Nguy Cơ ‘Thảm Họa’ Từ Việc Đột Nhập Sạc Xe Điện

Câu chuyện này đã được đồng tác giả với Grist, một tổ chức truyền thông phi lợi nhuận bao quát về khí hậu, công bằng và giải pháp.

Khi chiếc xe điện Kia EV6 của anh Sky Malcolm đang hết năng lượng, anh đậu vào một dãy sạc nhanh gần Terre Haute, Indiana, để cắm điện. Trong khi chiếc xe của anh đang nạp năng lượng, anh nhìn vào các bộ sạc gần đó. Một bộ sạc nổi bật nằm trong số đó.

Thay vì màn hình chào đón chuyên nghiệp hiển thị trên các đơn vị Electrify America khác, bộ sạc này hiển thị một bức tranh của Tổng thống Biden chỉ vào, với một chú thích 'Tôi đã làm điều đó!'. Đó chính là cái meme mà những kẻ chỉ trích của tổng thống bắt đầu dán lên các bơm xăng khi giá tăng đột ngột năm ngoái, nhân bản 20 lần trên màn hình.

“Điều này, đáng tiếc thay, không quá bất ngờ,” Malcolm nói về cuộc tấn công mà anh phát hiện vào mùa thu năm ngoái. Những trò đùa như vậy ngày càng trở nên phổ biến. Ở đầu cuộc chiến tranh ở Ukraine, các hacker đã điều chỉnh các trạm sạc dọc theo đường cao tốc Moscow–Saint Petersburg ở Nga để chào đón người dùng bằng những thông điệp chống Putin. Xung quanh cùng một thời điểm, các tin tặc tại Anh đã lập trình các bộ sạc công cộng để phát sóng nội dung khiêu dâm. Chỉ trong năm nay, các người dẫn chương trình của kênh YouTube The Kilowatts đã tweet video cho thấy có thể kiểm soát hệ điều hành của một trạm Electrify America.

Mặc dù những vi phạm như vậy cho đến nay vẫn khá vô hại, các chuyên gia an ninh mạng nói rằng hậu quả sẽ nặng nề hơn nếu vào tay những kẻ phạm tội thực sự ác ý. Khi các công ty, chính phủ và người tiêu dùng vội vã lắp đặt thêm nhiều bộ sạc, rủi ro chỉ có thể tăng lên.

Trong những năm gần đây, các nhà nghiên cứu an ninh và các hacker trắng đen đã xác định những yếu điểm rộng lớn trong phần cứng sạc kết nối internet ở nhà và công cộng có thể tiết lộ dữ liệu của khách hàng, đe dọa mạng Wi-Fi và, trong trường hợp tồi tệ nhất, làm sập lưới điện. Đối diện với những nguy cơ này, từ nhà sản xuất thiết bị đến chính phủ Biden đang vội vã củng cố những máy móc ngày càng phổ biến này và thiết lập các tiêu chuẩn an ninh.

“Đây là một vấn đề lớn,” nói Jay Johnson, một nhà nghiên cứu an ninh mạng tại Viện Nghiên cứu Quốc gia Sandia. “Điều này có thể là tình huống rất thảm họa đối với đất nước nếu chúng ta không làm đúng.”

Những yếu điểm trong an ninh của bộ sạc xe điện không khó tìm thấy. Johnson và đồng nghiệp của ông tóm tắt những hạn chế đã biết trong một bài báo được công bố vào mùa thu năm ngoái trên tạp chí Energies. Họ phát hiện mọi thứ từ khả năng theo dõi người dùng đến những yếu điểm có thể “lộ ra mạng [Wi-Fi] gia đình và doanh nghiệp.” Một nghiên cứu khác, do Đại học Concordia chủ trì và công bố vào năm ngoái trên tạp chí Computers & Security, làm nổi bật hơn mười lớp “yếu điểm nghiêm trọng,” bao gồm khả năng bật và tắt bộ sạc từ xa, cũng như triển khai phần mềm độc hại.

Khi công ty nghiên cứu an ninh Anh Pen Test Partners dành 18 tháng phân tích bảy mô hình sạc xe điện phổ biến, họ phát hiện năm trong số đó có lỗ hổng quan trọng. Ví dụ, họ xác định một lỗi phần mềm trong mạng lưới Chargepoint phổ biến mà hacker có thể khả năng tận dụng để lấy thông tin nhạy cảm của người dùng (đội ngũ đã dừng lại trước khi có được dữ liệu như vậy). Một bộ sạc được bán tại Anh bởi dự án EV cho phép các nhà nghiên cứu ghi đè lên phần mềm nền của nó.

Những kẽ nứt như vậy có thể, theo cách nghĩ của Ken Munro, một trong những người sáng lập của Pen Test Partners, cho phép hacker truy cập dữ liệu của phương tiện hoặc thông tin thẻ tín dụng của người tiêu dùng. Nhưng có lẽ điểm yếu đáng lo ngại nhất với anh là, giống như thử nghiệm của Concordia, đội của anh phát hiện rằng nhiều thiết bị cho phép hacker dừng hoặc bắt đầu sạc theo ý muốn. Điều này có thể để lại tài xế bực bội mà không có pin đầy đủ khi họ cần, nhưng những ảnh hưởng tích tụ có thể làm thật sự tàn phá.

“Không phải là về sạc của bạn, mà là về sạc của mọi người cùng một lúc,” anh nói. Nhiều người dùng nhà để xe kết nối với sạc ngay cả khi chúng không tiêu thụ điện. Chẳng hạn, họ có thể cắm sau giờ làm việc và lên lịch sạc xe qua đêm khi giá thấp hơn. Nếu một hacker bật hoặc tắt hàng nghìn, hoặc thậm chí triệu, bộ sạc cùng một lúc, có thể làm mất ổn định và thậm chí làm sập toàn bộ các mạng điện. 

“Chúng ta đã vô tình tạo ra một vũ khí mà quốc gia có thể sử dụng chống lại lưới điện của chúng ta,” Munro nói. Hoa Kỳ nhìn thấy những gì một cuộc tấn công như vậy có thể trông như thế nào vào năm 2021 khi hacker chiếm đoạt Colonial Pipeline và làm gián đoạn cung cấp xăng trên toàn quốc. Cuộc tấn công kết thúc khi công ty trả hàng triệu đô la chuộc.

Gợi ý hàng đầu của Munro đối với người tiêu dùng là không kết nối bộ sạc nhà của họ với internet, điều này nên ngăn chặn khả năng lợi dụng hầu hết các yếu điểm. Tuy nhiên, phần lớn biện pháp an toàn phải đến từ các nhà sản xuất.

“Điều này là trách nhiệm của các công ty cung cấp dịch vụ này để đảm bảo rằng họ là an toàn,” nói Jacob Hoffman-Andrews, chuyên gia công nghệ cấp cao tại Tổ chức Frontier Điện tử, một tổ chức phi lợi nhuận về quyền số. “Một phần, bạn phải tin tưởng vào thiết bị mà bạn đang cắm vào.”

Electrify America từ chối yêu cầu phỏng vấn. Về các vấn đề mà Malcolm và The Kilowatts ghi chú, người phát ngôn Octavio Navarro viết trong một email rằng các sự cố là cô lập và các biện pháp sửa chữa được triển khai nhanh chóng. Trong một tuyên bố, công ty nói: “Electrify America luôn theo dõi và củng cố biện pháp để bảo vệ chính chúng tôi và khách hàng của chúng tôi và tập trung vào thiết kế trạm và mạng giảm nguy cơ.”

Pen Test Partners trong bản kết luận của mình nói rằng các công ty đã phản ứng tích cực để khắc phục những lỗ hổng mà họ xác định, với ChargePoint và những đối tác khác lấp đầy khoảng trống trong thời gian ít hơn 24 giờ (mặc dù một công ty đã tạo ra một lỗ hổng mới trong quá trình cố gắng vá lỗ hổng cũ). Dự án EV không phản hồi Pen Test Partners nhưng cuối cùng đã triển khai “xác thực và ủy quyền mạnh mẽ”. Tuy nhiên, các chuyên gia cho rằng đã đến lúc ngành công nghiệp chuyển từ phương pháp bảo mật hiện tại sang một hướng mới.

“Ai cũng biết đây là một vấn đề và nhiều người đang cố gắng tìm cách giải quyết nó nhất là,” Johnson nói thêm rằng anh đã thấy sự tiến triển. Ví dụ, nhiều trạm sạc công cộng đã nâng cấp lên các phương pháp truyền dữ liệu an toàn hơn. Nhưng đối với một bộ tiêu chuẩn được phối hợp, ông nói, “không có nhiều quy định ở đó.”

Có một số động thái hướng đến thay đổi điều đó. Đạo luật Hạ tầng Song phương 2021 bao gồm khoảng 7.5 tỷ đô la để mở rộng mạng lưới sạc xe điện trên khắp Hoa Kỳ, và chính phủ Biden đã làm cho an ninh mạng trở thành một phần của sáng kiến đó. Mùa thu năm ngoái, Nhà Trắng đã triệu tập các nhà sản xuất và những người làm chính sách để thảo luận về một con đường đảm bảo rằng phần cứng sạc xe điện ngày càng quan trọng được bảo vệ đúng cách.

“Hạ tầng cơ bản của chúng ta cần đạt đến một mức độ an ninh và khả năng phục hồi cơ bản,” Harry Krejsa, chiến lược gia chính tại Văn phòng Quốc gia về Chính trị An ninh Mạng, nói thêm rằng việc tăng cường an ninh mạng EV cũng là về việc xây dựng lòng tin cũng như giảm thiểu rủi ro. Hệ thống an toàn, ông nói, “đưa ra cho chúng ta sự tự tin vào các nền tảng số hóa thế hệ tiếp theo để mục tiêu cao hơn chúng ta có thể làm được.”

Trước đây trong năm nay, Cơ quan Quản lý Đường cao tốc Liên bang đã ban hành một quy tắc yêu cầu các bang triển khai các chiến lược an ninh mạng 'thích hợp' cho các bộ sạc được tài trợ theo đạo luật cơ sở hạ tầng. Nhưng Johnson nói rằng quy định này đã bỏ qua các thiết bị được cài đặt ngoài khu vực mở rộng đó, chưa kể đến hơn 100.000 đơn vị đã có trên toàn quốc. Ngoài ra, ông nói, các bang cũng không cung cấp nhiều chi tiết về những gì họ sẽ làm. “Nếu bạn đi sâu vào kế hoạch của bang, bạn sẽ thấy rằng chúng thực sự rất nhẹ về yêu cầu an ninh mạng,” ông nói. “Phần lớn lượng tôi thấy chỉ nói rằng họ sẽ tuân thủ các phương pháp tốt nhất.”

Điều gì chính là thực hành tốt nhất vẫn được định nghĩa mơ hồ. Johnson và đồng nghiệp tại Sandia đã đưa ra các đề xuất cho nhà sản xuất sạc, và ông lưu ý rằng Viện Tiêu chuẩn và Công nghệ Quốc gia đang phát triển một khuôn khổ cho sạc nhanh có thể giúp định hình quy định tương lai. Nhưng, cuối cùng, ông muốn thấy có một cái gì đó giống như Đạo luật Bảo vệ và Biến đổi Y tế Mạng điện tử năm 2022 được hướng đến xe điện.

“Quy định là một cách để thúc đẩy toàn bộ ngành công nghiệp nâng cao tiêu chuẩn an ninh cơ bản của họ,” ông nói, chỉ ra rằng các luật gần đây ở các quốc gia khác có thể là mô hình hoặc điểm khởi đầu cho các nhà làm chính sách ở Hoa Kỳ. Năm ngoái, ví dụ, Vương quốc Anh triển khai một loạt yêu cầu cho bộ sạc xe điện, như tiêu chuẩn mã hóa và xác thực nâng cao, cảnh báo phát hiện gian lận và chức năng trễ ngẫu nhiên.

Điều sau cùng có nghĩa là một bộ sạc phải có khả năng bật và tắt với một độ trễ thời gian ngẫu nhiên lên đến 10 phút. Điều đó sẽ giảm thiểu tác động của tất cả các bộ sạc trong khu vực kích hoạt đồng thời sau một cục bộ mất điện hoặc hack. “Bạn không nhận được c pic đó, điều đó tuyệt vời,” Munro nói. “Nó loại bỏ đe dọa từ lưới điện.”

Johnson lạc quan rằng ngành công nghiệp đang di chuyển theo hướng đúng, mặc dù chậm hơn là lý tưởng. “Tôi không thể tưởng tượng rằng [tiêu chuẩn nghiêm ngặt] sẽ không xảy ra. Chỉ là nó mất thời gian dài,” ông nói. Và ông chắc chắn không muốn gây ra lo lắng không đáng có, mà chỉ áp dụng áp lực kiên định để cải thiện.

“Đó là những điều kinh hoàng,” ông nói, “nhưng không nên tạo ra nỗi sợ hãi.”