Laadinfrastructuur stelt bescherming elektriciteitsnet en privacy op de proef

Het laadnetwerk voor elektrische voertuigen is vitale infrastructuur. Hoe kwetsbaar zijn laadpalen voor cyberaanvallen en bij wie belanden je persoonsgegevens als je je auto oplaadt?

Dit artikel in vijf punten:

  • In het kielzog van de elektrische auto verschijnt de ene na de andere laadpaal langs de snelweg en in het straatbeeld. Met wereldwijd miljoenen (thuis)laadstations is het algehele laadnetwerk voor elektrische voertuigen zo groot, en zoveel mensen, bedrijven en overheden zijn er van afhankelijk, dat het gaat om vitale infrastructuur.
  • Infrastructuur die doelwit kan worden van cyberaanvallen. Hackers die de controle over grote aantallen laadstations weten over te nemen kunnen in het ergste geval het elektriciteitsnet lamleggen, met alle gevolgen van dien. Experts houden daadwerkelijk rekening met een dergelijk doemscenario, maar overheden zijn traag geweest met het introduceren van cyberwetgeving.
  • Zonder adequate cyberbeveiliging is ook de privacy niet geborgd. Gebruik van openbare laadpalen brengt tussen allerlei partijen verschillende datastromen op gang. In achterliggende databases belanden gevoelige persoonsgegevens waarvan bekend is dat criminelen ze graag in handen krijgen en te koop aanbieden.
  • Een andere manier waarop kwaadwillenden zich zouden kunnen verrijken is laadpalen die in private handen zijn, besmetten met ransomware. Gebruikers – van individuen tot bedrijven die beschikken over een wagenpark – wordt door dat soort gijzelsoftware het laden onmogelijk gemaakt, totdat ze losgeld betalen.
  • Ondertussen houden gemeenten nauwgezet bij hoe er van openbare laadpalen gebruik wordt gemaakt. Laadgegevens worden geanalyseerd om te weten waar er behoefte is aan nieuwe oplaadpunten.

Gebruikers van een laadpaal op het Engelse eiland Wight zullen in april 2022 raar hebben opgekeken. Het scherm op de paal toonde niet de gebruikelijke informatie van de exploitant, maar een pornosite. Het object bleek door een grappenmaker te zijn gehackt. Waar dat nog de categorie belletje lellen betrof, werden elektrische rijders in Rusland twee maanden daarvoor slachtoffer van een digitale aanval van veel grotere omvang. Op de M11 tussen Moskou en Sint Petersburg waren alle laadstations platgelegd door een Oekraïense leverancier van onderdelen van diezelfde stations. Er werd niet voorzien in stroom, enkel in oorlogspropaganda, met op de interfaces de teksten: “GLORIE AAN OEKRAÏNE / GLORIE AAN DE HELDEN / DOOD AAN DE VIJAND.”

Met miljoenen (thuis)laadstations in binnen- en buitenland is het algehele laadnetwerk voor elektrische voertuigen zo groot, en zoveel mensen, bedrijven en overheden zijn er van afhankelijk, dat het gaat om vitale infrastructuur. Infrastructuur die vanzelfsprekend goed moet worden beveiligd tegen kwaadwillenden. Hackers – wie dat ook mogen zijn – hebben niet alleen auto’s die verbonden zijn met het internet in het vizier, zoals we in een eerder artikel in deze reeks hebben laten zien, ook de laadinfrastructuur kan klaarblijkelijk doelwit worden.

De gevolgen van een cyberaanval op laadstations kunnen variëren van lokale, relatief kleine hinder, tot grote en langdurige verstoringen op landelijke schaal. De voorbeelden hierboven zijn peanuts in vergelijking met wat er op enig moment in de toekomst waarschijnlijk nog wel een keer te gebeuren staat, hier of elders. Zo kan een geslaagde aanval op het backoffice systeem van een of meerdere laadpaalexploitanten er al voor zorgen dat een aanzienlijk deel van het verkeer – waaronder hulpdiensten en bestel- en vrachtvervoer – geen meter meer vooruit komt, met alle gevolgen van dien. Een studie van enkele jaren geleden waarin in opdracht van de Nationale Agenda Laadinfrastructuur verschillende doemscenario’s in Nederland zijn onderzocht, houdt er rekening mee dat zo’n aanval er in de komende jaren daadwerkelijk kan komen.

Het zwartste scenario? Zodanige manipulatie van grote aantallen laadstations dat de netspanning wijzigt of er een blackout van het elektriciteitsnet optreedt, hetgeen de hele economie en het openbare leven kan ontwrichten en voor miljarden euro’s aan schade kan veroorzaken. Dat zou kunnen gebeuren als hackers controle krijgen over laadinfrastructuur met een capaciteit van zo’n 1 gigawatt. Ook elders is men beducht voor dit gevaar. Een Amerikaanse studie onderzocht een hypothetisch maar realistisch scenario waarbij met minder dan 1000 gehackte laadstations het elektriciteitsnetwerk van New York kan worden lamgelegd. Reken maar dat bepaalde ‘statelijke actoren’ met de gedachte spelen om daar ooit werk van te maken. De studies zijn fascinerende maar weinig geruststellende lectuur.

Onbeveiligde laadpassen

Van laadpalen over naar laadpassen, want voor het opladen van een stekkerauto bij een openbare laadpaal wordt vrijwel altijd een laadpas gebruikt. (In het geval van sommige contractanten kan je ook – of moet je zelfs – met een app betalen, wat een veel privacygevoeliger methode is. Een nieuwe Europese wet maakt bij alle nieuw geïnstalleerde openbare laadpalen ook ‘ad-hoc betalingen’ mogelijk, bijvoorbeeld via een betaalkaart of QR-code.)

Aanbieders van laadpassen (rond de 700) zijn samen met laadpaalfabrikanten en -exploitanten (tegen de 1300) in de afgelopen jaren als paddenstoelen uit de grond geschoten. Van grote energieleveranciers tot kleine, voor de meeste mensen volstrekt onbekende bedrijven – veelal start ups. (Voor consumenten is de markt een jungle, maar er zijn websites die orde in de chaos scheppen, zoals Laadpastop10 en Laadpaaltop10.) In een poging zo snel mogelijk een zo groot mogelijk aandeel te veroveren op de groeiende markt voor elektrisch rijden, was de cyberbeveiliging doorgaans niet het eerste waar deze partijen zich om bekommerden.

Zo zijn veel laadpassen al jaren onversleuteld en aantoonbaar onveilig vanwege het gebruik van een chip die ook in de OV-chipkaart voor problemen zorgde. Dat stelt technisch onderlegde fraudeurs onder meer in staat om passen te klonen en te laden op kosten van een willekeurig andere laadpasgebruiker (een soort identiteitsfraude).

Ook mogelijk gebleken: ‘druppelladen’. Voor hele korte laadsessies worden geen kosten gerekend en een groot aantal laadsessies van minder dan een minuut achter elkaar zijn samen goed voor een gratis volle accu. Een ethisch hacker schreef hier een script voor. Nadeel voor de fraudeur is evenwel dat je meteen te lokaliseren bent en je er lang over doet om er ook echt gewin uit te halen.

Deze vormen van fraude komen in de ogen van de laadpasaanbieders bovendien op slechts zo’n kleine schaal voor, dat die het bestrijden niet waard zijn. Veiligheid en privacy versus het gemak van een goed werkend en goedkoop product is voor hen in dit geval geen dilemma: ze kiezen voorlopig voor dat laatste.

Cybersecurityeisen

Al met al zijn er wat betreft de cybersecurity achter elektrisch laden wel degelijk stappen gezet, maar blijft er nog steeds veel werk aan de winkel. In 2021 concludeerde een inventarisatie onder marktpartijen het volgende:

‘‘De resultaten tonen aan dat partijen zich bewust zijn van het belang van cybersecurity. Echter, dit bewustzijn is in veel gevallen gebaseerd op vertrouwen en niet altijd op expliciete afspraken aangaande de digitale veiligheid. Er dient duidelijkheid te komen wie welke rol en verantwoordelijkheid heeft in de keten ten aanzien van cybersecurity. Dit om te voorkomen dat de gedeelde verantwoordelijkheid ervoor zorgt dat uiteindelijk cybersecurity nergens is belegd. […] De organisaties waarmee is gesproken erkennen dat er kwetsbaarheden zijn ten aanzien van de cybersecurity. Hoe groot deze risico’s zijn, hoe groot de kans is dat zich een incident voordoet en hoe groot de impact dan is, is niet bij iedere organisatie even duidelijk.’’

In samenwerking met het Europees Netwerk voor CyberSecurity (ENCS) heeft kennis- en innovatiecentrum voor slim en duurzaam laden ElaadNL een kleine tien jaar geleden al speciale cybersecurityeisen opgesteld die door Nederlandse gemeenten worden gehanteerd bij aanbestedingen voor laadinfrastructuur. Het ENCS test of openbare laadpalen aan deze (niet bindende) eisen voldoen. De eisen – die om de zoveel tijd worden aangescherpt – zien onder meer op de fysieke beveiliging van laadstations, hun beheersystemen (Charge Station Management Systems, CSMS), authenticatie en versleutelde communicatie tussen enerzijds laadstations en elektrische auto’s (o.a. ISO 15118) en anderzijds laadstations en achterliggende systemen van derden (Open Charge Point Protocol), en de segmentatie van dergelijke systemen zodat die bij een aanval niet als dominosteentjes omvallen. Bovengenoemde inventarisatie wees echter uit dat laadpaalexploitanten niet geheel met de eisen uit de voeten konden en zich daar in eerste instantie ook maar tot op zekere hoogte aan hielden. Inmiddels houden zij zich hier steeds beter aan.

Cyberincidenten verplicht melden

Bovendien is er vorig jaar (‘echte’) wetgeving gekomen – iets waar het lange tijd aan schortte. Laadpaalexploitanten die in Nederland meer dan 300 megawatt aan laadvermogen beheren staan in de wet Beveiliging Netwerk- en Informatiesystemen (WBNI) nu te boek als ‘vitale aanbieders’ en zij zijn verplicht hacks en cyberincidenten op hun laadinfrastructuur te melden bij het Nationaal Cyber Security Centrum (NCSC). Hiermee wordt vooruitgelopen op de vertaling van de Europese NIS2-richtlijn in nationale wet- en regelgeving de komende jaren. Deze richtlijn is gericht op het vergroten van digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten. Bedrijven die niet aan de vereisten voldoen kunnen tot twee procent van hun jaarlijkse omzet of maximaal 10 miljoen euro worden beboet. Ook de aanstaande en deels overlappende Cyberweerbaarheidsverordening zal de digitale beveiliging van verschillende hardware- en softwareproducten tenminste op papier naar een hoger plan tillen.

In het Verenigd Koninkrijk is hier inmiddels al twee jaar sprake van: beheerders van slecht beveiligde laadstations aldaar kunnen fikse boetes tegemoet zien. Britse cybersecuritywetgeving heeft verschillende bedrijven genoodzaakt flink te investeren in het verbeteren van de veiligheid van hun laadstations, wat in veel gevallen ook hard nodig was. Het valt te verwachten dat wetgeving hier eenzelfde effect teweegbrengt. Software en firmware voortdurend updaten is hoe dan ook cruciaal, wetende dat een hacker aan een enkele bug genoeg kan hebben om een laadpaal te overmeesteren.

Datastromen

Veel hackers willen echter niet zozeer infrastructuur (of via de oplaadpoort een elektrische auto zelf) aanvallen, als wel persoonsgegevens in handen krijgen. Gegevens die ze op het dark web kunnen verkopen, of waarmee ze mensen kunnen chanteren.

Gebruik van een openbare laadpaal brengt allerlei (afzonderlijke) datastromen op gang tussen auto’s, laadpasaanbieders, laadpaalexploitanten, cloud– en hostingproviders, (betaal)systemen van derden alsook gemeenten. Op pagina’s 7 tot en met 12 van deze presentatie van eViolin (vereniging van laadpaalexploitanten en aanverwante dienstverleners) is goed te zien hoe er in het geval van verschillende soorten oplaadbeurten data en facturen worden gedeeld tussen (de cloud en databases van) allerhande partijen.

Openbare laadstations (en in veel gevallen de auto’s zelf en hun fabrikanten) houden onder meer de locatie, datum, start- en eindtijd van een laadsessie bij, de laadstatus van de batterijen in de auto aan het begin en einde van een laadsessie, en de geleverde hoeveelheid stroom. Uit deze gebruikersdata kunnen gedragspatronen worden afgeleid (waaronder frequent gereden routes, dagelijkse routines, stroomverbruik, laadgedrag en voorkeuren voor laadpaalexploitanten) en kunnen gedetailleerde gebruikersprofielen worden opgesteld, zoals onder meer in China gebeurt. Maar in China zijn anonimiteit en privacy ver te zoeken en voor zover bekend is dit niet de gang van zaken in Nederland. De Algemene Verordening Gegevensbescherming zou daar ook beperkingen aan stellen.

Los van mogelijke identificatie op basis van een grondige data-analyse of eventueel cameratoezicht bij laadstations waardoor auto, kenteken en bestuurder op beeld kunnen worden vastgelegd, is het systeem ook zo ingericht dat een laadpaal bij het gebruik van een laadpas in principe niet weet wie er aan het laden is. Het enige dat de RFID-laadpas communiceert is een ID, een unieke code die voor de laadpaal(exploitant) niet zichtbaar is gekoppeld aan een persoon – enkel aan de laadpasaanbieder. Alleen die laadpasaanbieder kent naast de laadgegevens ook de personalia en betaalgegevens van zijn klanten.

Met één pasje van één aanbieder kan je in vrijwel heel Europa bij iedere laadpaalexploitant terecht. Heb je een laadpas en account bij partij X en laad je bij partij Y, dan verrekenen die partijen – vaak met tussenkomst van derden – de kosten voor de laadsessie onderling voordat die door de pasaanbieder op de gebruiker worden verhaald. Zo hoeven je meest directe persoonsgegevens niet met Jan en alleman te worden gedeeld, laat staan telkens opnieuw bij iedere verschillende laadpaalexploitant.

Mensen kunnen een oneindig aantal laadpassen in hun bezit hebben. In Nederland zijn er rond de 30 laadpassen die je zo gratis kan aanvragen. Als je steeds een verschillend pasje gebruikt, ben je telkens een ander ID en in die zin nóg moeilijker te volgen. Anderzijds betekent die strategie wel dat je bij meerdere pasaanbieders een account moet aanmaken en dat de persoonsgegevens die je daarbij overlegt, terechtkomen in meerdere databases.

Geen wachtwoord: terabyte aan persoonsgegevens voor het oprapen

En zoals meestal schuilt daar qua persoonsgegevens nog het grootste gevaar. Er hoeft maar één partij te zijn die de beveiliging van haar databases niet op orde heeft, en de persoonsgegevens liggen al gauw in bulk voor het oprapen. In juni vorig jaar bleek dat een door Amazon gehoste database van semipublieke laadpalen van Shell Recharge niet was beveiligd met een wachtwoord en voor iedereen toegankelijk was via een webbrowser. Knulliger wordt het niet, want dan kan hacken zelfs achterwege blijven. Het ging om bijna een terabyte aan namen, e-mailadressen en telefoonnummers van leaserijders die van Shells laadpalen gebruikmaken, alsook de namen van wagenparkbeheerders, waaronder politiekorpsen.

In dit soort centrale databases zitten vaak zulke grote concentraties gevoelige – maar lang niet altijd versleutelde of geanonimiseerde – data, dat zodra iemand een bres in de beveiliging weet te slaan, er in feite een jackpot op straat ligt. Volg een tijdje structureel het nieuws en je leest geheid over de ene grootschalige data breach na de andere. Los van nalatig beheer en regelrechte beveiligingsblunders is het probleem met databases dat ze eigenlijk nooit echt goed genoeg te beschermen zijn. Er staat in het systeem altijd wel ergens een achterdeurtje op een kier, en er is altijd wel iemand die toegang heeft, maar dat eigenlijk helemaal niet zou moeten hebben. Wat als zo iemand z’n boekje te buiten gaat, of zich door een phishing mail in de luren laat leggen en zo onbedoeld de toegang(scode) uit handen geeft?

Afpersing

Tal van gespecialiseerde bedrijven zijn onontbeerlijk voor het optuigen en goed laten functioneren van de laadinfrastructuur. Maar hoe meer partijen daarbij betrokken zijn, hoe complexer de opgave om ervoor te zorgen dat het digitale systeem achter elektrisch rijden waterdicht is en geen van de betrokkenen steken laten vallen. Cybersecurity en privacy zijn zo sterk als de zwakste schakel.

Zo moet menig aanbieder van private laadsystemen nog een tandje bijzetten. Dergelijke systemen komen het meeste voor, maar in vergelijking met openbare laadstations bestaan er voor die units nog nauwelijks keuringsregels en zijn ze veel minder goed beschermd tegen hacks. Gebruikers kunnen door een ransomware-infectie (gijzelsoftware) de toegang tot hun laadsysteem verliezen, totdat ze losgeld betalen. Of een individu daarvoor zwicht is de vraag, maar voor bedrijven of organisaties met een flink wagenpark en eigen laadpalen is dat al gauw een ander verhaal.

Om pieken in het collectieve energieverbruik af te vlakken en het stroomnet beter in balans te brengen zijn steeds meer elektrische voertuigen in staat om te ‘ontladen’ en stroom aan het thuisnetwerk te leveren (Vehicle to Home, V2H). Door verbinding tussen de eigen laadpaal op de stoep en de meterkast achter de voordeur fungeert het voertuig als een mobiele thuisbatterij. Een handige Internet-of-Things toepassing waarmee je voordeliger je wasmachine en vaatwasser kan laten draaien. Maar wat als een hacker zichzelf toegang verschaft tot slimme apparaten in huis door eerst in te breken in een thuislaadstation? De kans dat het je overkomt is klein, maar niet ondenkbaar.

Nauwelijks informatie over privacy te vinden

Over elektrisch laden is in allerlei opzichten een schat aan informatie te vinden. Een onderwerp dat op gespecialiseerde websites maar ook in de media op veel aandacht kan rekenen is het gebrek aan prijstransparantie op de markt. Omdat iedere laadpasaanbieder er een ander prijsmodel op nahoudt, kan je voor een oplaadbeurt bij de ene laadpaal beduidend goedkoper of duurder uit zijn dan bij een andere laadpaal 200 meter verderop. Maar elektrische rijders weten vooraf vaak niet tegen welk tarief ze hun stekker inpluggen, ook al is het een wettelijke verplichting ze hierover te informeren.

Op de in dit artikel besproken privacy-aspecten van elektrisch laden wordt opvallend genoeg vrijwel nergens ingegaan, ook niet op uitgebreide vraag-en-antwoord pagina’s. In wetenschappelijke publicaties wordt er over geschreven, maar verder lijkt privacy in dit verband een ondergesneeuwd onderwerp. Een werkgroep van het eerder genoemde eViolin richt zich specifiek op de privacy van elektrische rijders en komt maandelijks bijeen, maar wat die werkgroep binnen de branche concreet heeft geadviseerd of bewerkstelligd, is onduidelijk. De eerste zin van de (hopelijk verouderde?) beschrijving van de groep geeft overigens te denken: ‘‘Privacy is belangrijk, maar wordt in de EV [Electric Vehicle] wereld nog vaak onderschat.’’

Data-gestuurd laadpalenbeleid

Uit gebruikersdata van laadstations zouden (sommige) elektrische rijders in potentie immers kunnen worden geïdentificeerd, zeker in combinatie met andere, eventueel voorhanden zijnde datasets, bijvoorbeeld omtrent reisbewegingen. Dat onderstreept het belang van het onomkeerbaar onherleidbaar maken van de data voor partijen die hier belangstelling voor tonen, zoals lokale overheden.

De vraag is of daar door laadpaalexploitanten werk van wordt gemaakt, want ten behoeve van de gemeenten Amsterdam, Den Haag, Rotterdam en Utrecht analyseert de Hogeschool van Amsterdam mede op basis van de anoniem gewaande RFID’s de laadgegevens van de openbare laadpalen in en rond die steden. Bij elkaar gaat het om ruim 43.000 palen, bijna 70% van het huidige totale aantal in Nederland. De gemeenten gebruiken de data – die in geaggregeerde vorm beschikbaar worden gesteld op een openbaar dashboard – voor het maken van nieuw beleid ten aanzien van elektrisch laden. Ook andere gemeenten elders in het land doen dit. Publieke laadpunten worden steeds meer proactief en data-gestuurd geplaatst op basis van gebruik, schreef demissionair minister Mark Harbers van Infrastructuur en Waterstaat enkele weken geleden in een brief aan de Tweede Kamer.

Privacy First blijft ontwikkelingen omtrent cybersecurity, data en privacy in verband met de laadinfrastructuur in de gaten houden.

Dit artikel is tevens gepubliceerd bij PONT Data & Privacy, zie Laadinfrastructuur stelt bescherming elektriciteitsnet én persoonsgegevens op de proef – PONT Data&Privacy (privacy-web.nl)