Com mantenir segurs els vehicles elèctrics autonoms.

Piratejar el  compte de xarxes socials és un problema. Piratejar el compte de la  targeta de crèdit pot ser devastador. Piratejar el vehicle elèctric podria ser desastrós.

A mesura que s’accelera el camí cap als cotxes elèctrics autònoms,  la protecció de la ciberseguretat esdevé cabdal. És per això, els investigadors de la Universitat de Geòrgia estan identificant punts febles que podrien amenaçar la seguretat i l'eficiència d'aquests vehicles. En un nou article publicat al IEEE Journal of Emerging and Selected Topics in Power Electronics, un equip dirigit per UGA proporciona el primer estudi exhaustiu sobre seguretat ciber-física dels sistemes de propulsió en vehicles elèctrics connectats i autònoms (CAEV).

Els resultats, proporcionaran pautes perquè els fabricants desenvolupin millors tecnologies contra els ciberatacs. A mesura que es dissenyen vehicles millors i més segurs, els fabricants haurien de tenir en compte aquests aspectes. Les preocupacions en la seguretat han estat durant molt de temps a l’avantguarda durant l’aparició dels CAEV. 

Per a aquest estudi, es van investigar les vulnerabilitats als ciberatacs dirigits a objectius que van des de l'eficiència energètica fins a la seguretat, i van proporcionar una arquitectura per als sistemes electrònics de potència de nova generació.

Els estudis de seguretat dels vehicles de motors de combustió interna no tracten els sistemes de propulsió dels CAEV, que consisteixen en múltiples sistemes ciberfísics complexos i integrats que requereixen control per garantir la seguretat i mantenir una alta eficiència. A més, l’augment de la connectivitat entre els CAEV, les estacions de càrrega i les xarxes intel·ligents exposa els CAEV a ciberamenaces que no existeixen per als motors de combustió interna.

Tot i que la tecnologia com ara el control de creuer adaptatiu i altres funcions d’assistència automàtica poden millorar significativament la seguretat, la comoditat i l’eficiència energètica de la conducció, la inserció d’aquestes unitats de control a la infraestructura en xarxa obre una porta a les preocupacions de la ciberseguretat. Els sistemes d’entreteniment a bord del vehicle, que s’utilitzen per oferir entreteniment i informació útil al conductor i als passatgers a través d’interfícies d’àudio / vídeo, pantalles tàctils, taulers de botons i ordres de veu, tots ells, són un objectiu principal per als atacants, que els permet segrestar la seguretat.

Atès que els vehicles elèctrics es connecten a la xarxa per carregar bateries, són més vulnerables als ciberatacs que els vehicles convencionals de motors de combustió interna. A través d’una estació de càrrega, un atacant podria eludir els sistemes de control del vehicle, cosa que podria comportar conseqüències potencialment mortals, com ara inhabilitar els frens, apagar els fars o fer-se càrrec de la direcció.

Els vehicles elèctrics es connectaran a moltes infraestructures diferents, de manera que aquestes connexions també crearan problemes de ciberatac.

Els ciberatacs també poden reduir significativament l’eficiència dels vehicles elèctrics, provocant un deteriorament més ràpid de la capacitat d’alimentació i la durada de la bateria, reduint així el temps i la distància entre la càrrega. Els atacants altament qualificats poden causar danys greus, com ara disminuir la capacitat i l’energia de la bateria fins a un 50%, mitjançant mètodes sofisticats difícilment detectables pel conductor humà.

Si es produeix un ciberatac, es podria detectar observant: la velocitat i l'acceleració dels vehicles es degraden, cosa que generarà problemes de seguretat i funcionalitat. O pot generar alguns problemes en els sistemes de gestió d'energia. L'eficiència dels vehicles elèctrics baixarà i és probable que les bateries tinguin una vida molt menor. Tots els senyals que s'han estudiat tindran impactes negatius sobre la seguretat. 

Guia de seguretat per a vehicles elèctrics

S'han escrit una sèrie d'articles sobre seguretat ciberfísica en els vehicles elèctrics per a l'Institut d'Enginyers Elèctrics i Electrònics, amb dos ja publicats a les revistes IEEE Transactions d' abril i maig . Els seus estudis poden permetre als fabricants de vehicles i enginyers desenvolupar un primer sistema de ciberseguretat. Es recomana algunes tècniques bàsiques de mitigació per defensar els vehicles moderns contra els ciberatacs:

- Port de diagnòstic a bord segur

- Millor tallafoc

- Maquinari fiable

- Actualitzacions de programari segures

- Proves de penetració

- Revisions de codi

El més important, és desenvolupar un sistema de control de ciberseguretat per detectar, localitzar, diagnosticar i mitigar els ciberatacs.

Tot i que la investigació de la ciberseguretat dels vehicles encara es troba en una fase inicial i el sistema de control no pot recuperar directament el sistema a una regió de seguretat, pot alertar el conductor perquè reaccioni de manera oportuna. Un cop identificat un ciberatac, el conductor pot aturar el cotxe per evitar danys majors.

Fon: Universitat de Geòrgia

Mercat d'electricitat.

Els combustibles fòssils es troben entre els productes més comercialitzats arreu del món: al voltant del 75% del cru, el 25 % del gas natural i el 21 % de la producció de carbó es comercialitzen internacionalment. Per contra, l’electricitat és una qüestió menor: només el 3% de la generació total creua fronteres.

Això es deu al fet que els combustibles són fàcils d'emmagatzemar i de transportar. El comerç intercontinental de carbó i petroli existeix des de fa generacions, mentre que el transport de gas es va fer pràctic gràcies als primers petroliers comercials de gas natural liquat (GNL) en el 1964. Així, la distància va deixar de ser un gran impediment per al comerç mundial de combustible. Actualment, el transport massiu de cru es portat des de Ras Tanura, a l’Aràbia Saudita, fins a Osaka, Japó, recorrent uns 11.800 km (6.400 NM). Els petroliers de GNL transporten gas des de Qatar, al voltant del cap de Bona Esperança, fins a Espanya — unes 10.500 NM.

En canvi, encara no hi ha cap manera d’emmagatzemar grans quantitats d’electricitat de forma directa, només el mètode indirecte de l’energia hidràulica de bombeig, i no hi ha una manera fàcil de transportar l’electricitat, ja que les pèrdues per la resistència elèctrica augmenten amb la distància. Per minimitzar aquestes pèrdues, es recorre cada cop més  a línies per fer possible enllaços de corrent continu d’alta tensió (HVDC). Fins i tot si els drets de pas necessaris fossin factibles, encara costaria molt construir les torres, circuits i les subestacions terminals adjuntes per als rectificadors (que converteixen el corrent altern en corrent continu) i els inversors  el corrent continu en corrent altern.

Cada quilòmetre d’una línia aèria HVDC de més de 500 kV costa almenys 1,2 milions de dòlars dels EUA. En el cas de que les línies treballin a les tensions més altes (800 kV i 1.100 kV), la xifra pot arribar als 2 milions de dòlars. Enterrar els cables augmenta la despesa fins a cinc vegades i posar-los sota la mar en llargues distàncies com ara es contempla costarà més, tot i que les estimacions són encara molt especulatives.

Com a resultat, les línies ultra-HVDC més llargues (3.324 km) del món, que transporten electricitat des de Xinjiang a la regió més occidental de la Xina fins a la província d’Anhui, a la regió oriental densament habitada, van costar prop de 6.000 milions de dòlars. Seria encara més car fer el mateix als Estats Units.

Per descomptat, es pot vendre molta electricitat a distàncies més curtes depenent d’enllaços HVDC (320-500 kV) més baixos o de línies de corrent altern estàndard (la majoria de 220-400 kV). Els membres de la Unió Europea transporten ara més enllà de les seves fronteres nacionals més del 14% del consum final d'electricitat. Bulgària i la República Txeca exporten electricitat que equival al 20 al 25 per cent del seu consum intern, mentre que França ven al voltant del 14 % i Suècia al voltant del 13 %.

Alemanya, l'economia més gran de la UE, és ara un exportador net d'electricitat, venent l'equivalent a gairebé el 10 % del seu consum. Els principals importadors nets són Hongria (al voltant del 35% del consum), Finlàndia (gairebé el 25%) i Bèlgica (al voltant del 20%). En termes absoluts, França (gràcies a la seva generació nuclear fiable) és el principal exportador net d’electricitat d’Europa i les seves vendes recents de més de 60 TWh anuals han estat per davant de les exportacions d’electricitat neta (principalment hidroelèctrica) del Canadà als Estats Units, que va arribar al màxim a prop de 64 TWh en el 2016, però ara estan just per sota dels 50 TWh.

Europa també té un petit comerç d’electricitat intercontinental amb Àsia ( connexió a 400 kVac amb Turquia ) i Àfrica (dos cables de 400 kV entre Espanya i el Marroc, amb un altre enllaç de 700 kV que s’afegiran properament), i nombroses interconnexions amb Ucraïna sincronitzades (que, al seu torn, està connectada a la xarxa russa). Aquesta xarxa, teòricament permet la possibilitat de transmetre electricitat des de Sibèria Occidental a Portugal, i hi ha plans per a una autèntica xarxa euro-asiàtica que enllaci la Xina amb Europa.

En canvi, el sistema de transport nord-americà roman aclaparadorament confinat dins de tres xarxes quasi separades: la Interconnexió Est, la Interconnexió Oest i la xarxa de Texas. Només es relacionen amb allò que el periodista energètic David C. Wagman, com a col·laborador convidat al bloc IEEE Spectrum Energywise, va anomenar correctament connexions dèbils les fronteres. És per això que la xarxa de Texas no va poder ajudar-se durant la recent congelació de febrer. Una xarxa unificada equilibraria les càrregues, aprofitaria les eficiències i ajudaria a subministrar a les costes l'energia eòlica de les Grans Planes i l'energia solar del sud-oest.

Font: IEEE Spectrum

Ciberatacs.

Els ciberatacs ja no són només una qüestió de ciberseguretat, sinó que directament amenacen la seguretat nacional d’un país. Els ciberatacs alteren el caràcter de la guerra, de la mateixa manera que ho feien les armes nuclears, cosa que permet als adversaris creuar potencialment les línies enemigues per fer mal a un gran nombre de civils innocents. 

Els  malintencionats actors, poden intentar causar danys físics des de llocs remots a través de canals digitals, provocant la devastació d'un país a nivells que anteriorment haurien requerit un atac cinètic.

El 8 de febrer de 2021, els pirates informàtics van atacar la planta de tractament d’aigües de Bruce T. Haddock a Oldsmar, Florida, mitjançant conegudes vulnerabilitats del programari per intentar enverinar el subministrament d’aigua local amb hidròxid de sodi, també conegut com a lixivia. Van accedir a la planta mitjançant el seu sistema de control industrial (ICS), un sistema dissenyat per permetre el control i la supervisió remots de la planta. En fer-se càrrec dels controls de la planta, els pirates informàtics van augmentar parts del producte químic, que s’utilitzaven per  ajustar l’acidesa i eliminar metalls de l’aigua potable, fins a cent vegades per sobre del nivell normal. El sistema utilitzava una  versió antiga de Windows, era accessible amb una contrasenya compartida i no tenia cap protecció de tallafocs contra intrusions. Afortunadament,  un supervisor va notar el canvi perillós a temps mentre treballava a distància, evitant una crisi que podria haver causat cremades químiques i ceguesa entre els exposats al producte tòxic.

Els funcionaris del govern dels Estats Units van manifestar preocupacions sobre les vulnerabilitats similars en els sectors de l'aigua i l'energia i altres infraestructures crítiques, inclosos  els serveis de salut, emergències, alimentació i agricultura i sistemes de transport. El ciberatac a la planta d’aigua es va produir només una setmana abans que una important tempesta d’hivern  provoqués una crisi del subministrament elèctric i aigua a tot Texas. Més de cinc milions de ciutadans van estar sense electricitat ni aigua corrent durant diversos dies, il·lustrant la fragilitat d’aquesta infraestructura interconnectada i mostrar així, la devastació física que es podria causar en cas d’un ciberatac dirigit a la xarxa.

La infraestructura crítica no està sola en les seves vulnerabilitats als ciberatacs amb implicacions físiques; les cadenes de subministrament també estan en risc. Durant almenys uns mesos, els pirates informàtics van  aprofitar les vulnerabilitats del programari de Microsoft, VMWare i l’empresa SolarWinds amb seu a Texas per comprometre la seguretat de les dades en almenys 200 organitzacions del govern dels Estats Units i altres agències de tot el món. 

Tot i que l’atac de SolarWinds sembla ser un  cas d’espionatge clàssic per part de Rússia a  través de la cadena de subministrament dels Estats Units, hi ha aspectes de l’atac que també il·lustren el potencial per aconseguir efectes físics a través de canals digitals. Ja al  març del 2020, els pirates informàtics russos van atacar el programari de gestió de xarxes Orion dissenyat per SolarWinds de manera que van aconseguir introduir un codi maliciós que probablement pretenia accedir a informació sensible. Una empresa de ciberseguretat  que també utilitza el programari Orion va detectar per primera vegada proves de malware. L'impacte del ciberatac a SolarWinds, va abastar  milers de xarxes  en  nou agències federals i 100 empreses del sector privat, inclosa l’Administració nacional de seguretat nuclear (NNSA) del Departament d’Energia, que s’encarrega de supervisar el dipòsit d’armes nuclears dels EUA.

Si  be es cert que NNSA afirma que no hi va haver  cap impacte en els sistemes classificats, els funcionaris van trobar proves d’intrusió en sistemes no classificats que s’utilitzaven per transportar armes i materials nuclears. També van detectar intents d’accedir als servidors del Laboratori Nacional de Los Alamos, un dels tres laboratoris d’armes nuclears. NNSA va desconnectar immediatament el programari de les xarxes pertinents, eliminant la possibilitat d’efectes perjudicials. Tot i que és probable que els pirates informàtics no estiguin dirigits al transport d’armes nuclears, són ben conegudes les vulnerabilitats de les armes nuclears mentre es troben en ruta entre llocs segurs.

Els objectius exactes del ciberatac a SolarWinds segueixen sense ser clars, però el gran abast pot demostrar als adversaris nord-americans el potencial significatiu dels ciberatacs per assolir fins físics, inclosa la possibilitat de robar armes nuclears. Tanmateix, l’incident no és el primer gran dels quals els actors malintencionats han deduït aquestes capacitats; considerem les lliçons de l’atac de NotPetya el 2017. Els pirates informàtics russos difonen codi maliciós a través d’un popular programari de comptabilitat desenvolupat per una empresa ucraïnesa a molts països d’Europa, que finalment  infecta desenes de milers d’ordinadors de tot el món. A més de fer inútils els equips infectats, l'atac va tancar les operacions mundials de la companyia naviliera Maersk i va provocar una important congestió de trànsit a les carreteres properes als ports dels Estats Units.  També va frenar les operacions de Merck & Co, Inc., un important productor de medicaments i vacunes als EUA,  reduint la capacitat de producció durant un curt període de temps . Fins i tot un clàssic incident d’espionatge o sabotatge pot comportar un potencial significatiu de danys físics.

L’administració ja va publicar pautes  per resoldre les vulnerabilitats de les cadenes de subministrament nord-americanes, però cal fer molt més per protegir les infraestructures crítiques i dissuadir els actors malintencionats d’explotar els canals digitals per aconseguir fins físics. En una era de guerra de zones híbrides i grises, els ciberatacs són atractius per a les nacions que intenten soscavar els seus adversaris a causa dels desafiaments d’atribució i del benefici associat de la negació. En el futur, aquestes nacions també podran veure ciberatacs amb efectes físics com una nova forma de guerra: un cavall de Troia en forma de infraestructura o cadenes de subministrament del propi adversari. En fer-ho, poden creuar les línies enemigues i causar danys i destrucció sense derrotar cap força militar.

Font: IEEE Spectrum.