reacties (11)
08-03-2021, 10:53 door Anoniem
he he men word wakker??
08-03-2021, 11:53 door Anoniem
Als je nu toch bezig bent de NAL van de grond af aan op te bouwen, is het verstandig om nu alvast een backdoor a la Grappenhuis in te bouwen, dan ben je goed op de toekomst voorbereid [/sarcasm]

Backdoors zijn goud waard.
Free electric ride forever for everyone! Het Perpetuum Mobile bestaat toch, dankzij Grappenhuis.
08-03-2021, 11:58 door Anoniem
Iets wat je hebt (je elektrische auto) en iets wat je weet (je pincode). Maar wel graag een achterdeurtje in de crypto voor de politie zodat een auto niet ongezien opgeladen kan worden!
08-03-2021, 13:12 door Anoniem
Een aantal jaar geleden was ik bij een lezing waar ook meneer Gebrandy spreker en 2 collega euro-parlementariers waren uitgenodigd. Daar kwam een uitspraak van meneer Gerbrandy boven tafel dat hij nogal fan is/blind koerst op virusscanners.
Meneer Gerbrandy is daar achter de schermen wel subtiel voor getipt.

Dit terwijl toen ook al wel jaren bekend was en ruim in het nieuws was geweest dat de ongekroonde virusscanners - Norton Antivirus en McAfee - tegen al de wel gevonden en verwijderde virus detecties op computers in het nut van virusscanners (white hats, black hats, you name it) het sinds die bijeenkomst met meneer Gerbrandy en co juist harder af legt tegen de trends en het ontdekken en in stand houden van zero day's, nieuwe gaten et cetera.
VPRO's tegenlicht belichtte die langjarige trend ook.
Ze brachten in beeld hoe vooral de IT-veiligheid industrie en consultancy bureau's (Booz Allen Hamilton, bekend van Edward Snowden) zelf erbij floreren.
Nog opvallender, die tak van de IT weet de trend van toename kwetsbaarheden of gaat plaatsvinden maar niet structureel te keren.
Iets dat vanwege de technische mogelijkheden die worden geschapen juist ook niet vreemd zijn.
De meest stabiele jaren van data-veiligheid - met CDR's, een doorn in het oog destijds van de NSA - liggen alweer jaren achter ons.
Terwijl ze CDR's als fase in de IT-tijdeperken een dinosauriër zijn, zijn er geen substantieel betere maar eerder verergerende trends rondom de IT gelanceerd.

Vervolgens komt een directeur als Anjos Nijk van een platform met de volgende insteek:
.....antivirusprogramma .... regelmatig updates installeren
Wat is dit voor uitspraak?
Is zijn pleidooi get your basics right of iets dergelijks?
Weet Anjos Nijk dan dus niet, it's the hardware stupid!?
NXP en Infineon waarschuwden al ruim voor het prematuur lanceren van laadpaal systemen en teveel nut en heil van updates te verwachten.
Zeker omdat sommige ontwikkelaars van laadpaal systemen meer software georiënteerd waren en niet zeker lang niet allemaal de doorwrochtenheid van ontwikkelcurves voor failsafe-eisen niveau van auto toeleverancier industrie beheersen of snappen.
Een nadien tragisch voorbeeld van hoe de grotere afhankelijkheid van serie-gewijs updates in de product- & ontwikkel-keten zijn wel de Boeiing vliegtuigen die crashten.
Bovendien, de NSA en daaraan gelieerde diensten in andere landen zijn zo tuk op update systemen dat 2 diensten gezamenlijk een zeer zwaar beveiligde kerncentrale in Iran wisten te laten crashen.
De ingeregelde beveiligingmechanismen tegen oververhitting kon ondanks de beveiliging-lagen worden doorbroken.
Het punt hierbij is dat het aantal fysieke entry-points bij deze voorbeelden natuurlijk vele malen minder zijn, er zijn fysiek relatief nog weinig kerncentrales en vliegtuigen om de zwakke punten - onder de radar - mee te kunnen afscannen.
Maar met het aantal laadpalen kom je natuurlijk boven de miljoenen entry-points.
Vermenigvuldig dat bovendien ook nog eens met de mobiliteit factor als randomness die je aan de laad-sockets moet toedichten en je beseft dat de kans op hacks - hardware gewijs - vele vele vele malen groter is als je met update-eco systemen voor laadpalen gaat werken.

Dat Anjos Nijk dus pleit voor gebruik van antivirusprogramma's en updates installeren bij laadpalen illustreert dat die niet op de hoogte is of eigenwijzig voorbij denkt te kunnen gaan aan de waarschuwingen en de grotere trends vanuit de industrieën. Die maken dus antivirusprogramma's en updates installeren bij laadpalen een heilloze missie.
Dweilen met de kraan open tegen de strooom van veel grotere krachten in.

"waterdichte versleuteling voor laadpalen", waar Gerbrandy op leunt is dan ook een fabel.
Zeker als je bedenkt dat er altijd een hash-match plaats moet kunnen vinden.
Net zoals dat bij de zware beveiliging van de Iraanse kerncentrale die gehackt werd gaan laadpalen vanwege hun veel grotere distributie-aantallen het per definitie afleggen.
Er valt altijd wel een beveiliging laag te omzeilen, om te leiden, uit te zetten te overspoelen.
Zeker als je die laadpalen ook nog eens met smartphones wilt kunnen aansturen in plaats van volledig autonome hardware maak je de kans daarop enkel schaalgroottes groter, tegelijk de detectie-kans een stuk lager.
Naarmate complexiteit van een keten groter wordt middels meer apparaten (reken-nodes), tegelijk het 2e hands gebruik en doorlenen aan derden van smartphone (als 1 van de kwetsbare categorieën op internet) als ruim gangbaar te boek staat daalt de integriteit van de hele keten doordat de integriteit van al die reken-nodes ook daalt met het 2e hands gebruik van de apparaten.

Een meer verstandig advies zou dus zijn, gebruik voor laadpalen autonome hardware met autonome netwerken.
Dat was ook al het pleidooi van invloedrijke denkers en directeuren in de chip-industrie toen meneer Gerbrandy nog collega-politicus was in Brussel van Judith Sargentini.
Offer IT-security door middel autonome hardware en netwerken niet op omwille van tijd of kosten werd hem met klem gevraagd.
Nu kan meneer Gerbrandy dus vol aan de bak, moet ie wel eerst over stag willen en durven gaan als directeur.
Waarom?
Als je de kern - de hardware - niet eerst op orde maakt dan zijn de andere lagen eromheen altijd snel af te pellen.
Met hardware op orde ben je niet afhankelijk van snelle detectie.
Dan heb je een risico-beheersing raamwerk waar je verder mee kan.
En kijk helemaal uit met systemen als tesla thuis laad systemen breder te willen toepassen.
Ga voorlopig nu nog niet maatschappelijk bredere teruggave van accu-energie aan derden via IoT invoeren.
Dan schiet je jezelf al helemaal in je voet, als het IT veiligheid betreft.
Dat vanwege de exponentiële toename van nog weer meer entry- en pairing-points.
De beveiliging van IoT laat in veel gevallen bovendien ook in veel gevallen nog meer te wensen over dan bij smartphones.
Daar komen we als maatschappij dan ook niet meer vooruit.
Hierbij laat ik de electra-netten kant even aan de zij-lijn.
Daar valt nog van alles te wensen, indien het netbeheer toch meer politiek gedreven speelbal wordt in plaats van de echte middenlange termijn investering termijnen.
Dan gaat de wal het schip namelijk vanzelf al keren.
Alleen eindigen we dan wel waar we met z'n allen juist niet zeggen te willen belanden.
08-03-2021, 13:53 door Anoniem
Dat dit misschien een brown-out kan veroorzaken, interesseert helemaal niemand iets.

Dat iemand mogelijk zonder te betalen zijn auto kan opladen, dat dan weer wel.

Als alleen winst maken je doel is dan gaan elektrische voertuigen ook helemaal niets bijdragen aan een betere wereld.
08-03-2021, 16:28 door Anoniem
Ze kunnen beter even wachten want er komt een nieuw soort accu die binnen 5 minuten op te laden is.

En dit geldt ook voor auto's. Daarvoor dienen de laadpalen aangepast te worden.

En dat hacken....dat zal best en verdient zeker aandacht

1 flinke zonnevlam zoals al eerder is gebeurt een eeuw eerder meen ik. En de helft vd wereld ligt plat. Sta je dan met je hypermoderne Tesla die in 2,5 seconde van nul naar nergens kan.

Dus dan pak je de telefoon en probeert de ANWB te bellen.. geen bereik.

Vervolgens ga je op onderzoek waarom je Tesla niet werkt..beetje draadjes nalopen...wham kortsluiting. En vervolgens bel je de politie die ook niet te bereiken is. laat staan dat ze met elkaar kunnen communciceren wat al moeizaam ging en nu al helemaal.

En vervolgens brandt er een berg in Griekenland af.

Wel leuk alles electrisch ..maar die zonnevlam kan elk moment weer opnieuw gebeuren en die zon trekt zich niets aan van weermodelletjes...

Wat doet zo'n Tesla eigenlijk bij een EMP? Staat die dan gelijk stil en kun je hem dan nog besturen?

En wat gaan die drones doen van Shelby die straks zwaarbewapend door de lucht vliegen bij een stroomuitval?

Volgens mij is dat een belangrijkere issue dan een paar @#$@#$ laadpaaltjes.
08-03-2021, 17:24 door Anoniem
Door Anoniem: Dat dit misschien een brown-out kan veroorzaken, interesseert helemaal niemand iets.

Dat iemand mogelijk zonder te betalen zijn auto kan opladen, dat dan weer wel.
Als je niet weet waar je het over hebt, reageer dan niet.
Volgens mij zijn een brown-out of nog erger een black-out de reden waarom netbeheerders in Nederland zich juist zoveel
bemoeien met het opladen van elektrische autos. Zie bijvoobeeld: https://www.elaad.nl/smart-charging-end2end-security-design/

De focus is al jaren op het beveiligen van de laadpalen zelf, er lijkt juist niemand die het belangrijk vind dat de laadpassen niet zijn beveiligd.

Brown-outs worden niet door de laadpassen veroorzaakt, maar kunnen door hackers worden veroorzaakt. Daarom zijn de verbindingen met laadpalen steeds beter beveiligd. Worden er steeds strengere eisen gesteld aan de laadpalen en beheersystemen en de processen hoe deze worden beheerd.
08-03-2021, 19:16 door Anoniem
Door Anoniem: Ze kunnen beter even wachten want er komt een nieuw soort accu die binnen 5 minuten op te laden is.

...

De accu bestaat inderdaad al, maar het probleem is de kabel, daar druk je niet zomaar 500 Ampère doorheen.
09-03-2021, 08:39 door Anoniem
Door Anoniem:
1 flinke zonnevlam zoals al eerder is gebeurt een eeuw eerder meen ik. En de helft vd wereld ligt plat. Sta je dan met je hypermoderne Tesla die in 2,5 seconde van nul naar nergens kan.

.......

Wat doet zo'n Tesla eigenlijk bij een EMP? Staat die dan gelijk stil en kun je hem dan nog besturen?
En jij denkt dat een beetje uit die de afgelopen 25 jaar is gebouwd met een elektronisch motor management het nog wel doet?
Die doet het ook niet meer. En verwacht je dan gewoon te kunnen tanken? Heel de aansturing van de benzine pomp is defect. De olie rafinaarderij wordt volledig door computers bestuurd.... Dit is geen probleem van de EV's, dit is een risico voor onze hele moderne samenleving.
09-03-2021, 12:30 door Anoniem
Waarom geen achterdeur voor de politie zodat zij de "range" van de auto's van criminelen kan beperkerken door ze te ontladen aan de paal?
Energie terugleveren heeft interessante verdienmodellen; hacken van palen en ze laten doorgeven dat ze vele kWatts ontvangen hebben terwijl ze nul uren op de laadpaalmeter hebben is een interessante optie voor de crimineel die met zijn tijd meegaat.

Gelukkig is fysieke hacking mogelijk - de kabellocks gaan open zodra de paal en de auto koude detecteren. Dus even wat vloeibaar gas en de kabel kan meegenomen worden.

Wat gaan we dus eerdaags zien? Een camerasysteem bij iedere laadpaal om personen die "goedkoop tanken" of "verdienen aan de laadpaal" op beeld te registreren.

Wie is er eigenlijk aansprakelijk voor de stroomschade als je een laadpaal op eigen terrein installleert die zo cyberonveilig is als geschetsts?

Waarom grijpt het Agentschap Telecom niet in? Zij zijn verantwoordelijk voor het toezicht op de cyberveiligheid van infrastructuren!
10-03-2021, 00:00 door Anoniem
Door Anoniem:
Door Anoniem:
1 flinke zonnevlam zoals al eerder is gebeurt een eeuw eerder meen ik. En de helft vd wereld ligt plat. Sta je dan met je hypermoderne Tesla die in 2,5 seconde van nul naar nergens kan.

.......

Wat doet zo'n Tesla eigenlijk bij een EMP? Staat die dan gelijk stil en kun je hem dan nog besturen?
En jij denkt dat een beetje uit die de afgelopen 25 jaar is gebouwd met een elektronisch motor management het nog wel doet?
Die doet het ook niet meer. En verwacht je dan gewoon te kunnen tanken? Heel de aansturing van de benzine pomp is defect. De olie rafinaarderij wordt volledig door computers bestuurd.... Dit is geen probleem van de EV's, dit is een risico voor onze hele moderne samenleving.

Sta je dan met je hypermoderne Tesla die in 2,5 seconde van nul naar nergens kan.

Ik had ook geen hoge verwachtingen zie mijn sarcastische opmerkingen in 2.5 seconde van nul naar nergens. Want die gaat nergens heen.

En dit heeft ook invloed op aansturingen van grote objecten ..bruggen, sluizen, verkeerstorens, waterkeringen inclusief veranderde machtsverhoudingen en dan kunnen we wel zo ff doorgaan.

Sta je daar met je drukmakerij om 2FA wachtwoorden en de hele riedel ICT security opleidingen.

En komen de russen met hun stink diesels vrolijk Europa binnen rijden ..geen hond die het merkt en als die het wel merkt kan die niet communiceren en dan nog kan die er niks tegen doen.

Leve de vooruitgang.

Maar ze weten het allemaal beter.

Dit kan tot complete anarchie leiden of totale vernietiging van de helft v.d. aarde leiden.

Wat is onze backup in deze? Hoor je geen kamer vraag over. Die zijn liever beter met reactief interim management dan dat er een goed plan voor Nederland komt met het oog op de toekomst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.